Dentro de la ola de «hackeos» en varias instituciones publicas y privadas del Ecuador como Registro Civil, Banco de Machala, Agencia
Nacional de Tránsito, MINTEL y otras. Hoy se conoció la filtración de datos de miles de pacientes y pruebas de laboratorio de una de las casas de saludo privadas más grandes en Loja.
Lo suscitado es una brecha de seguridad de la información que podría acarrear vulneraciones graves, gravisimas, a los datos personales sensibles de la ciudadanía lojona y el austro ecuatoriano.
En primer lugar hay que diferenciar entre la naturaleza de los datos; y en esta línea existen datos personales y datos no personales. Dentro de los datos personales hay que categorizar si son sensibles o no sensibles. Los datos son sensibles si permiten identificar a una persona, ubicarla y conocer detalles privados como por ejemplo vivienda, lugar de trabajo, finanzas, signos/estado de salud, preferencias personales, etc. Hay que poner mucho cuidado si los datos son biométricos (rostro, huellas) estos son especialmente críticos porque no se pueden cambiar como una contraseña. Estos criterios permiten ponderar el impacto de las brechas de seguridad informática previamente mencionadas. Esto en relación a una posible afectación personal. En este analisis no estamos considerando los datos no personales que serían insumos para el ejercicio operativo del «negocio» de cada organización.
En Ecuador, el 26 de mayo de 2021 se publicó la ley de protección de datos personales LOPDP que regula la protección de los datos personales como un bien jurídico basado en tres principios rectores: Juridicidad, Lealtad y Transparencia. Dentro de este contexto cada organización deberá responder por los incidentes suscitados en el ambito administrativo, civil e incluso penal.
De vuelta, en las brechas de seguridad informática enunciadas anteriormente, hay que determinar las posibles afectaciones a las personas, un escenario es que no haya ninguna afectación y en ese caso las correcciones se realizarían a nivel informático tanto en hardware, software y en la cultura organizacional; sin perjuicio de la obligación de notificar la brecha las autoridades y a las personas usuarias de las organizaciones.
En este caso particular donde podrían haberse comprometido datos personales de pacientes e incluso resultados de analisis de laboratorio es urgente la ejecución de las acciones que se exigen en la norma: Plan de contingencia, plan de remediación, plan de sostenibilidad que es el Orden lógico de gestión del incidente.
En el caso de datos de salud, en el futuro se pueden afectar a las personas vía discriminación y estigma, chantaje o extorsión, fraude, daños psicológicos y económicos, problemas en relaciones personales, costes de mitigación, etc. Finalmente, los afectados podrían demandar por daños y perjuicios, exigir indemnizaciones y reclamar ante autoridades de protección de datos.