Por Carlos Reusser Monsálvez
El que es el más potente centro de investigación del país, Ciper Chile, reveló hace pocos días que la negligencia con que el Ministerio de Salud (Minsal) trató los datos personales de los ciudadanos redundó en uno de los casos más notorios de vulneración de derechos que se tenga memoria en nuestra era tecnológica nacional: datos personales de miles de personas que incluían su nombre, número único de identificación (el RUN), domicilio, caso médico, medicamentos utilizados, etc. quedaron por meses expuestos al libre conocimiento por parte de los más de 100 mil empleados que tienen acceso a la red informática del Ministerio de Salud, con acceso incluso desde fuera de los centros de salud y a lo largo de todo el país.
Especialmente relevante es lo expuestas que quedaron las personas con datos sobre VIH, con antecedentes de cáncer, los que tienen problemas de salud mental o que sufrieron procedimientos de aborto.
¿Por qué?. Porque se trata de tipos de datos conocidos internacionalmente como “datos sensibles”, es decir aquellos cuyo mero conocimiento por terceros los pone en riesgo que a su respecto se tomen decisiones arbitrarias en base a prejuicios ocultos pero muy presentes en nuestras sociedades.
¿Contratarías a alguien profesionalmente competente que ha tenido cáncer?. Muchos optarán por negarse ante el riesgo de las licencias médicas o el que fallezca después de haber “invertido” en su formación. ¿Le arrendarías tu casa a un señor que necesita administrarse retrovirales para vivir?. Más de alguien dirá que no por las razones incorrectas, pero seguirá siendo un NO.
Y así, hay un largo cúmulo de efectos devastadores para las personas porque alguien sabe algo de ti (que no debería saber) y toma decisiones arbitrarias en base a ello, como dejarte sin trabajo, sin hogar, sin seguros de salud o restringiendo el círculo de personas con las que puedes tomar contacto o a las que tú o tus hijos pueden acceder.
Tengan muy presente que los datos sensibles no son solo los de salud, sino que todos aquellos cuyo conocimiento por terceros te deja en una posición vulnerable, como los de origen racial o étnico, opiniones políticas, convicciones religiosas, afiliación sindical, vida sexual o cualquier otro dato que, por su naturaleza o su contexto, pueda provocar algún trato discriminatorio en tu contra.
Como consecuencia de ello este tipo de datos debe tener un régimen especial de protección y los organismos públicos o privados que deben tratar datos de esta naturaleza, como el Ministerio de Salud, están obligados a tomar todos los resguardos jurídicos, organizativos y técnicos para que ellos solo puedan ser conocidos y utilizados en el ámbito en que su uso sea necesario y aceptable, pero con medidas de seguridad incluso superiores a otros tipos de datos personales.
En el fondo, y haciendo una analogía (que no sé si resultará tan afortunada), quien trata datos sensibles es como el proveedor de explosivos para la industria minera: solo puede entregarlos a personas determinadas para fines conocidos y necesarios y siempre con medidas de seguridad asociadas.
Y, por supuesto, debe garantizar que nadie pueda acceder al depósito de explosivos y llevárselos con otras intenciones, por lo que debe organizar todo para tener un férreo control de lo que ocurre con ellos en todo momento.
Lo mismo se aplica al Ministerio de Salud. ¿Que el Ministerio contrató la solución tecnológica con una tercera empresa?. Puede hacerlo, pero frente a los titulares de los datos ello es indiferente o irrelevante: el responsable frente a nosotros, los titulares de datos sensibles, es el Ministerio de Salud, pues él nos los pidió y los conservó diciendo que los custodiaría y usaría solo para fines determinados y que estarían adecuadamente resguardados. El cumplimiento o no de los contratos con sus proveedores no es asunto de los titulares de datos.
¡Ajá!, dirá usted, entonces es claro que el responsable en este caso es el Ministerio de Salud chileno.
Si y no. Es decir, efectivamente es el responsable, pero en la actual situación ello se traducirá en nada. Algunos de nosotros que se hayan visto afectados por esta vulneración y que puedan probar fehacientemente quién fue el que nos apuñaló por la espalda con la base de datos del Minsal en la mano podrían intentarlo judicialmente, pero es extraordinariamente difícil sobre todo si consideramos que la ley chilena de protección de la vida privada es muy antigua y solo útil para emparejar las patas cojas de las mesas.
Es decir, sufriremos las consecuencias, pero las deficiencias legislativas de Chile harán imposible determinar responsables o aplicar sanciones. Nuestros derechos en materia de protección de datos, en la práctica, carecen de valor desde hace mucho tiempo a pesar de los esfuerzos de la sociedad civil y las siempre renovadas promesas de la Presidenta Bachelet (en la campaña electoral del 2005 y nuevamente en la campaña del 2014).
El tema de fondo es otro: no todos los órganos del Estado tienen profesionales expertos en protección de datos y no deben porqué tenerlos, pues los países suelen contar con un organismo técnico-especializado de alto nivel, una autoridad de protección de datos, que es la que enseña, da las pautas y directrices, establece los estándares, fija sistemas de auditoría, fiscaliza y aplica sanciones a los responsables de exponer al riesgo a las personas.
Y eso en Chile no hay, a pesar de que nos comprometimos a ello con Europa en el 2002 y con la OCDE en el 2010; de hecho la OCDE nos pregunta periódicamente como avanzamos en esta materia, si ya tenemos autoridad de protección de datos y un sistema de sanciones, y siempre le contestamos que “estamos trabajando en ello”, pero es una mentira: la decisión política (o la falta de ella) no ha variado en los últimos 20 años.
Así que, tristes noticias amigos míos: en esta ocasión, y en las que vendrán, seremos sacrificados en nombre de la desidia de quienes periódicamente nos dicen lo mucho que les importamos: Chile no va a proteger nuestros datos personales.
