Alerta por ciberseguridad: PAMI expuso datos médicos e historias clínicas de afiliados en su sitio web

Una investigación del medio Chequeado reveló que la obra social de los jubilados publicó documentos altamente sensibles, incluyendo copias de DNI, certificados de discapacidad y resultados de estudios médicos, de forma abierta en internet.

El PAMI (Programa de Atención Médica Integral), la obra social estatal que asiste a más de 5,7 millones de jubilados y pensionados en Argentina, quedó en el centro de la polémica tras detectarse que comparte de forma abierta y sin restricciones información confidencial de sus afiliados en su propio sitio web.

La filtración se produjo a través del buscador de compras de sus Unidades de Gestión Local (UGL), el sistema donde cada delegación regional sube los expedientes de las contrataciones y compulsas abreviadas para adquirir insumos médicos y prestaciones.

Especialistas en derecho informático advierten que este hecho viola gravemente la Ley de Protección de Datos Personales y la Ley de Derechos del Paciente, que prohíben la divulgación de información médica sin consentimiento explícito.

¿Qué datos personales quedaron expuestos?

Un análisis realizado sobre los procesos simplificados de compra de los primeros dos meses de 2026 detectó, al menos, 40 casos flagrantes donde se subieron archivos en formato PDF sin ningún tipo de tacha o anonimización.

Entre la documentación a la que cualquier usuario de internet podía acceder libremente se encuentra:

• Historias clínicas completas: Informes pormenorizados con cuadros clínicos crónicos y diagnósticos.
• Estudios de alta complejidad: Resultados de análisis de sangre y orina, prescripciones de tratamientos invasivos, e incluso imágenes en alta resolución de colonoscopias y fotografías de lesiones graves.
• Documentación de identidad: Copias de DNI de los afiliados donde se visualiza el número de trámite, un dato crítico que bandas delictivas suelen utilizar para suplantación de identidad y estafas virtuales.
• Certificados de discapacidad: Con datos personales y domicilios particulares visibles.

Casos testigos en las provincias

La investigación detectó que las filtraciones se repiten de forma independiente en distintas delegaciones del país debido a que cada UGL gestiona sus cargas. Los casos más severos se localizaron en la UGL de Jujuy (donde se expuso la historia clínica completa de una paciente que requería una trombectomía), en la UGL de Misiones y en la UGL de Chivilcoy (Provincia de Buenos Aires).

¿Qué dicen las leyes sobre la difusión de datos médicos?

Los expertos coinciden en que el accionar del organismo vulnera el marco normativo vigente en el país:

1. Ley de Protección de Datos Personales (Ley 25.326): Clasifica los datos de salud como «datos sensibles». Establece que los organismos del Estado solo pueden tratarlos bajo estricto secreto profesional y que jamás pueden publicarse vinculados a la identidad de una persona sin su consentimiento informado.
2. Ley de Derechos del Paciente (Ley 26.529): Garantiza el derecho a la intimidad y la confidencialidad de la documentación clínica. Dictamina que toda persona que manipule estos archivos debe guardar debida reserva.

«El Estado no debe difundir datos sensibles de los ciudadanos. La única forma legal de publicar este tipo de expedientes de contratación es aplicando reglas de disociación y tacha, es decir, borrando por completo los datos que permitan identificar a la persona», explicó Alejandro Segarra, codirector de la Asociación por los Derechos Civiles (ADC).

La respuesta oficial de PAMI

Ante la consulta periodística, desde el área de Prensa de PAMI reconocieron el hecho y admitieron que la situación “constituye una anomalía grave y absolutamente contraria a los protocolos y estándares de protección de datos vigentes”.

Según informaron las autoridades del Instituto, una vez detectada la falla se dispuso de manera inmediata la baja de todas las contrataciones y accesos vinculados a la información confidencial. Asimismo, confirmaron la apertura de sumarios administrativos internos para deslindar responsabilidades, determinar cómo se vulneraron los filtros de carga y aplicar las sanciones correspondientes al personal involucrado.