Acceso a la historia clínica ocupacional por parte del médico laboral no requiere autorización del titular.
Incumplimiento al deber de contar con manual y procedimiento interno para garantizar el adecuado cumplimiento de la Ley 1581 de 2012 y la omisión al deber de cumplir con las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
En el caso bajo análisis, el denúnciate manifestó que la empresa TCC S.A.S. le envió vía “WhatsApp” una comunicación con un formato de “autorización para tomar todos los datos sensibles de las historias clínicas de los trabajadores” y solicitó a esta Superintendencia que investigue a la sociedad por crear una presunta base de datos para acceder a pagos, constancias laborales, certificados de ingreso y a toda la documentación de los trabajadores que se encuentra en “http//autorservicios.aplicciones.tcc.com.co”.
Bajo dicho razonamiento, dentro de la presente investigación, después de analizar el conjunto de pruebas obrantes en el expediente, lo manifestado por el denunciante y los argumentos de hecho y de derecho de la investigada, se pudo determinar que: (i) de acuerdo a lo establecido en el Decreto 1072 de 2015 en concordancia con la normatividad vigente expedida por el Ministerio de Protección Social opera una de las excepciones contempladas en la Ley para realizar tratamiento de datos personales sensibles, en la medida en concurran las siguientes tres condiciones: 1. el Responsable se encuentre actuando en calidad de empleador, 2. la Ley le impone una obligación de efectuar investigación de incidentes, accidentes de trabajo y enfermedades laborales, para lo cual el Médico Laboral requiere conocer la historia clínica ocupacional del trabajador y, 3. la información sensible es únicamente de sus trabajadores. Por lo anterior, la sociedad TCC S.A.S. requiere para el cumplimiento de un deber legal, realizar el tratamiento de datos personales sensibles, que consiste en el acceso de la historia clínica ocupacional de sus trabajadores por parte del Médico especialista en Seguridad y Salud en el trabajo, única persona que tiene la guarda de dicha información y es responsable de garantizar su confidencialidad, razón por la cual no incumplió el deber establecido en el literal c) del artículo 17 de la Ley 1581 de 2012, en concordancia con el literal b) del artículo 4 y el artículo 12 de la norma en mención; (ii) pese a que la sociedad cuenta con un manual de políticas y procedimientos, que aplica al tratamiento de los datos, ese documento no puede equipararse ni ser tenido en cuenta como un manual interno de seguridad ni un procedimiento documentado para la recolección, tratamiento, circulación y supresión de la información. Por lo que se impuso una sanción multa y se impartió una orden; y (iii) la sociedad atendió parcialmente el requerimiento de información efectuado por la Superintendencia de Industria y Comercio interrumpiendo así la fluidez y observancia del cumplimiento de los deberes contenidos en la Ley 1581 de 2012, por lo que se impuso una sanción multa.
Por lo expuesto, la Dirección impuso una sanción, equivalente a cincuenta (50) salarios mínimos legales mensuales vigentes, por la infracción de lo dispuesto en el literal k) del artículo 17 de la Ley 1581 de 2012 en concordancia con el literal g) del artículo 4 de la norma en mención y el inciso 2 del artículo 2.2.2.25.2.1 del Decreto Único Reglamentario 1074 de 2012, al realizar tratamiento de datos personales, semiprivados, privados, de naturaleza sensible sin tener implementado un manual interno de políticas de seguridad y procedimientos de recolección, tratamiento, circulación y supresión de la información; y una sanción de veinte (20) salarios mínimos legales mensuales vigentes, por la infracción de lo dispuesto en el literal o) del artículo 17 de la Ley 1581 de 2012, al no atender de fondo el requerimiento efectuado por este Despacho. Así mismo, se impartieron órdenes para que la sociedad implemente manuales internos de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley 1581 de 2012, así como implementar y mantener: (i) un programa integral de seguridad de la información que garantice la seguridad, confidencialidad e integridad de los datos personales; (ii) un programa de gestión y manejo de incidentes de seguridad en datos personales; y (iii) un programa de capacitación rutinario para sus empleados y/o contratistas sobre su política de seguridad de la información.
Decisión confirmada en todas sus partes en reposición y en espera de resolver el recurso de apelación.