El fiscal general James consigue 500.000 dólares de un proveedor sanitario de la Región Capital por no proteger la información de los pacientes

NUEVA YORK – La fiscal general de Nueva York, Letitia James, anunció hoy que su oficina obtuvo multas de 500.000 dólares por parte de OrthopedicsNY, LLP (OrthopedicsNY) por no proteger la información privada de los pacientes. OrthopedicsNY es una clínica de medicina ortopédica y cirugía que gestiona clínicas y centros quirúrgicos en toda la Región de la Capital. Una investigación de la Oficina del Fiscal General (OAG) concluyó que los ciberatacantes pudieron robar datos de pacientes porque la práctica sanitaria no protegió adecuadamente sus sistemas, exponiendo la información de más de 650.000 pacientes y empleados. El acuerdo actual exige que OrthopedicsNY pague 500.000 dólares en multas y reforcen significativamente la seguridad de sus datos para proteger los datos de los pacientes. A cada paciente y empleados afectados se les ofreció un año de monitorización gratis del puntaje crediticio, financiada por OrthopedicsNY para proteger contra fraudes.

"Los pacientes confían a sus proveedores sanitarios su información personal, y los proveedores deben respetar esa confianza cerciorando que sus sistemas estén seguros", dijo el fiscal general James. "OrthopedicsNY no hizo su debida diligencia para proteger la información privada de los pacientes. Ningún paciente merece que su información se exponga y mi oficina seguirá haciendo cumplir la ley para proteger los datos personales de los neoyorquinos."

En 2023, los atacantes lograron acceder remotamente a la red de OrthopedicsNY empleando información de inicio de sesión comprometida. Los atacantes descargaron entonces archivos sin cifrar que contenían información privada y sanitaria sensible de aproximadamente 656.000 personas, incluyendo los números de la seguridad social, números de licencia de manejar o pasaportes de unas 110.000 personas.  

La investigación de la OAG determinó que, antes de la brecha, OrthopedicsNY no implementó prácticas razonables de seguridad de datos diseñadas para proteger la información de los pacientes. OrthopedicsNY empleará la autenticación multifactor para el acceso remoto, cifrará datos sensibles de pacientes y realizará de manera regular evaluaciones de riesgo adecuadas, todas medidas que ayudan a proteger los datos. 

Como resultado del acuerdo de hoy, OrthopedicsNY pagará al estado 500.000 dólares en multas y costos, y financiará servicios de monitorización crediticia para todas las personas afectadas. OrthopedicsNY también está obligada a adoptar medidas para proteger mejor la información de los pacientes en el futuro, incluyendo:

• Mantener un programa integral de seguridad de la información que garantice que existan salvaguardas para proteger la seguridad, integridad y confidencialidad de los datos de los pacientes;
• Establecer e implementar políticas y procedimientos que limiten adecuadamente el acceso a datos de pacientes y empleados;
• Implementar autenticación multifactor para acceso remoto a su red;
• Cifrar datos de pacientes y empleados que recopila, almacena, transmite y/o mantiene;
• Establecer y mantener un sistema diseñado para monitorizar redes y sistemas en busca de actividad anómala; y
• Realizar evaluaciones anuales de riesgos para identificar riesgos internos y externos anticipados para la seguridad, confidencialidad o integridad de los datos de pacientes y empleados.

El anuncio de hoy continúa los esfuerzos del fiscal general James para responsabilizar a las compañías por sus malas prácticas de seguridad de datos. El mes pasado, la fiscal general James anunció que su oficina obtuvo 1.700.000 dólares de Illuminate Education tras el robo de datos sensibles de estudiantes en una brecha de seguridad.  En octubre de 2025, la fiscal general James anunció que su oficina cercioró 14.200.000 dólares de ocho compañías de seguros de autos por no proteger la información privada de más de 825.000 neoyorquinos.  En marzo de 2025, el fiscal general James consiguió 975.000 dólares de Root, una aseguradora de automóvil, y demandó a Allstate por no proteger la información de los neoyorquinos, lo que provocó que se expusieran respectivamente más de 45.000 y 165.000 datos de novayorquinos.  En enero de 2025, la fiscal general James anunció que su oficina obtuvo un acuerdo de 450.000 dólares con tres compañías que distribuyeron cámaras de video de seguridad doméstica por no proteger los videos privados de seguridad de los consumidores. En diciembre de 2024, el fiscal general James anunció un acuerdo de 500.000 dólares con el seguro de auto Noblr por una seguridad insuficiente de los datos. 

Este asunto fue manejado por el Abogado Principal de Cumplimiento Jordan Adler y el Jefe Adjunto de la Oficina Clark Russell de la Oficina de Internet y Tecnología, bajo la supervisión del Jefe de la Oficina Kim Berger. La Oficina de Internet y Tecnología es parte de la División de Justicia Económica, dirigida por el Fiscal General Adjunto en Jefe Chris D'Angelo y supervisada por la Primera Fiscal General Adjunta Jennifer Levy.