Detectan historias clínicas y datos privados de miles de afiliados expuestos en la web del PAMI

En una preocupante falla de seguridad que reaviva el debate sobre la vulnerabilidad de la información en los organismos públicos, se detectó que el PAMI -la obra social estatal que atiende a más de 5,7 millones de jubilados y pensionados- mantiene de forma abierta y accesible en internet documentación privada de sus afiliados. La filtración incluye desde historias clínicas completas hasta copias de DNI y certificados de discapacidad, lo que representa una abierta violación a los marcos legales vigentes que deberían proteger a la población más vulnerable del sistema sanitario.

La información, disponible públicamente y sin ningún tipo de restricción ni tacha que resguarde la identidad de los pacientes, fue hallada de manera sistémica en el buscador de compras de las Unidades de Gestión Local (UGL) de la obra social. La falla responde a la carga independiente de datos que realiza cada unidad local al tramitar contrataciones y compras de insumos médicos.

Radiografía de una filtración masiva en el sistema de compras

Si bien la cuantificación total del daño resulta compleja debido a las decenas de miles de archivos PDF que componen la plataforma, un análisis focalizado sobre las compulsas abreviadas de los primeros dos meses de 2026 permitió registrar, al menos, 40 casos flagrantes de exposición de datos. Las denominadas "compulsas abreviadas" son procesos simplificados que utiliza el organismo para adquirir bienes y servicios de forma rápida, pero que en la práctica terminaron operando como una ventana sin llaves a la intimidad de los usuarios.

Los episodios constatados revisten distintas gravedades según la región:

UGL Jujuy: En un expediente iniciado por una afiliada para solicitar una trombectomía (eliminación de coágulos), el organismo subió al sistema la historia clínica pormenorizada de la paciente, su domicilio particular y los detalles clínicos de sus estudios. En otra compulsa de la misma provincia, quedaron expuestos los análisis de sangre y orina completos de una afiliada que requería un catéter.

UGL Misiones y Chivilcoy: Se detectaron carpetas que asocian el nombre, apellido y diagnóstico del jubilado con las prescripciones de sus tratamientos médicos.

Imágenes explícitas: Los archivos abiertos incluyen en algunos casos fotografías en alta resolución de lesiones corporales graves e imágenes médicas de estudios diagnósticos como colonoscopias.

Especialistas en seguridad informática advierten que la inclusión de fotocopias de DNI con el número de trámite visible representa un riesgo severo de seguridad, dado que esos datos facilitan la suplantación de identidad para gestiones financieras y administrativas no autorizadas.

Contradicción legal: la salud expuesta sin consentimiento

La difusión de este material colisiona directamente con dos normativas centrales del derecho civil argentino: la Ley de Protección de Datos Personales (que cataloga los datos de salud como "sensibles" y exige el secreto profesional o el consentimiento expreso para su tratamiento) y la Ley de Derechos del Paciente, que prohíbe taxativamente la divulgación de documentación clínica sin autorización del titular.

"El Estado no debe difundir datos sensibles de los ciudadanos, y tiene que tener especial atención con las reglas de anonimización, tacha y disociación", explicaron expertos en derechos civiles, quienes remarcaron que para que una publicación de este tipo sea legítima requiere una justificación legal de extrema gravedad fundamentada en el interés general, además del consentimiento informado del afectado.

La Agencia de Acceso a la Información Pública (AAIP) estipula de forma estricta que la manipulación de estos entornos exige la firma de convenios de confidencialidad por parte de funcionarios y terceros prestadores, un protocolo que pareció omitirse en las delegaciones locales del PAMI al momento de digitalizar los expedientes de compra.

La reacción oficial y la apertura de sumarios

Ante el hallazgo y la posterior consulta periodística, desde el área de Prensa de PAMI reconocieron el hecho y admitieron que la situación "constituye una anomalía grave y absolutamente contraria a los protocolos y estándares de protección de datos vigentes". Asimismo, señalaron que se trata de un episodio que "no debería ocurrir bajo ninguna circunstancia y que ya se encuentra bajo análisis interno".

Como medida de contingencia, las autoridades del instituto dispusieron la baja inmediata de todas las contrataciones y accesos vinculados a la información comprometida. No obstante, el retiro de los archivos de la web sucede en una instancia posterior a la exposición efectiva, por lo que el PAMI inició sumarios administrativos internos para delimitar las responsabilidades y aplicar las sanciones correspondientes a los agentes que subieron la documentación sin los debidos procesos de anonimización.

Con información de Chequeado.