La cantante Shakira regresó al Perú después de 14 años para ofrecer dos conciertos en Lima en la quincena de febrero. Sin embargo, durante su estadía en Perú, fue hospitalizada en la Clínica Delgado Auna debido a dolores abdominales, donde hubo una filtración de sus datos médicos en redes sociales y medios de comunicación. La clínica donde fue atendida condenó la filtración y anunció que castigará a los miembros del personal que resulten responsables. Por su parte, la Superintendencia Nacional de Salud (Susalud), que vigila el sistema sanitario, inspeccionó la clínica e inició de inmediato una investigación del incidente.

Poco más de cuatro meses después han concluido la investigación e impuesto una sanción a la citada clínica por no cuidar la confidencialidad del parte médico de la artista colombiana: una multa de 125 Unidades Impositivas Tributarias (UIT), lo cual equivale a unos US$188 mil. Las autoridades peruanas dictaminaron que la clínica incurrió en una infracción administrativa grave al violar la intimidad, dignidad y reserva de la información médica de Shakira.

La multa subraya el compromiso de las autoridades con la protección de los datos personales de los pacientes. Susalud enfatizó que la clínica Delgado-Auna violó la Ley de Protección de Datos Personales, la Constitución Política del Perú y la Ley General de Salud, normativas que garantizan el derecho de los pacientes a la confidencialidad de su información médica. Erick Muñoz, superintendente adjunto de Susalud, enfatizó que el historial clínico de un paciente es inviolable, independientemente de su relevancia pública.

GIF-campaña-2026-procurement-1

GIF-campaña-2026-procurement-2

GIF-campaña-2026-fin-eBIZ25

Este grave incumplimiento ético, que conllevó la filtración de datos sensibles de la reconocida cantante, fue posible por una conducta inapropiada de algunos sujetos y es responsabilidad de la clínica porque ella está obligada a cuidar la privacidad de la historia clínica. El monto de la multa se aplicó rigurosamente, sin considerar la identidad de la víctima, remarcaron desde Susalud.

Los datos personales, en términos generales, son cualquier información que identifica o hace identificable a una persona. Los datos sensibles, en cambio, son un subconjunto de datos privados que requieren una protección especial debido a su potencial para causar discriminación o daño si se utilizan indebidamente. Pueden ser sensibles los datos aquellos que revelan aspectos más íntimos de la persona, incluyen información sobre origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, vida sexual, datos biométricos, enfermedades, etc. Quienes los manejan deben darles cuidados especiales y reforzar la seguridad informática.

Su protección está normada en la mayoría de los países. Por ejemplo, en Estados Unidos, 20 estados han demadado al Gobierno de Trump por divulgar datos privados de Medicaid a funcionarios de deportación. Según una nota de AP (Associated Press) citada en CNN, el gobierno de Donald Trump violó leyes federales de privacidad al entregar el mes pasado datos de Medicaid de millones de inscritos a funcionarios de deportación, afirmó este martes el fiscal general de California, Rob Bonta. Los asesores del secretario de Salud, Robert F. Kennedy Jr., ordenaron la divulgación de un conjunto de datos que incluye información médica privada de personas  no ciudadanas de Estados Unidos que viven en California, Illinois y Washington, al Departamento de Seguridad Nacional (DHS, por sus siglas en inglés).

La multa subraya el compromiso de las autoridades con la protección de los datos personales de los pacientes. Susalud enfatizó que la clínica Delgado-Auna violó la Ley de Protección de Datos Personales, la Constitución Política del Perú y la Ley General de Salud, normativas que garantizan el derecho de los pacientes a la confidencialidad de su información médica.

«Los datos personales de salud son confidenciales y solo pueden compartirse en circunstancias muy limitadas que beneficien a la salud pública o al programa de Medicaid», dijo Bonta en una conferencia de prensa tras lamentar que se haya compartido direcciones, nombres, números de seguro social, estatus migratorio y datos de reclamaciones. Bonta afirmó que la divulgación de datos por parte del Gobierno de Trump viola leyes federales de privacidad médica, incluyendo la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés), la Ley del Seguro Social y la Ley de Privacidad de 1974.

Responsabilidades

En los casos de filtración de datos pueden existir muchas variables que los hacen posibles, pero generalmente hay una acción indebida al interior de la organización. Están desde los empleados que involuntariamente hacen clic en un archivo infectado bajo engaños y permiten el ingreso de un extraño a la red o las bases de datos de la empresa que no están accesibles para todos, hasta aquellos que lo hacen apropósito, como un empleado que toma una foto a la pantalla en donde se ven los datos médicos de un paciente para compartirlo con alguien más.  

Las brechas de seguridad son responsabilidad de la empresa, la cual debe capacitar a los usuarios en medidas de protección de la información y estar alertas a filtraciones si no desea ser sancionada. Por ejemplo,  la Autoridad Nacional de Protección de Datos Personales (ANPD) del Ministerio de Justicia y Derechos Humanos (MINJUSDH), y el Centro Nacional de Seguridad Digital (CNSD), dependiente de la Presidencia del Consejo de Ministros, emiten alertas cuando hay riesgos y los usuarios deben considerarlos. Recientemente se lanzó una alerta de seguridad digital urgente por la filtración global de 16 mil millones de contraseñas de plataformas como Apple, Google, Facebook, entre otros, en 30 bases de datos. En sus comunicados pidieron a los usuarios cambiar sus contraseñas para evitar que delincuentes accedan a sus datos personales.

Este grave incumplimiento ético, que conllevó la filtración de datos sensibles de la reconocida cantante, fue posible por una conducta inapropiada de algunos sujetos y es responsabilidad de la clínica porque ella está obligada a cuidar la privacidad de la historia clínica.

Erick Iriarte, CEO de eBIZ, recordó que en la actualidad contamos en el país con un nuevo reglamento de la ley de protección de datos personales y cumplirlo ayudará a las empresas a cuidar la información de sus clientes y evitar ser sancionadas. Explicó que ahora se debe contar con un Oficial de Datos Personales (ODP) que debe ser un profesional capacitado que actúe como punto de contacto entre la empresa, la autoridad reguladora y los titulares de datos. Puede pertenecer al área legal, tecnológica o de compliance, y no solo debe responder solicitudes o incidentes, sino también promover políticas internas, evaluaciones de riesgo y capacitar al personal para evitar ser víctimas de los cibercriminales y originar una filtración de información.