27 de octubre de 2025

VÍA CORREO ELECTRÓNICO

Estimado/a custodio/a de información médica:

RE: Informe de violación de la privacidad HR24-00691

El 17 de diciembre de 2024, usted informó de una violación de la privacidad en virtud de la Ley de Protección de la Información Personal de Salud (la Ley) a la Oficina del Comisionado de Información y Privacidad de Ontario (IPC). La IPC abrió el expediente HR24-00691 para tratar este asunto.

Resumen de la Violación:

Circunstancias de la Violación

Usted informó que el 23 de septiembre de 2024, una reunión virtual de rondas de hepatología a la que asistieron médicos del hospital fue grabada accidentalmente por Otter.ai (la "Herramienta de Transcripción" o la "Herramienta"), una herramienta de transcripción basada en inteligencia artificial.

Usted informó que la Herramienta de Transcripción está disponible en navegadores web y como aplicación móvil. Utiliza inteligencia artificial para transcribir palabras habladas a texto y está diseñada para permitir a los usuarios obtener notas y resúmenes detallados de las reuniones. Es capaz de integrarse con plataformas de comunicación populares como Zoom, Google Meet y Microsoft Teams, y acceder a las invitaciones a reuniones almacenadas en calendarios digitales. La herramienta no ha sido aprobada para su uso en el hospital.

Usted informó que un exmédico es el titular de la cuenta de Otter.ai responsable de la grabación. El médico dejó de trabajar en el hospital en junio de 2023. Instaló Otter.ai en su dispositivo personal en septiembre de 2024.

Aunque el médico ya no trabajaba en el hospital en el momento de la filtración, la herramienta pudo acceder a la invitación a la reunión de rondas a través de su calendario digital personal (no laboral) debido a dos vulnerabilidades de seguridad críticas. En primer lugar, el médico usó su dirección de correo electrónico personal (en lugar de la del trabajo) en el grupo de la reunión, en contravención de la política del hospital. En segundo lugar, el organizador de la reunión no eliminó al médico de la invitación tras su salida del hospital en junio de 2023. Como resultado, el médico conservó el acceso a la invitación a la reunión en su calendario digital personal durante más de un año después de dejar el hospital.

En consecuencia, la herramienta pudo unirse a la reunión de rondas de hepatología del 23 de septiembre de 2024 mediante el enlace en el calendario de correo electrónico personal del médico y grabar la reunión sin...

Departamento de Servicios del Tribunal, 2 Bloor Street East

Suite 1400 Toronto, Ontario, Canadá, M4W 1A8

Servicios del Tribunal Administrativo, 2, rue Bloor Est

Oficina 1400 Toronto (Ontario), Canadá, M4W 1A8

Tel.: (416) 326-3333

1 (800) 387-0073

TTY/ATS: (416) 325-7539

Web: www.ipc.on.ca

Aviso. Esto se descubrió cuando se envió automáticamente por correo electrónico a los participantes, incluido el titular de la cuenta, un resumen de la reunión y acceso a la transcripción de la grabación.

Usted informó que, según el conocimiento del hospital, esta era la única invitación a una reunión del hospital en el calendario personal del médico a la que accedió la Herramienta.

Alcance

Usted informó que, durante la reunión, se discutió la información médica personal de siete pacientes entre los participantes y se registró en la transcripción. Estos pacientes habían sido ingresados en el hospital y estaban recibiendo tratamiento.

La información médica personal involucrada en la filtración incluía nombres de los pacientes, sexo, nombre del médico, diagnósticos, notas médicas e información del tratamiento.

Contención:

Usted informó que, para contener la filtración, el hospital:

• Canceló la invitación digital a la Herramienta de Transcripción para que no pudiera unirse a más reuniones.

• Se identificó a las personas que asistieron a la reunión o recibieron una copia del correo electrónico y se ordenó que todas las copias se eliminaran de forma inmediata e irrecuperable de todos los sistemas y dispositivos correspondientes. Se informó que, de los 65 usuarios de la lista de destinatarios, 53 confirmaron haber eliminado el correo electrónico o no haberlo recibido. Se informó que las 12 personas restantes parecen haber dejado el hospital.

• Se ordenó al personal que eliminara la Herramienta o cualquier herramienta similar de cualquier dispositivo que pudiera tener acceso a cuentas afiliadas al hospital y se comunicó a todo el personal que solo se puede usar tecnología y aplicaciones aprobadas en relación con las credenciales y dispositivos del hospital.

• Se instruyó y se recibió confirmación del exmédico de que había eliminado todos los materiales relacionados con el hospital de sus cuentas, sistemas y dispositivos personales, de acuerdo con las políticas internas.

