La delicada situación salió a la luz a través de una consultora con base en Inglaterra, dedicada a la seguridad informática de páginas web. En su sitio, informó que, por el lapso de, al menos, dos semanas, los datos de más de 100 mil sanjuaninos quedaron expuestos en internet por fallas en la página oficial de la provincia. Así, el nombre completo, número de DNI, número de CUIL, género, fecha de nacimiento, foto, número de teléfono y correo electrónico de uno de cada siete sanjuaninos estuvieron liberados en la red. Inmediatamente, dicha información circuló con velocidad por las redes sociales hasta que la Agencia Nacional de Acceso a la Información Pública, a través de la Dirección Nacional de Protección de Datos Personales, tomó cartas en el asunto y abrió una investigación. ¿El resultado? El Gobierno fue sancionado con dos apercibimientos y, si bien correspondía una multa, no fue aplicada por el contexto de pandemia. A través de un descargo, que hizo la ministra de Salud Pública, Alejandra Venerando, la provincia reconoció el error y buscó zafar del castigo al indicar que fue culpa de un empleado a quien, por el hecho, se le habría iniciado un sumario para determinar su responsabilidad.
La delicada situación pudo haber pasado a mayores, ya que dichos datos podrían haber sido utilizados por terceros para obtener créditos y hacer compras o falsificar documentos, pero según la entidad nacional "no se detectó un uso malicioso".
Un apartado clave que llamó la atención de las autoridades nacionales es que la Dirección Nacional de Ciberseguridad pudo corroborar que la base de datos que quedó expuesta incluía información del Sistema Andes Salud, el registro único sobre historial médico del sistema de sanitario público de la provincia. Se trata de un sistema informático que contiene la historia clínica de pacientes y que el Ejecutivo cuenta gracias a un convenio firmado con Neuquén. Si bien esa exposición quedó confirmada, desde Salud Pública indicaron que, en realidad, se trató de una base de datos que prestaba servicio para catalogar información del Sistema Andes Salud.
Según consta en la resolución, fue la propia ministra la que hizo el descargo y responsabilizó a un agente estatal. A través de un escrito, la funcionaria indicó que "la vulnerabilidad se produjo por el accionar incorrecto de un dependiente, que, sin autorización de su superior, en el marco de la pandemia y por el afán de proveer una solución de acceso remoto para teletrabajo, expuso el contenido con las consecuencias que se destacaron". A su vez, plasmó que "se ha iniciado el expediente sumarial para determinar la responsabilidad que le cabe al agente".
Lo llamativo es que, si bien al parecer fueron unas dos semanas el tiempo por el que la información quedó expuesta sin resguardo, Salud Pública reconoció que los datos estuvieron desprotegidos desde abril del año pasado, mes en que, "la base se publicó en internet para facilitar el trabajo remoto". No obstante, el problema se solucionó una vez conocida la exposición, lo que habría ocurrido a fines de julio, cuando "se apagó y retiró físicamente el único servidor" que contenía la información. Así, los datos habrían circulado libremente para aquel que supiese dónde buscar, durante unos cuatro meses. Según reconoció el propio ministerio, "al momento del incidente, la cantidad de registros que se encontraban en la base fue de 115.282".
Fuentes oficiales celebraron la resolución, ya que consideraron que el apercibimiento fue sólo un "tirón de orejas" ante semejante falla cibernética.
Multa
La Dirección Nacional de Protección de Datos Personales puede aplicar multas si detecta infracciones graves como las realizadas por la provincia. Por la pandemia y para que el Ejecutivo pueda destinar recursos para combatir la crisis sanitaria, la entidad nacional decidió no multar a la provincia.