En abril de este año, se habría detectado un ataque a un proveedor tecnológico del sector salud en Argentina que presta servicios a alrededor de 30 centros de salud. Según diversas fuentes, a raíz de este incidente se habrían puesto a la venta de forma fraudulenta, más de medio millón de estudios médicos de pacientes. Este episodio, lamentablemente, no es un asunto aislado, sino que se suma a casos anteriores de fines de 2024 donde ya hubo vulneraciones a la seguridad de empresas de la industria de la salud en el país.
En un encuentro reciente organizado por la Asociación por los Derechos Civiles, se ha marcado que en Argentina “(…) la ciberseguridad no ha sido una prioridad en la agenda pública y la regulación actual no articula de manera efectiva la seguridad de la información con la protección de los datos personales”. La Ley de Protección de Datos Personales, que en su momento fue pionera en la región, ha quedado desactualizada frente a los avances tecnológicos, así como frente a los riesgos y oportunidades que estas conllevan. Por ejemplo, a diferencia de legislaciones más modernas como las de la Unión Europea, la Brasileña o la reciente normativa Chilena—que aún no ha entrado en vigor—, la ley argentina no establece de manera clara la obligación de notificar a las autoridades, ni a las personas afectadas cuando ocurren incidentes de seguridad.
Más allá de lo dicho hasta aquí, es importante señalar que, tanto el sector público como el privado, en Argentina han impulsado iniciativas para complementar la ley vigente en un esfuerzo por lograr un marco normativo acorde a los tiempos que corren. Por su parte, en el año 2018 la Agencia de Acceso a la Información Pública (en adelante, la “Agencia”), autoridad de control en materia de protección de datos personales, publicó una serie de medidas de seguridad recomendadas para el tratamiento y conservación de datos personales.
En ese marco, la Agencia ha recomendado que, ante incidentes de seguridad que puedan comprometer datos personales, las empresas tomen acciones para mitigar los daños, elaboren informes sobre lo ocurrido y los remitan a la autoridad de control. Aunque en lo formal se trate de una sugerencia de la autoridad, en los últimos años, la falta de notificación a las personas afectadas y a la Agencia ha sido utilizada como base para sancionar a empresas que sufrieron brechas de seguridad. Esta postura de la autoridad de control resulta especialmente relevante cuando las filtraciones involucran datos sensibles, como los datos de salud contenidos en informes médicos.
Respecto del sector privado, en el ya mencionado encuentro de la ADC se destacó que distintos actores de la industria “(…) han implementado medidas avanzadas de seguridad, como cifrado de datos por defecto, anonimización de información sensible y mecanismos de acceso restringido basados en principios de necesidad y proporcionalidad (…)”.
El ataque citado al comienzo de este artículo demuestra que no basta con que una empresa implemente controles internos de seguridad de la información sino que se requiere un trabajo transversal, que involucre tanto a la cadena de proveedores de servicios del sector del que se trate como a la capacitación continua de los recursos humanos de cada entidad involucrada en el tratamiento de datos personales. En este sentido, es fundamental complementar dichos controles con obligaciones claras para que los proveedores cumplan con los estándares de seguridad de la empresa.
Las empresas del sector salud también pueden adoptar medidas más avanzadas en materia de gobernanza de datos y protección de la privacidad de los pacientes. Entre ellas, se destacan el registro de actividades de tratamiento y la evaluación de impacto en la protección de datos (conocidos respectivamente como RoPA y PIA, por sus siglas en inglés). El registro de actividades de tratamiento, funciona como un inventario detallado de las operaciones que una empresa realiza sobre datos personales. Incluye información clave como la finalidad del tratamiento, las categorías de datos y de titulares involucrados, los destinatarios de esos datos, eventuales transferencias internacionales a las cuales estarán sujetas los datos, plazos de conservación y medidas de seguridad aplicadas al tratamiento.
Este mapeo permite a las empresas identificar qué datos procesan y cómo se procesan, optimizando su operación y facilitando la detección de posibles vulnerabilidades. Por su parte, una evaluación de impacto puede ser definida como “(...) un proceso que las organizaciones deben efectuar para identificar y tratar los riesgos que puedan producir sus actividades habituales, sus nuevos proyectos o sus políticas corporativas cuando involucran el tratamiento de datos personales”. Estas evaluaciones son documentadas en un informe final y un plan de acción para mitigar los riesgos identificados en el proceso. Resultan particularmente útiles en contextos en los que una empresa pretenda aplicar nuevas tecnologías que impactarán en el tratamiento de datos de salud, como por ejemplo, la incorporación de una aplicación móvil para brindar turnos, o para la atención de pacientes en línea.
