Con la colaboración de Gianfranco Huamán

En julio de 2018, Mauricio* se atendió en el servicio de emergencia de la clínica San Pablo, en el distrito limeño de Surco, por dolores en su columna cervical. Menos de dos semanas después, su empleadora —la aerolínea Avianca— le envió una carta notarial sancionándolo con una suspensión de tres días. 

Entonces, él no lo sabía. Pero la asistenta social y el médico ocupacional de la aerolínea le habían pedido su información a la clínica para verificar su estado de salud. A pesar de que él no había otorgado su consentimiento para algo así, el centro médico les envió los datos por correo electrónico. 

Esta filtración dio origen a un largo proceso de reclamo por parte de Mauricio ante la Superintendencia Nacional de Salud (Susalud) y la Autoridad Nacional de Protección de Datos Personales (ANPD). Cinco años después, la clínica fue multada con S/74.700 por incumplir la confidencialidad de su información médica.

Mauricio fue sancionado en su trabajo tras la filtración de su atención médica".

Los datos de Alejandra* también fueron compartidos sin su consentimiento. Durante una cita en el Centro Odontológico Americano, en octubre de 2021, el dentista le recomendó el uso de cepillos de dientes especiales. Luego, este compartió el número de teléfono de la paciente con la empresa WG Dental Corp, dedicada a la venta de insumos médicos. 

El mismo día, después de su atención, Alejandra recibió un mensaje por WhatsApp de esa empresa. Le decían que “podrían ayudar con la receta”.   

En ambos casos, los datos personales de los pacientes fueron recopilados en atenciones médicas y, luego, transferidos y utilizados para fines no relacionados con la consulta. 

Esta investigación de OjoPúblico en alianza con Connectas revela la recopilación masiva y sin consentimiento de datos médicos y personales realizada por clínicas y aseguradoras en el ámbito nacional: al menos, 83 empresas de salud y aseguradoras fueron identificadas y sancionadas con multas de más de S/4 millones, en la última década, por vulnerar la privacidad de sus pacientes y usuarios.

Entre las infractoras hay empresas de los grupos comerciales Credicorp, Intercorp, Auna, San Pablo y Breca. El análisis de 195 infracciones cometidas por las 83 empresas reveló que la falta más común es la recopilación de datos sin el consentimiento válido de los pacientes.

Los otros tres incumplimientos que más se repiten son: no registrar la base de datos ante la autoridad, almacenar datos sin cumplir las medidas de seguridad y transferir los datos a terceros sin el consentimiento de los pacientes, como ocurrió en los casos de Mauricio y Alejandra. 

La difusión de la información privada de salud

La revisión de expedientes y las declaraciones oficiales dejan en evidencia cómo estos incumplimientos causan impactos severos en la vida de los pacientes.

María González Luna, encargada de la Dirección de Protección de Datos Personales de Perú, lo explica: “Cuando hablamos de salud, hablamos de datos sensibles. No es lo mismo que se revele tu teléfono, aunque puede ser algo molesto que te llamen sin consentimiento, que el estado de salud. [Esto último] afecta mucho más a la intimidad porque es información que no se quiere compartir. Por ejemplo, en el caso de VIH o tuberculosis, las personas suelen ser estigmatizadas”.

Casos como estos ya ocurrieron. Por ejemplo, en 2015, Adolfo* se presentó a una convocatoria de trabajo para el puesto de ejecutivo de ventas en la agencia de viajes Domiruth Travel Service, en el distrito limeño de Miraflores. Como parte del proceso, la empresa les pidió a los postulantes que se realicen un examen de salud en el laboratorio Synlab Perú S.A.C. Esta institución filtró el diagnóstico de VIH+ del postulante a la empresa turística sin su consentimiento.

DAÑO. Filtrar información médica puede provocar prejuicios contra pacientes.

Ilustración: Jhafet Ruiz Pianchachi

González Luna explica que la agencia solicitaba información excesiva para el puesto. “Hay una ley que señala específicamente en qué casos se puede pedir esta prueba [por ejemplo, para el personal de salud], dada la estigmatización que causa el tener este virus”. 

La funcionaria precisó que los exámenes y la historia clínica no deben ser enviados a los centros laborales o en una convocatoria, ya que eso vulnera los datos personales. Lo que corresponde a los centros médicos es solo informar si una persona es apta o no para cumplir con una labor.

