Unos 70 funcionarios de la Clínica Marcial Fallas, en su mayoría médicos, compartieron en un grupo de WhatsApp más de 6.000 fotografías con información confidencial y sensible de pacientes.
Podrían ser sancionados.
“Se entendería que todos aquellos que hayan compartido la información tienen responsabilidad directa”, respondió Elizabeth Mora, directora nacional de la Agencia de Protección de Datos de los Habitantes (Prodhab). “No así la institución pues fue decisión de las personas funcionarias y no una política u orden institucional”.
Hay, sin embargo, criterios más contundentes.
“La existencia de una pandemia puede justificar el tratamiento de datos relativos a la salud por parte de las autoridades responsables, pero no justifica el empleo de mecanismos inseguros en el tratamiento de los datos personales sensibles de los habitantes”, sostuvo Mauricio París, especialista en la materia de la firma Ecija.
En el chat todos los días se envían decenas de fotos de las boletas de notificación individual y de las fichas de investigación de casos sospechosos y probables de COVID-19, con nombre, cédula, diagnóstico, fecha de nacimiento, ocupación, nacionalidad, trabajo, dirección de vivienda, teléfono y contacto cercano.
Supuestamente los médicos recibieron la instrucción de la jefatura del servicio de emergencia del Consejo de Atención Integral (CAI) de Desamparados y no están de acuerdo, al punto que la Unión Médica denunció el caso ante la gerencia correspondiente en Caja Costarricense del Seguro Social (CCSS) a finales de agosto anterior.
La oficina de prensa de la CCSS confirmó que la gerencia médica recibió la denuncia, la cual fue remitida a la Dirección de Red Integrada de Prestación de Servicios de Salud Central Sur de esa institución, pues es a quien corresponde la investigación.
“No se podría, en este momento, referir al asunto ya que la denuncia se encuentra en investigación”, respondió la oficina de prensa.
¿Problema ético?
Hasta el 18 de setiembre anterior la Prodhab no había recibido ninguna denuncia relacionada con la situación que se produjo en la Clínica Marcial Fallas.
Elizabeth Mora explicó que no se puede intervenir de oficio, pues la información se comparte en teléfonos personales de los funcionarios.
Se requeriría que alguna de las personas afectadas presente una denuncia, con las pruebas, para comprobar el uso ilegítimo de información de carácter sensible. Habría que proceder con una orden judicial, además.
“Es un tema de ética profesional y deber de confidencialidad que cobija a todo funcionario público, por lo que yo lo vería más como materia disciplinaria”, indicó Mora.
Si una persona afectada presenta la denuncia y las pruebas ante esa agencia la sanción sería contra quienes realicen el tratamiento de la información personal en contravención de los principios y las reglas que contempla la Ley de Protección de la persona frente al tratamiento de sus datos personales (N° 8968).
La sanción contemplada va de cinco a 30 salarios base, dependiendo de si es una falta leve, grave o gravísima, tras analizar los hechos denunciados y determinar la conducta en que incurrió la parte denunciada.
En la actualidad, el salario base de referencia ronda en ¢450.000 y eso implica una sanción mínima de ¢2,2 millones y una máxima de ¢13,5 millones.
¿La Caja se libra?
Para los especialistas, sin embargo, la CCSS tiene la obligación de adoptar medidas técnicas y de organización para garantizar la seguridad de los datos y evitar su acceso no autorizado o la pérdida.
Mauricio París, de Ecija, recalcó que la CCSS es la responsable de la información, ante los titulares y ante terceros sobre el mal manejo de los datos personales.
Los funcionarios únicamente tendrían responsabilidad laboral si hacen un manejo de la información en contravención de las políticas de la institución en la materia.
“También podría existir responsabilidad ética de los médicos, por revelar información confidencial sin consentimiento del paciente”, advirtió París.
