Por Edison Calahorrano
Académico Investigador Derecho Universidad Central
Hace un tiempo circuló en varios medios el intento de hackeo de la ficha clínica de Kate Middleton, luego de hacerse público que se sometió a una cirugía abdominal en enero. Como todo lo oculto atrae, el valor de cualquier información que revelara los detalles de esa operación provocó un intento de quebrantar la seguridad informática de la London Clinic.
La investigación revela que el propio personal de la clínica estaría involucrado; sin embargo, la falencia en la ciberseguridad del centro hospitalario que pudo haber expuesto datos sensibles de la paciente podría conllevar a una importante penalización.
La ficha clínica del paciente contiene información confidencial y personal. Constituye la columna vertebral para la comprensión de cualquier proceso en el que se pretenda determinar la responsabilidad por negligencia de un tratante o un centro médico, en la medida en que allí se deben consignar los datos sobre las prácticas y procesos clínicos a los que se ha sometido esa persona, medicamentos aplicados e inclusive las instancias en que se ha informado sobre los riesgos y consecuencias de los actos médicos y obtenido el consentimiento informado.
Esta ficha le pertenece al paciente y ante la generalidad de su formato electrónico, requiere cumplir con la interoperabilidad; es decir, su capacidad de estar interconectada y de fácil acceso para quienes la requieran.
En nuestro país, los hackers también han causado estragos respecto a la vulneración de los sistemas de seguridad informática, como la encriptación de información del Colegio Médico de Chile en 2021, caso en el que se pidió una recompensa en bitcoin a cambio de la devolución de la información. A esto se sumaron en el mismo año las constantes suplantaciones de Minsal por hackers que obtenían datos personales de los usuarios disfrazando su actividad ilícita como campañas de vacunación.
El 2023 Chile ya había caído 10 puestos en el ranking de ciberseguridad de la National Cyber Security (NCSI). Al 2024 lo hizo cuatro más hasta ubicarse en el puesto 60. Aun así, a nivel latinoamericano se coloca solamente por detrás de República Dominicana y en el puesto 14 global. Según datos de FortiGuard Labs en 2023 Chile registró un total de 6.000 millones de intentos de ciberataques. Aunque se evidencia un aumento de presupuesto de las empresas en ciberseguridad, la pérdida de liderazgo en la región sobre la materia se ha evidenciado.
En este contexto, la Ley Marco de Ciberseguridad e Infraestructura Crítica (LMCSeIC) de la información es un paso decisivo en la consolidación de Chile en el grupo de países que llevan la vanguardia. La norma es pionera y aborda principios específicos aplicables, así como una nueva institucionalidad reguladora como es la Agencia Nacional de Ciberseguridad, instancia asesora del Presidente en la materia. Respecto a la salud, la Ley Marco lo incorpora como un servicio esencial que, por lo tanto, requiere de medidas destinadas a evitar el quiebre de sus dispositivos de ciberseguridad.
Ante la potencialidad de que un incidente de ciberseguridad con efectos significativos se produzca, a partir del quebrantamiento de los sistemas de protección que resguarden la información clínica, parece ser absolutamente pertinente acudir a la prevención y al tratamiento especialmente riguroso de los mecanismos presentes en estos sistemas. Todo actor privado o público que genere e implemente un sistema informático, aplicación o tecnología de la información deberá en su mismo diseño tomar todas las precauciones e invertir los mayores esfuerzos posibles para proteger los datos personales.
En una época en que los datos constituyen lo más valioso, acceder a aquellos de la esfera más íntima de las personas implica una posición privilegiada; por lo que el ordenamiento jurídico debe velar porque ésta no se convierta en una ventaja injusta.