De acuerdo con un análisis elaborado para esta investigación, en Perú hay, al menos, 381 clínicas, centros privados de salud y aseguradoras que realizan el tratamiento de los datos de salud con autorización de la Autoridad Nacional de Protección de Datos Personales. 

Los centros de salud autorizados para recopilar información manejan, a la fecha, 1.352 bancos de datos distintos. Alrededor del 33% de ellos acopia y almacena información sensible. Por ejemplo, datos de índole sexual, biométricos y de creencias religiosas. 

Esta cifra representa apenas el 2,6% de las 15.516 entidades privadas que se dedican a prestar servicios de salud en el país. En otras palabras, la gran mayoría recopila y usa la información de sus pacientes fuera del marco legal.

Extraer información a hurtadillas

El problema parte, muchas veces, de términos contractuales opacos: el 40,51% de las empresas sancionadas del sector salud y seguros recopilaron información sin que los usuarios lo sepan. 

Diego* creó una cuenta virtual en la Clínica Internacional para tramitar sus atenciones en los diversos consultorios del establecimiento. Sin embargo, luego de eso, empezó a recibir constantes correos electrónicos de la clínica. 

“Hola, les escribo para reportar promociones no solicitadas. Estoy recibiendo correos de la Clínica Internacional con promociones y no hay opción para dejar de recibir correos!”, reclamó a través del canal No Insista del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi).

Tras esa comunicación, el Indecopi le solicitó a la clínica un informe sobre las comunicaciones realizadas para ofertar productos en los últimos 175 días. En ese periodo, la clínica había contactado a sus usuarios en más de 2 millones de oportunidades: unos 12.182 correos, llamadas y mensajes de WhatsApp al día. 

Al igual que Diego, muchos usuarios de la entidad fueron afectados por el uso de su información para fines distintos a su atención, como la promoción de productos no solicitados.

RECREACIÓN. Conversación extraída del expediente de la denuncia. 

Imagen: OjoPúblico

Tras recibir la denuncia de Diego, el Indecopi derivó su caso a la Autoridad Nacional de Protección de Datos Personales, pues era la entidad que tenía competencia en un tema así. El año pasado, ese organismo determinó, en última instancia administrativa, que la Clínica Internacional había empleado datos personales de sus usuarios para fines adicionales a los acordados.

“El problema que muchas veces sucede es que [en] las clínicas, por cómo está redactado el contrato, está todo amarrado para que tú aceptes el servicio de salud y también el marketing, no tienes capacidad de negarte. Si tú quieres acceder al servicio de salud, tienes que aceptarlo”, cuenta Dilmar Villena Fernández Baca, director ejecutivo de la ONG Hiperderecho. 

En su opinión, la mejor opción es tener dos documentos diferentes. “Uno para tu tratamiento médico y otro aparte para autorizar la transferencia de esa información con el conglomerado empresarial, y tú deberías tener la posibilidad de rechazarlo o aceptarlo”, indicó. 

Si tú quieres acceder al servicio de salud, tienes que aceptarlo”.

Aunque estas prácticas se realizan de forma cotidiana, en realidad implican una vulneración a la privacidad de los usuarios y, también, un incumplimiento de la ley. Franco Giandana Ginena, analista de políticas públicas para Latinoamérica de Access Now, explica que los datos personales —en especial los de salud— están protegidos y no pueden usarse libremente, a menos que se cuente con el consentimiento de las personas. 

En esos casos, la entidad puede usar sus datos para otros fines. No obstante, para  que el consentimiento sea válido, debe cumplir con cuatro características: ser libre, previo, informado y expreso. Dicho de otro modo, la persona debe aceptar sin presiones, engaños, ni errores. Además, su decisión debe expresarse de manera clara, ya sea de forma oral o escrita, antes de que se empiecen a recopilar sus datos. 

RECURSO. Bases de datos recolectan información sensible de millones de usuarios. 

Ilustración: Jhafet Ruiz Pianchachi

A la par, la entidad que almacena la información debe notificar a las autoridades y usuarios quién será el responsable del tratamiento de esos datos, las finalidades del acopio, la identidad de los que son o pueden ser sus destinatarios y las posibles consecuencias que puede traer a los usuarios compartir su información. Estos requisitos son los más vulnerados por las empresas del sector en Perú.

