SIC impuso dura sanción a EPS por vulnerar derecho a la salud: divulgó la historia clínica de un paciente con VIH

La Superintendencia de Industria y Comercio (SIC), a través de la Delegatura para la Protección de Datos Personales, confirmó una sanción contra una EPS por vulnerar gravemente el régimen de protección de datos personales, establecido principalmente por la Ley 1581 de 2012 y sus decretos reglamentarios.

Dicho régimen impone a las instituciones obligaciones claras frente al manejo de datos sensibles y reconoce a los ciudadanos derechos como el acceso, rectificación, actualización y supresión de su información personal.

Ahora puede seguirnos en Facebook y en nuestro WhatsApp Channel

El caso que dio origen a la sanción ocurrió cuando SOS EPS remitió la historia clínica completa de un paciente a cuatro directivos de su empleador. El trámite estaba relacionado con la calificación del origen profesional de una patología osteomuscular, sin que existiera ninguna necesidad ni relevancia de compartir los datos sobre su estado serológico.

En el comunicado oficial, la entidad dejó en claro que la EPS incumplió los deberes establecidos en la Ley 1581 de 2012, al exponer información sensible sin autorización previa ni fundamento legal. Según la decisión, esta actuación constituyó una vulneración directa a derechos fundamentales como la intimidad, el habeas data y la no discriminación.

El paciente, además, enfrentó consecuencias en su entorno laboral, como cambios de área no justificados y la necesidad de atención psicológica tras la revelación de su diagnóstico.

Protección de datos sensibles: un principio constitucional

La SIC rechazó el argumento de la EPS según el cual no existía prueba de un daño concreto. En respuesta, enfatizó que la protección de los datos personales no se limita a los casos en los que ya se ha consumado un perjuicio, sino que se activa también frente al riesgo o peligro de vulneración de derechos.

En el pronunciamiento se advirtió que “la historia clínica es un conjunto sistematizado de datos personales sensibles cuyo tratamiento está sometido a reglas estrictas de circulación restringida y de confidencialidad”. Por ello, su divulgación, total o parcial, sin justificación legal o sin autorización del titular, desconoce principios esenciales como la necesidad y la finalidad del tratamiento de datos.

La entidad reiteró que los datos sensibles, como los relacionados con la salud, gozan de especial protección constitucional y legal, y que las entidades responsables del tratamiento deben implementar medidas eficaces para garantizar su resguardo.

De igual forma, aclaró que la entrega de información a terceros solo es legítima si responde a una finalidad específica y legalmente amparada, o cuenta con la autorización expresa del titular.

SOS EPS bajo intervención del Gobierno

La sanción contra SOS EPS se da en medio de un panorama complejo para la entidad. El 19 de agosto, la Superintendencia Nacional de Salud anunció la designación de un nuevo agente interventor en esta EPS, así como en Coosalud y Nueva EPS, como parte de las medidas de control adoptadas por el Gobierno para garantizar la estabilidad de las aseguradoras en salud.

El superintendente Giovanny Rubiano explicó que los cambios buscan fortalecer auditorías médicas, estabilizar redes prestadoras y mejorar la gestión del acceso a medicamentos. En el caso de SOS EPS, fue designado como interventor Sergio Andrés Gil Celis, que asumirá la tarea de garantizar el cumplimiento de los planes de mejoramiento definidos por la Supersalud.

Este contexto revela que SOS EPS no solo enfrenta problemas de gestión y control administrativo, también cuestionamientos sobre su manejo de la información sensible de los usuarios. La sanción de la SIC, en ese sentido, se convierte en un precedente importante para recordar a las entidades de salud que la prestación del servicio no puede desligarse del respeto por los derechos fundamentales.

“(...) ninguna actividad empresarial o institucional justifica la vulneración del derecho al habeas data, especialmente cuando se trata del tratamiento de datos sensibles, cuyo uso indebido puede conducir a actos discriminatorios o generar daños irreparables a la dignidad de las personas”, afirmó la SIC.