• Se indicó al médico que se pusiera en contacto con Otter.ai para solicitar la eliminación de la información registrada de la reunión. Sin embargo, se informó que el médico no respondió a esta solicitud.

Notificación:

Usted informó que cinco de las siete personas afectadas fueron notificadas de la infracción mediante carta el 17 de diciembre de 2024. Las cartas de notificación incluían la siguiente información: los detalles y el alcance de la infracción, las medidas adoptadas para subsanarla, que se notificó al IPC, que los pacientes pueden presentar una queja ante el IPC e información sobre cómo hacerlo, y la información de contacto de la persona del hospital a la que se puede contactar para obtener más información.

Usted informó que las otras dos personas afectadas han fallecido. En el caso de una de ellas, el hospital proporcionó una copia de la carta de notificación a su administrador de patrimonio. En el caso de la otra, no se conoce a ningún administrador de patrimonio. Por consiguiente, usted cargó una copia de la carta de notificación en el historial clínico electrónico del paciente.

Remediación:

Usted informó que, para evitar futuras infracciones de este tipo, el hospital tomó las siguientes medidas:

**i. **Cortafuegos: El hospital ha bloqueado el uso de herramientas de IA para la escritura, como Otter.ai y deepseek.com, por parte de los usuarios durante su estancia en el hospital mediante la configuración de un cortafuegos.

**ii. ****Capacitación actualizada: **El hospital actualizó sus materiales de capacitación sobre privacidad para abordar explícitamente las herramientas de IA y la política de uso de IA del hospital.^1^ El nuevo contenido de capacitación se puso en marcha a finales de junio de 2025 para los estudiantes de medicina y se implementará en otoño de 2025 para otros agentes del hospital. El hospital informó que su capacitación actualizada también se compartirá con otros hospitales.

Esta capacitación incluye el siguiente texto: «Todos los recursos informáticos utilizados para fines laborales del hospital, incluidos aquellos que implican el uso de IA, deben ser aprobados por el hospital. Introducir información médica protegida (PHI/PI/CCI) en herramientas no autorizadas constituye una violación de la privacidad y viola la PHIPA y las directrices profesionales, ya que los proveedores pueden hacer un uso indebido de los datos del hospital para fines ajenos al hospital. Una violación de la privacidad puede dar lugar a medidas disciplinarias, la presentación de informes al colegio regulador y al Comisionado de Información y Privacidad, y puede resultar en multas personales de hasta 200.000 dólares y multas organizacionales de hasta 1.000.000 dólares».

**iii. **Políticas actualizadas: La política de Uso apropiado de la información y las tecnologías de la información del hospital se revisó en junio de 2025 para abordar el uso de herramientas de IA. Esta política incluye las siguientes disposiciones relevantes para las circunstancias de esta infracción:

o Los agentes del [Hospital] deben usar siempre únicamente su ID de usuario y contraseña ("credenciales") asignados para acceder a la información y los recursos informáticos del [hospital], con excepción de las credenciales compartidas/de grupo autorizadas.

o Utilizar únicamente recursos informáticos aprobados por el [hospital] para llevar a cabo las actividades del [hospital].

o Utilizar únicamente recursos informáticos aprobados por el [hospital] (incluidas herramientas de inteligencia artificial (IA), software/bots automatizados y otros recursos informáticos) al ingresar, gestionar o discutir información médica protegida (PHI/PI/CCI).

| | | | |

^1^ El hospital informó que, si bien el médico había completado la capacitación sobre privacidad en 2021 y 2022, esta capacitación no abordaba el uso de herramientas de IA.

o Introducir información médica protegida (PHI/PI/CCI) en herramientas no aprobadas constituye una violación de la privacidad y una infracción de la Ley de Protección de Datos Personales (PHIPA) y de las directrices y políticas de los colegios profesionales, ya que los proveedores pueden usar la PHI/PI/CCI del hospital para entrenar algoritmos de proveedores y para otros fines ajenos al hospital.

o Adopte como práctica revisar las listas de participantes de las reuniones para detectar cualquier inclusión de herramientas de IA o agentes automatizados no aprobados, y elimínelos de las reuniones antes de continuar o antes de hablar sobre cualquier PHI/PI/CCI.

o Los agentes del hospital nunca deben utilizar herramientas digitales no autorizadas (incluidos productos de IA como ChatGPT) para fines laborales del hospital.

Además, usted informó que la organización cuenta con un programa de gobernanza de la IA que aborda la adquisición, la implementación y el uso de herramientas de IA en el hospital. Este programa está supervisado por un Comité de Gobernanza de la IA, del cual forma parte la Oficina de Privacidad del hospital.