El abogado especialista en derecho digital Erick Iriarte Ahon apunta que, si bien se ha observado que muchas empresas recolectan datos sin la transparencia adecuada, también ocurre que las personas no leen los términos y condiciones antes de dar su consentimiento. Esto, sostiene, los lleva a dar autorizaciones que no comprenden completamente y, por consiguiente, a un uso indebido de sus datos. A su criterio, falta educación sobre tratamiento de datos y ciberseguridad. 

Sin embargo, para Franco Giandana, la desigualdad de posiciones entre un paciente y una entidad del sistema de salud es enorme. “Yo soy un paciente que requiere atención profesional y vos sos la institución que provee ese servicio. Por ende, yo estoy en una condición de vulnerabilidad en la que es muy difícil que me ponga a negociar el consentimiento”, indicó.

La reincidencia de grupos comerciales

Las empresas de salud y seguros que pertenecen a grandes grupos comerciales acumulan más de S/1 millón en multas. Entre ellos se encuentran: Credicorp —el holding financiero más grande del país con presencia en Colombia, Bolivia, Chile, Panamá y Estados Unidos—, Intercorp, Corporación Breca —un conglomerado comercial con actividades en el sector seguros, salud, minero y pesquero— y el Grupo Auna —dueño de Oncosalud, Oncocenter, laboratorio Cantella y nueve clínicas en el país—.

Estas compañías tienen bases de datos de millones de personas, como lo muestran los expedientes del Indecopi y la Autoridad Nacional de Protección de Datos Personales.

Oncosalud —el programa oncológico de Auna, con más de 900.000 afiliados— es reincidente en el mal uso de datos personales de sus usuarios. Desde 2019, ha recibido dos amonestaciones por recolectar información de forma inadecuada, y por no inscribir sus bases de datos ante la autoridad del sector.

La empresa —de forma similar a Clínica Internacional— obtuvo consentimientos inválidos durante la firma de contratos para acceder a sus servicios, que permitieron transferir su información.  

Los datos recopilados eran enviados a distintas empresas de telemarketing. La autoridad detectó que Oncosalud no adoptaba ninguna medida para que las empresas que subcontrató para gestionar sus productos obtuvieran datos personales de usuarios sin infringir la ley. Así, lo detalla una resolución de la Dirección de Fiscalización e instrucción de la Autoridad Nacional de Protección de Datos Personales de 2021, que dió inicio a un proceso sancionador contra la empresa.

Las contratistas sancionadas por mal uso de datos personales que tuvieron o mantienen relación con Oncosalud son: Tcontakto S.A.C., Biznes S.A.C., y Servicios de Call Center del Perú S.A., del grupo Entel.

Rimac Seguros también recopiló información de sus usuarios sin consentimiento y para fines no relacionados a sus consultas. En este caso, usaron formularios físicos y de su sitio web para seguros de protección familiar, de salud oncológica y de vida, para recabar la información.  

Empresas obtienen consentimientos inválidos durante la firma de sus contratos".

El banco de datos personales de clientes de la aseguradora cuenta con un registro de, aproximadamente, 1 millón de personas. La empresa acopia y guarda información personal de estos usuarios por un tiempo indeterminado en ocho sedes que tiene en Perú. 

Por este caso, la Autoridad Nacional de Protección de Datos Personales sancionó a la aseguradora, en 2021, con una multa de, aproximadamente, S/63.000. Durante esta investigación se corroboró que la empresa no ha subsanado las irregularidades de su formulario web: al cierre de este informe, la declaración personal de salud-seguro oncológico integral incluye una cláusula.

La misma indica que, al firmar el documento para acceder al seguro oncológico, también se acepta que Rímac “utilizará los datos personales con fines comerciales y publicitarios, a fin de remitir información sobre productos y servicios que la aseguradora considere de su interés”. En otro punto, agrega que, “en caso se decida no proporcionarlos, no será posible la prestación de servicios por parte de la entidad”.

El 19% de clínicas, aseguradoras, laboratorios y farmacias sancionadas por la Autoridad Nacional de Protección de Datos Personales han sido reincidentes. Es decir, han persistido en el mal tratamiento de datos personales. 

