La Agencia de Acceso a la Información Pública (en adelante, “AAIP”), autoridad de aplicación de la Ley de Protección de Datos Personales N° 25.326 (“LPDP”), inició de oficio una investigación sobre una supuesta vulnerabilidad de la base de datos del portal de trámites de permisos de circulación de la Provincia de San Juan. Este incidente de seguridad habría permitido la exposición de los datos personales, incluidos datos sensibles, de los ciudadanos que figuraban en el registro único sobre historial médico del sistema sanitario público de la Provincia, “Andes Salud”.
El Ministerio de Salud de la Provincia de San Juan no habría adoptado las medidas de seguridad y confidencialidad requeridas que hubiesen evitado la filtración y exposición de datos personales de ciudadanos.
Se decidió entonces aplicarle al Ministerio de Salud de la Provincia de San Juan como sanción dos apercibimientos por haber incurrido en dos infracciones graves:
- Incumplir el deber de confidencialidad exigido por el art. 10 de la LPDP.
- Mantener bases de datos locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
La AAIP decidió no aplicar una sanción pecuniaria en base a las siguientes razones:
- la activación de protocolos para solucionar la vulnerabilidad y mitigar sus efectos;
- el contexto específico de pandemia que exige priorizar el destino de los fondos públicos al manejo de la crisis económica y sanitaria;
- y la ausencia de antecedentes de infracciones previas.
