Sernac ofició a Clínica Dávila por hackeo de datos sensibles de sus pacientes

El Servicio Nacional del Consumidor (Sernac) ofició a Clínica Dávila con el objetivo de recabar información detallada respecto de un incidente de ciberseguridad que habría afectado a sus sistemas informáticos y comprometiendo datos personales y sensibles de pacientes.

Según antecedentes -que incluso se dieron a conocer a través de medios de comunicación- la clínica habría sido víctima de una intrusión masiva a sus activos digitales, atribuida preliminarmente a un grupo de ransomware extranjero llamado Devman, lo que habría derivado en la exfiltración de aproximadamente 250 GB de información de carácter sensible y reservado.

Entre los datos se encontrarían fichas clínicas, diagnósticos médicos, resultados de exámenes de alta sensibilidad (incluidos los de VIH), copias de cédulas de identidad y bases de datos operativas.

Por esta razón, Sernac requirió a la clínica entregar, en un plazo de 10 días hábiles, una serie de antecedentes, entre ellos:

- Versión oficial de los hechos y cronología del incidente de ciberseguridad.

- Número total de pacientes afectados, desagregado según tipo de dato comprometido.

- Información sobre las medidas de seguridad existentes, el vector de ataque y las acciones adoptadas para contener y erradicar la intrusión.

- Los mecanismos de comunicación utilizados para informar a los pacientes afectados y el número de reclamos recibidos.

- Las medidas preventivas implementadas para evitar nuevos incidentes y la postura de la clínica frente a su eventual responsabilidad civil y administrativa ante estos hechos.

El Sernac enfatizó que la seguridad en el tratamiento de los datos personales forma parte de los derechos establecidos en la Ley del Consumidor (LPC).

En caso de no entregar la información solicitada, Sernac puede ejercer otras acciones judiciales y administrativas para ir en defensa de los derechos de las y los consumidores.

PURANOTICIA