La posibilidad de judicializar las sanciones —y, mientras tanto, evitar los pagos— puede incentivar la reincidencia. “Si yo, como empresa, veo que haciendo este marketing, no necesariamente del todo legal, puedo tener más asegurados… son costos que puedo asumir. De otro lado, estas multas, como son de ámbito administrativo, las llevan a un procedimiento contencioso administrativo y hacen que el proceso dure tres, cuatro o seis años”, explica Dilmer Villena.

En solo dos años, 53 empresas multadas por la Autoridad Nacional de Protección de Datos Personales judicializaron 61 casos.

Todas las compañías sancionadas fueron contactadas para conocer su versión de los hechos. Oncosalud indicó que habían planteado acciones legales contra las sanciones. Interseguro, en paralelo, aseguró que todas las observaciones de la entidad fueron resueltas y que “siempre ha mantenido un firme compromiso con el cumplimiento de la Ley de Protección de Datos Personales”. Las demás empresas no brindaron declaraciones. 

En cuanto a los call center, Tcontakto indicó que la multa de 2018 se dio porque realizaron tratamientos de datos personales sin el consentimiento de los titulares. “Nuestra posición ha sido que, en un primer instante de la llamada, solicitábamos la autorización de contacto a los potenciales clientes y, si estos aceptaban, en esa misma llamada se les ofrecía el producto”, alegaron. 

Sin embargo, en la resolución de sanción, la Autoridad de Datos Personales detalla que la empresa acopió información de fuentes públicas, como páginas amarillas, el Registro Nacional de Identificación y Estado Civil (Reniec) o la Superintendencia Nacional de Aduanas y de Administración Tributaria (Sunat). Y, luego, la empleó para vender planes oncológicos de Oncosalud. Esto, remarcaron, difiere del fin inicial para el cual las personas proporcionaron su información a fuentes públicas. Los demás call centers no atendieron llamadas ni correos.

Ojos extraños acceden a tu información

En junio pasado, en un foro de la darkweb, se anunció la filtración de 593.942 registros de pacientes del centro médico Jockey Salud. Según la descripción del usuario que puso a la venta la filtración, el paquete incluía datos sobre atenciones médicas, tratamientos, medicinas adquiridas y datos de identificación personal de los usuarios de la clínica.

El caso pone en evidencia los riesgos que acarrean medidas de seguridad inadecuadas para las bases de datos, una de las tres faltas más frecuentes. Hasta el 15 de setiembre, la Autoridad Nacional de Protección de Datos Personales no fue notificada por Jockey Salud por este caso. Sin embargo, investiga otras presuntas filtraciones de datos médicos almacenados por Medifarma, el Ministerio de Salud y Essalud. Según la persona que comercializa la información, comprenden más de 19 millones de registros.

DAÑOS. Falta de medidas de seguridad en bases de datos personales pone en riesgo a usuarios. 

Ilustración: Jhafet Ruiz Pianchachi

Dilmar Villena explica que el manejo inadecuado de la información personal de los pacientes y usuarios del sistema de salud puede provocar mayor riesgo de ser víctima de actividades delictivas. 

“Lamentablemente, la situación actual en el Perú, de crimen organizado y de inseguridad ciudadana, nos puede llevar a tener una genuina preocupación sobre nuestra información, sobre dónde circula y dónde termina. Puede llegar no solo a empresas que hacen marketing no deseado, sino también a mercados ilegales y puede ser utilizada para cualquier tipo de fines, incluso extorsión”, advierte.

La falta de medidas de seguridad es uno de los mayores problemas del sector. De acuerdo con la data recogida para esta investigación, el 12,97% de los centros de salud particulares y aseguradoras que realizan tratamiento de datos no cuentan con un documento de seguridad, que describe las medidas técnicas, físicas y administrativas implementadas para proteger los datos personales.

Sumado a la poca seguridad de los datos, los usuarios no pueden saber de forma detallada a quién se remitió su información, con qué motivos y en qué momentos. Así lo evidencian 10 solicitudes enviadas en el marco de esta investigación a las clínicas Sanna, Internacional, Good Hope, San Pablo, Ricardo Palma, Sannitas y Velisario y las aseguradoras Pacífico y La Positiva. 

Ninguna de estas empresas proporcionó detalles sobre la trazabilidad de los datos, pese a que las normas peruanas establecen que los usuarios, como propietarios de sus datos, tienen derecho a conocer esos detalles.

* Los nombres de los afectados que figuran en los expedientes fueron tachados por la ANDP o fueron cambiados para mantener su privacidad.