La Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio (SIC) confirmó la sanción impuesta contra la entidad promotora de salud Servicio Occidental de Salud S.A. (SOS EPS) por vulnerar gravemente el régimen de protección de datos personales.

La decisión ratificó que SOS EPS incumplió los deberes establecidos en la Ley 1581 de 2012 al divulgar, sin justificación legal ni autorización previa e informada, la historia clínica completa de un paciente, incluyendo información altamente sensible como su diagnóstico positivo para el virus de inmunodeficiencia humana (VIH). Esta información fue remitida por SOS EPS a cuatro directivos del empleador del paciente, en el marco de un trámite de calificación del origen profesional de una patología osteomuscular, en el que no existía necesidad ni relevancia alguna para compartir datos sobre su estado serológico.

La Delegatura concluyó que esta conducta constituyó una violación directa y grave a los derechos fundamentales a la intimidad, al habeas data y a la no discriminación, al exponer al titular a situaciones de vulnerabilidad y afectaciones en su entorno laboral, como cambios de área no justificados y la necesidad de atención psicológica tras revelarse su diagnóstico.

En la decisión, la SIC también rechazó el argumento de la EPS según el cual no se evidenció un perjuicio concreto ni existía prueba del daño, y enfatizó que la garantía del derecho a la protección de datos personales no solo se activa frente a daños consumados, sino también frente al riesgo o peligro de afectación de los derechos e intereses tutelados por la ley. 

La historia clínica es un conjunto sistematizado de datos personales sensibles cuyo tratamiento está sometido a reglas estrictas de circulación restringida y de confidencialidad. La divulgación total o parcial de la información allí contenida, sin justificación legal o sin autorización de su titular, vulnera los derechos fundamentales de su titular y desconoce los principios de necesidad y finalidad, y la regla general de acceso y circulación restringida de los datos sensibles.

Con esta decisión, la SIC reitera que:

• Los datos sensibles, como los relativos a la salud, gozan de especial protección constitucional y legal.

• La entrega de datos personales a terceros solo es legítima cuando responde a una finalidad específica, necesaria y amparada legalmente o con la autorización del titular.

• Las entidades responsables del tratamiento de datos deben implementar medidas eficaces, no solo formales, para garantizar la protección integral de los titulares.

Finalmente, la Superintendencia reafirma su compromiso con la protección de los derechos fundamentales de todas las personas y recuerda que ninguna actividad empresarial o institucional justifica la vulneración del derecho al habeas data, especialmente cuando se trata del tratamiento de datos sensibles, cuyo uso indebido puede conducir a actos discriminatorios o generar daños irreparables a la dignidad de las personas.