Seguridad de la información

Transferencia de datos sensibles al exterior

Bajo la legislación colombiana, la transferencia de datos de salud a un país extranjero está sujeta a regulaciones y restricciones para proteger los datos personales. La Ley 1581 de 2012, conocida como Ley de Protección de Datos Personales, y sus decretos reglamentarios son las principales leyes que rigen la protección de datos personales en Colombia.

Para transferir datos de salud a un país extranjero se deben cumplir con obligaciones legales, entre otras:

Consentimiento informado y expreso: Antes de transferir datos de salud, el titular de los datos (la persona a quien pertenecen los datos) debe otorgar su consentimiento informado y expreso al tratante. El consentimiento debe obtenerse de manera clara y transparente, explicando el propósito de la transferencia, la identidad del destinatario y los posibles riesgos asociados con la transferencia.

Necesidad: Justificación necesaria para proveer un servicio, para cumplir con una obligación legal, satisfacer un interés vital para titular de los datos

Limitación de propósito: La transferencia de datos de salud a un país extranjero debe estar justificada por un propósito legítimo y específico, y no se permite un uso adicional de los datos que no esté relacionado con ese propósito original o compatible.

Adecuación: El país extranjero debe ofrecer un nivel adecuado de protección de datos, determinado por la Superintendencia de Industria y Comercio (SIC) de Colombia.

Medidas de seguridad: El responsable del tratamiento de datos debe implementar medidas adecuadas para proteger los datos de salud durante la transferencia y garantizar su procesamiento seguro en el país extranjero.

– Acuerdos de procesamiento de datos
– Derechos de los titulares
– Acuerdos para notificación de violación de datos

Si bien no se han registrado casos judiciales específicos contra proveedores de servicios de salud en Colombia por transferir datos a países extranjeros, existen sanciones impuestas por la SIC

La SIC emitió un fallo en 2017 contra una importante clínica en Bogotá por transferir datos de salud a Estados Unidos sin el consentimiento de los pacientes. La SIC ordenó cesar la transferencia y tomar medidas para proteger la privacidad de los datos.

En 2021, la SIC impuso multa en febrero 25 de 2021 a una reputada empresa farmacéutica colombiana por no obtener el consentimiento de los pacientes antes de transferir sus datos de salud a un país extranjero. La SIC encontró que la farmacéutica había transferido los datos de salud de sus pacientes a Estados Unidos sin su consentimiento. La SIC ordenó a la empresa a pagar una millonaria multa.

Proteja la salud de sus datos

¿por qué el sector salud es de tanto interés para los ciberdelincuentes?

Almacenamiento de datos personales sensibles y valiosos, como historias clínicas, datos de seguros médicos, tarjetas de crédito, que son asombrosamente bien pagos en el mercado negro para cometer fraudes financieros y robo de identidad.Los sistemas y dispositivos utilizados en el sector salud a menudo presentan vulnerabilidades de seguridad, como configuraciones inseguras o falta de actualizaciones, lo que permite a los ciberdelincuentes acceder a información confidencial.Acceso a valiosos datos de investigación y propiedad intelectual que posee la triada instituciones de salud, farmacéuticas y universidades. Buscan vender la investigación o acceder a propiedad intelectual relacionada con tratamientos y dispositivos médicos.


Como empresa certificada en ISO 27001 queremos aportar algunas sugerencias sobre cómo gestionar efectivamente los procesos de ciberseguridad en el sector salud:

  • Concienciación y capacitación: Inicie educando sobre cómo reconocer correos electrónicos de phishing, el uso seguro de contraseñas y la importancia de no compartir información confidencial o cifrarla.
  • Políticas de seguridad: que sean claras y aplicables, que aborden aspectos como contraseñas seguras, actualizaciones de software, acceso a datos sensibles y el manejo de incidentes de seguridad.

  • Gestión de accesos y privilegios: Garantice que solo los usuarios autorizados tengan acceso a la información confidencial, el uso de autenticación de múltiples factores y revisiones periódicas de los privilegios de los usuarios.
  • Actualizaciones y parches: Todos los sistemas y software deben estar actualizados con los últimos parches de seguridad. Esto cierra las brechas de seguridad conocidas y protege los sistemas contra ataques.

  • Sistemas de detección y prevención de intrusiones: Identificar actividades sospechosas, como malware y comportamiento anómalo, y responder de manera rápida y efectiva a los ataques. Implementar soluciones de protección en tiempo real que además mejoren la capacidad de investigación y análisis forense posterior a un incidente, lo que contribuye a una respuesta más efectiva y a una mitigación más rápida de los ataques.
  • Copias de seguridad y recuperación de desastres: Realizar copias de seguridad periódicas de los datos críticos y establecer un plan de recuperación de desastres. Esto ayuda a garantizar que los datos se puedan restaurar en caso de un ataque exitoso de ransomware u otro evento catastrófico.

  • Auditorías de seguridad: Las auditorías de seguridad periódicas evaluan el cumplimiento de las políticas y los controles de seguridad, identifican posibles brechas y mejoras continuas.
  • Monitoreo de seguridad: Que registre y analice los eventos de seguridad en tiempo real. Esto ayuda a identificar y responder rápidamente a incidentes de seguridad.
  • Asignar recursos y responsabilidades: Designa a un equipo o una persona responsable de la gestión de la ciberseguridad en tu organización. Estos expertos deben tener la autoridad y los recursos necesarios para implementar y mantener los controles de seguridad.

Para mayor información contáctenos o escriba a nuestra mesa de ayuda: [email protected]

¡Alerta de Seguridad! Actualiza tu Plugin de WordPress para Proteger tu Sitio Web de ataques

La firma de seguridad Defiant notifica una vulnerabilidad crítica en Essential Addons for Elementor. ¡Pero no te preocupes! Existe una solución sencilla y efectiva: actualiza tu plugin a la última versión disponible.

La vulnerabilidad en cuestión, conocida como CVE-2023-32243, tiene una puntuación de gravedad de 9.8 (CVSS score), Les explico: resulta que un pillo malintencionado podría intentar hacerse con el control de cualquier cuenta de usuario de WordPress, ¡sí, así como lo oyen! Pero tranquilos, porque ya tenemos la solución a la vuelta de la esquina.

No esperes más y asegúrate de tener la versión más reciente de Essential Addons for Elementor. Recuerda, ¡tu seguridad es lo primero!

Quieres conocer mas: visita este enlace