Si bien estas herramientas no son obligatorias para la normativa argentina vigente, su adopción demuestra un compromiso proactivo con la privacidad, y puede ser de utilidad para empresas de salud, facilitando la gobernanza de sus datos y la identificación y mitigación de riesgos. Incluso, la Agencia tiene en consideración la implementación de esta clase de medidas de responsabilidad proactiva a la hora de evaluar la aplicación y graduación de sanciones a las empresas en los casos en que existen reclamos o incidentes.
Hasta que la Ley de Protección de Datos Personales de Argentina sea actualizada, las iniciativas del sector público y privado resultan cruciales para proteger los datos de salud de los pacientes y, en consecuencia, los derechos fundamentales como la privacidad, la dignidad y el honor.
Es importante destacar que el proyecto de Ley de Protección de Datos Personales de 2023, que perdió estado parlamentario el año pasado, preveía la obligación de notificar a la autoridad de control y a los afectados sobre incidentes que comprometieran datos personales. Sin embargo, a diferencia de legislaciones más avanzadas, como las de la Unión Europea o Brasil, el proyecto argentino exigía reportar cualquier vulneración de esta clase, sin aplicar un enfoque basado en riesgos. En el derecho comparado, se establecen criterios para que las empresas determinen cuándo es necesario notificar un incidente, lo que evita una carga excesiva para las empresas y para la autoridad encargada de procesar dichos reportes.
Desde la perspectiva de las personas afectadas, ser notificadas de cada incidente de seguridad puede tener un efecto adverso, ya sea causando un estrés innecesario o en el otro extremo, llevándolas a restar importancia a las situaciones críticas y, en consecuencia, a no tomar las medidas adecuadas para mitigar los daños reales. Por ello, consideramos conveniente que futuros proyectos de reforma en Argentina prioricen un enfoque basado en riesgos y promuevan la responsabilidad proactiva y demostrada en la notificación de brechas de seguridad.
Algunas conclusiones y recomendaciones para empresas de salud en materia de privacidad:
Contratos con proveedores: formalizar contratos escritos con los proveedores que establezcan el estándar de seguridad de la información que se les requiere, teniendo en cuenta la naturaleza de la información y los datos personales que va a tratar el proveedor. Los contratos también deben definir claramente las responsabilidades en caso de incidentes, establecer indemnidades a favor de la empresa y contar con cláusulas que regulen el procesamiento de datos (o que remitan al acuerdo de procesamiento de datos de la empresa) y la utilización de subprocesadores.
Ciberseguros:evaluar la conveniencia de contratar pólizas que cubran los daños derivados de incidentes de seguridad. Según el perfil de cada proveedor, puede ser recomendable exigirles también la contratación de un ciberseguro de esta índole.
Registro de actividades de tratamiento (RoPAs): involucrar a las distintas áreas de la empresa para relevar y documentar las actividades que impliquen el tratamiento de datos personales. Este inventario debe incluir información clave sobre las categorías de datos tratados, su finalidad, los destinatarios, los plazos de conservación y las medidas de seguridad aplicadas.
Evaluaciones de impacto en la protección de datos (PIAs):antes de implementar nuevos procesos o tecnologías que involucren el tratamiento de datos personales—especialmente si se trata de datos sensibles—, se recomienda realizar una evaluación que identifique los riesgos para los titulares (en este caso los pacientes de salud) y que defina medidas técnicas y organizativas para mitigarlos.
Documentación de incidentes: documentar las vulneraciones de seguridad que afecten datos personales. El informe debe describir el incidente, identificar las categorías de datos personales y las personas afectadas, y detallar las medidas técnicas y organizativas adoptadas para mitigar el impacto y evitar que se reitere.
Notificación de incidentes: aunque la normativa vigente no lo establezca claramente, evaluar la posibilidad de notificar a la Agencia y a las personas afectadas. Esta decisión debe tomarse en conjunto con los equipos legales, de seguridad de la información y otras áreas con las que pueda contar la empresa, como producto o relaciones públicas.
Gabriela Szlak es abogada, Managing Partner de la firma Lerman & Szlak y co-Chair del KnowledgeNet Chapter Buenos Aires de IAPP.