Conclusión y recomendaciones:

Además de las medidas adoptadas por el hospital para contener, investigar, remediar la filtración y notificar a las personas afectadas, recomiendo que el hospital adopte las siguientes medidas adicionales:

1. Contención: ================

**i. **Presentar una solicitud formal a Otter.ai para eliminar cualquier información médica personal (PHI) de los pacientes del hospital retenida de la reunión del 23 de septiembre de 2024. Si bien reconocemos que el hospital solicitó al médico que presentara la solicitud él mismo, presumiblemente basándose en que era el titular de la cuenta, el hospital no recibió confirmación del médico de que presentara la solicitud ni de que se hubiera producido la eliminación. Además, como custodio de la información médica personal en cuestión, el hospital debería haber presentado su propia solicitud a Otter.ai para eliminar la PHI en cuestión para contener la filtración.

**ii. **Para los 12 destinatarios que no han confirmado la eliminación del correo electrónico y que ya han dejado el hospital, procedan a eliminarlo de sus cuentas de correo electrónico del hospital. Si alguno de estos destinatarios recibió el correo electrónico a través de una cuenta externa (no perteneciente al hospital), comuníquense con ellos para confirmar su eliminación.

2. Remediación ===============

**iii. ****Protocolo de Violación de Privacidad: **Actualice su protocolo de violación de privacidad para exigir a la Oficina de Privacidad que contacte directa e inmediatamente con organizaciones externas para solicitar la eliminación de cualquier PHI recopilada sin autorización en circunstancias similares a esta violación (en lugar de depender del titular de la cuenta).

**iv. **Política de Uso Aceptable: Actualice la Política de Uso Aceptable del hospital para aclarar que los agentes solo deben usar dispositivos aprobados por el hospital para realizar tareas relacionadas con el hospital (como asistir a reuniones de trabajo) y no usar sus dispositivos personales para tales fines.

**v. **Auditoría de baja: Realizar una auditoría del proceso de baja de empleados y médicos del hospital para verificar que se implementen los procedimientos adecuados para garantizar que todo acceso a los sistemas de información del hospital, incluyendo el acceso a las invitaciones del calendario, se revoque inmediatamente tras la salida.

**vi. **Salas de reuniones obligatorias: Técnicamente, se debe exigir el uso de una "sala de reuniones" para todas las reuniones virtuales en las que se trate información médica protegida, exigiendo al anfitrión que apruebe manualmente a cada participante. Esto ayudará a reducir la posibilidad de que una herramienta de IA no autorizada se una automáticamente a la reunión como participante.

**vii. **Marco de gobernanza y rendición de cuentas de la IA: Garantizar que el marco del hospital para la adquisición, implementación y uso de registradores de IA cumpla con las directrices establecidas en la presentación del IPC sobre IA en el sector de la salud de Ontario Sector.

Como se establece en esta presentación, un marco de gobernanza y rendición de cuentas de la IA debe incluir los siguientes componentes:

o Comité de gobernanza de la IA

o Políticas, prácticas y procedimientos

o Capacitación y concientización

o Evaluación, monitoreo y pruebas iniciales y continuas

o Marco de gestión de riesgos de la IA

o Supervisión humana

o Mecanismos de quejas e investigaciones

o Mecanismos de recurso, informes y notificación

o Confidencialidad y acuerdos de usuario final

o Garantías contractuales

**viii. **Consecuencias de una violación de la privacidad: Actualice todas las políticas, procedimientos y materiales de capacitación hospitalarios aplicables para reflejar que las violaciones de la privacidad también pueden resultar en sanciones monetarias administrativas según la PHIPA.

También le recomendamos que revise y siga las directrices establecidas en los documentos de orientación del IPC Respuesta a una Violación de la Privacidad en Salud: Directrices para el Sector Salud y Detección yDisuadir el Acceso No Autorizado a la Información Personal de Salud para garantizar que sus prácticas, políticas y procedimientos sean suficientes para minimizar el riesgo de una futura violación. Además, le recomendamos que utilice este incidente como ejemplo en su próxima capacitación sobre privacidad para el personal, para recordarles sus obligaciones bajo la Ley y prevenir futuras infracciones de este tipo.

Le solicitamos que informe a nuestra oficina sobre el estado de las recomendaciones mencionadas antes del 27 de enero de 2026.

Tenga en cuenta que el IPC podría reabrir este asunto si recibimos información adicional que sugiera la necesidad de una investigación más exhaustiva.

Atentamente,

Denise Eades, Analista