asnc.png


asnc.png
Canadá: advierten que los datos privados de las historias clínicas podrían ser utilizados por organismos de seguridad extranjeros o con fines comerciales
Canadian Medical Association Journal Ottawa, Canadá 04 Agosto, 2025

Las versiones electrónicas de registros médicos canadienses necesitan protección para evitar que entidades extranjeras accedan a los datos personales de los pacientes. 

El comentario que publica la revista Canadian Medical Association Journal * (CMAJ) señala que las historias clínicas con información referida a los pacientes son almacenadas principalmente en servidores de la nube cuya propiedad pertenece a empresas estadounidenses sujetas a las leyes de su país.

Michael Geist, profesor titular de la Cátedra de Investigación en Derecho de Internet y Comercio Electrónico de la Universidad de Ottawa, Canadá, es uno de los tres especialistas firmantes del comentario que publica la renombrada revista norteamericana.

Utilizar los datos de salud
El comentario de CMAJ advierte acerca de los "graves riesgos económicos, de privacidad y de seguridad cuando empresas de otros países poseen y utilizan datos canadienses". Entre ellos, destaca el posible uso de la información para la vigilancia policial o por empresas privadas que buscan datos con fines comerciales. 

Estados Unidos aprobó en 2018 la Ley para Clarificar el Uso Legal de Datos en el Extranjero (Clarifying Lawful Overseas Use of Data - CLOUD), que puede obligar a las empresas a divulgar información de sus clientes incluso cuando permanece almacenada fuera de su territorio.

 

Además de la Ley CLOUD, la preocupación contempla la posibilidad de que empresas extranjeras se beneficien de los datos de salud de los canadienses. Con el auge de la inteligencia artificial (IA) el creciente valor de información constituye una enorme reserva en condiciones de utilizarse para generar algoritmos de IA, aunque las empresas de la nube afirmen que sus clientes poseen y controlan sus propios datos.  

Los riesgos revelan las deficiencias de las leyes de privacidad de Canadá. Los registros de los pacientes pertenecen a ellos, deben utilizarse para fines que los beneficien en vez de ser aprovechados por otros intereses.

Antecedentes del uso privado
El riesgo del acceso extranjero unilateral a los datos sanitarios surgió en 2003, cuando la provincia canadiense Columbia Británica anunció sus planes de traspasar la gestión de datos sanitarios al sector privado. Los dos principales licitadores con sede en EE.UU., generaron inquietudes motivadas por las leyes locales que permitían al gobierno acceder a datos en poder de empresas de su país con fines de seguridad nacional.
El sindicato de empleados estatales y de la provincia candiense impugnó la privatización externa. El Tribunal Supremo la desestimó en 2005, aclarando que se habían tomado medidas razonables para garantizar la confidencialidad. Al cabo del tiempo, las normas definitivas surgidas en la controversia definieron restricciones para que las agencias gubernamentales extranjeras no pudieran acceder a los datos subcontratados. 

Cuestionamiento actual
El comentario de CMAJ precisa que son tres las empresas estadounidenses con presencia en la nube que dominan el mercado canadiense: Google Cloud, Microsoft Azure y Amazon Web Services.

Google declaró que «los datos pertenecen a nuestros clientes, no a Google Cloud». Afirma que, al igual que muchas empresas tecnológicas, recibe solicitudes de gobiernos y tribunales para divulgar información de sus clientes, generalmente como parte de investigaciones penales.
En particular, evitó pronunciarse sobre los datos sanitarios canadienses: «Google ofrece una respuesta caso por caso, teniendo en cuenta diferentes circunstancias y teniendo en cuenta los requisitos legales, los acuerdos con los clientes y las políticas de privacidad». Al finalizar su argumentación afirmó. «Nos comprometemos a proteger la privacidad y al mismo tiempo a cumplir con las leyes aplicables».

Microsoft dijo que en la segunda mitad de 2022, de las casi 5.000 solicitudes de "datos de consumidores" requeridos por organismos de seguridad de EE.UU., 53 órdenes correspondían a contenidos almacenados fuera del país. Microsoft explica que revisa las solicitudes gubernamentales para corrobporar su validez, rechaza las inválidas y solo proporciona los datos requeridos en la orden legal.

Amazon, por su parte, afirmó que «no divulga información de clientes en respuesta a demandas gubernamentales a menos que estemos obligados a hacerlo para cumplir con una orden legalmente válida y vinculante». Amazon Web Services declaró que no recibieron solicitudes gubernamentales correspondientes a datos almacenados fuera de EE. UU..

Límites a las leyes de Canadá
Los expertos en privacidad afirman que el fracaso de las leyes de Canadá para seguir el ritmo de la tecnología cambiante arriesga la soberanía de datos del país.
La actualización de las leyes provinciales y la nacional de Protección de Información Personal y Documentos Electrónicos (Personal Information Protection and Electronic Documents Act - PIPEDA), podría crear una barrera de protección contra posibles solicitudes de datos que reciba Canadá.

El comentario pide «penas más severas por la divulgación no autorizada de información personal sin consentimiento y la advertencia de que las órdenes de tribunales extranjeros relacionadas con datos canadienses no son ejecutables en Canadá».
El organismo Innovación, Ciencia y Desarrollo Económico de Canadá (Innovation, Science and Economic Development) alega que PIPEDA se aplica cuando se transfieren datos a través de la frontera, lugar físico que por sí solo indica que la ley carece de actualización y solidez.

El comentario también solicita que el país desarrolle para datos de salud servidores locales en la nube con alojamiento de los datos en suelo canadiense.
La riqueza de la información sanitaria generada por el sistema de salud debería permanecer en Canadá con el fin de beneficiar a los habitantes del país.
Los autores contemplan el potencial de las empresas para garantizar el desarrollo de algoritmos de IA, capaces de respaldar las decisiones basadas en datos representativos de la salud poblacional canadiense; además proponen el cifrado de datos de salud con alojamiento en suelo canadiense, aplicar un estatuto de bloqueo en las leyes de privacidad e invertir en la instalación en la nube de servidores soberanos dedicados al tema.


* Canadian Medical Association Journal
Ensuring the sovereignty and security of Canadian health data
Michael Geist, Mari Teitelbaum, Kumanan Wilson
28 de julio, 2025
DOI: https://doi.org/10.1503/cmaj.250488

 

Investigación+Documentación S.A. edita los contenidos científicos de saludpublica.com con procedimientos técnicos e informáticos propios.
Los documentos que integran la base de datos de saludpublica.com son provistos por prestigiosas fuentes científicas internacionalmente reconocidas y la agencia Sistema de Noticias Científicas (aSNC).
Copyright saludpublica© 1999-2022, Sociedad Iberoamericana de Información Científica (SIIC)