VER RESUMEN

Resumen generado con una herramienta de Inteligencia Artificial desarrollada por BioBioChile y revisado por el autor de este artículo.

El Sernac ofició a la Clínica Dávila por filtración de 250GB de datos sensibles, incluyendo fichas clínicas y diagnósticos médicos. Se pide información sobre el incidente de ciberseguridad y medidas tomadas. El Sernac advierte de posibles acciones legales si no se entrega la información solicitada.

El Servicio Nacional del Consumidor (Sernac) ofició a la Clínica Dávila -ubicada en la comuna de Recoleta, en el Gran Santiago- tras un incidente de ciberseguridad: se filtraron 250 GB de información.

“Entre los datos se encontrarían fichas clínicas, diagnósticos médicos y resultados de exámenes de alta sensibilidad (incluidos los de VIH)”, dijo el Servicio.

Ante ello, se le requirió a la clínica entregar, en un plazo de 10 días hábiles, la cronología de lo sucedido, el número de afectados y reclamos ingresados, entre otras cosas.

“La seguridad en el tratamiento de los datos personales forma parte de los derechos establecidos en la Ley del Consumidor (LPC)”, recordó el Sernac.

Se filtraron 250 GB de información

El Sernac comunicó que ofició a Clínica Dávila y Servicios Médicos S.A. con el objetivo de recabar información detallada respecto de un incidente de ciberseguridad que habría afectado a sus sistemas informáticos y comprometiendo datos personales y sensibles de pacientes.

Según antecedentes, la clínica habría sido víctima de una intrusión masiva a sus activos digitales, “atribuida preliminarmente a un grupo de ransomware extranjero llamado Devman, lo que habría derivado en la exfiltración de aproximadamente 250 GB de información de carácter sensible y reservado”, dijo el Sernac.

Entre los datos se encontrarían “fichas clínicas, diagnósticos médicos, resultados de exámenes de alta sensibilidad (incluidos los de VIH), copias de cédulas de identidad y bases de datos operativas”.

Por esa razón, el Sernac indicó que requirió a la clínica entregar, en un plazo de 10 días hábiles, una serie de antecedentes, entre ellos:

-Versión oficial de los hechos y cronología del incidente de ciberseguridad.
-Número total de pacientes afectados, desagregado según tipo de dato comprometido.
-Información sobre las medidas de seguridad existentes, el vector de ataque y las acciones adoptadas para contener y erradicar la intrusión.
-Los mecanismos de comunicación utilizados para informar a los pacientes afectados y el número de reclamos recibidos.
-Las medidas preventivas implementadas para evitar nuevos incidentes y la postura de la clínica frente a su eventual responsabilidad civil y administrativa ante estos hechos.

*Fuente: Sernac.

Por último, el Servicio sostuvo que “es importante señalar que la seguridad en el tratamiento de los datos personales forma parte de los derechos establecidos en la Ley del Consumidor (LPC)”.

En caso de no entregar la información solicitada, el Sernac advirtió que ejercerá “otras acciones judiciales y administrativas para ir en defensa de los derechos de los consumidores”.