El 28 de julio de 2020 la Dirección Nacional de Ciberseguridad (DNC) recibió una alerta sobre la vulneración del sistema sanitario público de la Provincia de San Juan denominado Andes Salud. La DNC más tarde confirmó que personal de la empresa Security Discovery le informó sobre una posible exposición de información sobre datos de pacientes infectados con COVID-19 registrados en la base de datos del Ministerio.
Así, la AAIP requirió al Ministerio que se expidiera sobre determinados aspectos referidos con la responsabilidad, las medidas de seguridad adoptadas y los hechos ocurridos.
Sobre las medidas de seguridad, el Ministerio detalló que antes del incidente el entorno de desarrollo era sólo accesible desde la red local. Sin embargo, a partir del mes de abril de 2020, la base se publicó en Internet para facilitar el trabajo remoto y, por lo tanto, quedó desprotegida desde entonces.
Por último, el Ministerio sostuvo que al momento del incidente la cantidad de registros de ciudadanos de la Provincia de San Juan que se encontraban en la base de datos eran 115.282 personas. Asimismo, detalló los datos personales que integran la base de datos del Sistema Andes Salud: nombre completo, número de DNI, número de CUIL, género, fecha de nacimiento, foto, número de teléfono y correo electrónico. Según informó el Ministerio, la base no contendría datos de pacientes infectados con COVID-19.
La AAIP labró un Acta de Constatación y consideró que haber dejado expuesta la base de datos fue plena responsabilidad del Ministerio, ya que no tomó las medidas de diligencia necesarias para asegurar la seguridad y la confidencialidad de los datos conforme a los artículos 9 y 10 de la Ley Nº 25.326.
En ese sentido, concluyó que al «mantener bases de datos locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen», el Ministerio cometió una infracción grave conforme el punto 2, inciso k) del Anexo I a la Disposición DNPDP Nº 7 del 8 de noviembre del 2005 y modificatorias.
Al mismo tiempo, al “[i]ncumplir el deber de confidencialidad exigido por el artículo 10 de la Ley N° 25.326 sobre los datos de carácter personal incorporados a registros, archivos, bancos o bases de datos”, el Ministerio cometió, adicionalmente, una infracción grave de conformidad con el punto 2, inciso j) del Anexo I a la Disposición DNPDP Nº 7/05 y modificatorias.
La AAIP también destacó que el organismo sancionado no ha tenido en cuenta la Resolución AAIP Nº 47 del 23 de julio de 2018, por medio de la cual se establecieron un conjunto de medidas de seguridad recomendadas para el tratamiento y conservación de los datos personales en medios informatizados.
El Ministerio contestó que desde un primer momento han abordado el tema de la seguridad ocupándose del mismo con la máxima celeridad y responsabilidad, y que están abocados a la creación de un equipo de respuesta ante incidentes de seguridad, para reforzar la organización asociada a la gestión de ciberseguridad.
Al momento de evaluar la sanción, la AAIP tuvo en cuenta distintas características del caso. En principio, evaluó los documentos que detallaron el obrar de la Provincia y, como resultado, se comprobó que el Ministerio activó prontamente los protocolos de sus áreas técnicas para dar una solución a la vulnerabilidad y mitigar sus efectos. Asimismo, tuvo presente la necesidad que está atravesando la Provincia de San Juan—junto a toda la República Federal Argentina—de destinar la mayor cantidad de sus fondos públicos al manejo de la crisis económica y sanitaria.
De esta manera, y considerando que el Ministerio carece de infracciones previas, la AAIP consideró que no se encuentra argumento para justificar la imposición de una sanción pecuniaria, por lo que aplicó dos apercibimientos de conformidad con lo dispuesto en la Disposición Nº 7/2005 y modificatorias.
Por último, y en lo que hace a su competencia, la AAIP explicó que, considerando la cesión de datos llevada adelante entre distintos organismos provinciales interconectados a la base de datos de Andes Salud, la AAIP es el órgano competente para controlar el cumplimiento de la Ley Nº 25.326 en general, y la cesión de datos entre estos organismos en particular, de conformidad con el artículo 44 de la mencionada ley.