Los hechos constituyen una falta leve, según el artículo 29 de la Ley N° 8968, el cual sanciona la recolección de datos sin que se le otorgue suficiente y amplia información a la persona interesada o si esa recolección se realiza por medio de mecanismos inseguros, que no garantizan la seguridad e inalterabilidad de los datos.
Si alguna de las personas que integra el grupo no es personal sanitario o si reenviaron la información a terceros podría constituirse en una falta grave con multa de hasta ¢9 millones, según el artículo 30 de esta misma ley.
Podría tipificarse, además, como delito de violación de datos personales del artículo 196 bis del Código Penal, que se sanciona con prisión de dos a cuatro años por tratarse de datos relativos a la salud.
Doble problema
Aparte de compartir información sensible sin el consentimiento del paciente, hay otro problema: ni WhatsApp ni el chat tienen restricciones para que los funcionarios que están en el grupo almacenen los datos de los pacientes en sus dispositivos y los reenvíen a otras personas.
La app no permite trazabilidad sobre el uso de la información, tampoco el control o la garantía de parte de la misma institución sobre si se eliminan los datos después de recibidos, especialmente porque se usan dispositivos personales, y menos evita el riesgo de pérdida de la información si el celular es robado o sustraído a uno de los 70 funcionarios.
Las medidas de seguridad de WhatsApp no garantizan la seguridad e integridad de los datos personales, al ser un servicio comercial de mensajería que no está diseñado para el almacenamiento y tratamiento de datos personales sensibles.
El uso de la aplicación, diseñada para fines personales, expone la información compartida a los términos y condiciones de la firma propietaria de WhatsApp, sin el consentimiento del titular de los datos.
Otro problema es que no hay control efectivo sobre las personas que están en el grupo de chat y su legitimación para el tratamiento de la información ahí compartida:
–¿Todos son personal de salud?
–¿Están relacionados con la atención de los pacientes cuya información se comparte?
–¿Hay otras personas relacionadas con los miembros del chat que podrían tener acceso al dispositivo?
Eso sin contar que el dueño del dispositivo cambie el número telefónico y que la información pueda ser vista por el suscriptor al que el operador se lo reasigne.
Recomendaciones
Para evitar situaciones similares en otras instituciones y empresas, París recomendó:
–Limitar el uso de dispositivos personales de los colaboradores para el intercambio de datos personales, información confidencial o de valor comercial que la empresa esté en obligación de resguardar.
París indicó que cada día se ven más casos en los cuales las pruebas esenciales para la defensa de una empresa en un juicio, están resguardados únicamente en una conversación de WhatsApp del teléfono personal de un trabajador, con lo que la empresa pierde la facultad de controlar el uso de esa información o depende de la voluntad del trabajador de facilitarla.
–Tener claro que el reenvío de datos personales por medio de WhatsApp o cualquier otra aplicación similar puede constituir transferencia de datos personales y por ende está sujeta al consentimiento del titular de los datos personales.
En consecuencia, estas herramientas deberían de limitarse sólo para compartir información general, nunca datos personales, y mucho menos datos sensibles.
–Contar con una política de uso de herramientas informáticas que establezca reglas claras para que los empleados sepan qué pueden hacer o no hacer con la información e instrumentos electrónicos que se ponen a su disposición.
Pese a los mecanismos de seguridad que pueden tener estas aplicaciones, son de uso comercial y personal, y su utilización se hace bajo las políticas de privacidad de estas empresas.
Existen herramientas especializadas en la administración de entornos colaborativos de trabajo, como Slack, Teams o incluso WhatsApp Business, que parte de la premisa de un uso empresarial de la información.
–En el caso del uso de cuentas personales de los colaboradores, también deben haber reglas claras.
Primero, recabar el consentimiento de los empleados para utilizar sus teléfonos personales para comunicaciones laborales, garantizando el derecho de revocar dicho consentimiento en cualquier momento.
Deben consentir también el ser incluídos en grupos de empresas y limitar los mensajes a la jornada laboral.