SIC sanciona a EPS SOS por divulgar historia clínica de un paciente con diagnóstico de VIH

La Superintendencia de Industria y Comercio (SIC), a través de la Delegatura para la Protección de Datos Personales, confirmó la sanción impuesta contra la entidad promotora de salud Servicio Occidental de Salud S.A. (SOS EPS) por vulnerar gravemente el régimen de protección de datos personales, al divulgar sin autorización ni justificación legal la historia clínica de un paciente, incluyendo su diagnóstico positivo para el virus de inmunodeficiencia humana (VIH).

La decisión ratificó que SOS EPS incumplió los deberes establecidos en la Ley 1581 de 2012 al remitir la historia clínica completa del paciente a cuatro directivos de su empleador, en el marco de un trámite de calificación de una patología osteomuscular, “en el que no existía necesidad ni relevancia alguna para compartir los datos sobre su estado serológico”.

La Delegatura concluyó que esta conducta constituyó “una violación directa y grave a los derechos fundamentales a la intimidad, al habeas data y a la no discriminación”, al exponer al titular a situaciones de vulnerabilidad, como cambios laborales injustificados y la necesidad de atención psicológica tras revelarse su diagnóstico.

Argumentos rechazados y alcance legal

En su defensa, la EPS alegó que no existía prueba del daño concreto. Sin embargo, la SIC rechazó dicho argumento y enfatizó que la garantía del derecho a la protección de datos personales no se limita a daños consumados, sino también al riesgo o peligro de afectación de los derechos tutelados por la ley.

El organismo recordó que la historia clínica es “un conjunto sistematizado de datos personales sensibles” cuyo tratamiento está sometido a reglas estrictas de confidencialidad y circulación restringida. Cualquier divulgación sin autorización del titular o sin justificación legal “vulnera los derechos fundamentales de su titular y desborda los principios de necesidad y finalidad”.

Reiteración de la SIC sobre protección de datos

Con esta decisión, la Superintendencia recalcó tres aspectos centrales:

• Los datos sensibles, como los relativos a la salud, gozan de especial protección constitucional y legal.
• La entrega de datos personales a terceros solo es legítima cuando responde a una finalidad específica, necesaria y amparada legalmente o con la autorización del titular.
• Las entidades responsables del tratamiento de datos deben implementar medidas eficaces, no solo formales, para garantizar la protección integral de los titulares.

La SIC destacó que “ninguna actividad empresarial o institucional justifica la vulneración del derecho al habeas data”, y advirtió que el uso indebido de datos sensibles puede generar actos discriminatorios o daños irreparables a la dignidad de las personas.

SOS EPS admite error humano y pide disculpas públicas

Tras conocerse la sanción, SOS EPS emitió un comunicado en el que reconoció la situación ocurrida en 2022, antes de la medida de intervención. Según la entidad, el incidente se produjo “en el marco de un proceso de calificación de origen en el que se enviaron las notificaciones correspondientes a las partes interesadas”, conforme a la Ley 1122 de 2007, el Decreto 019 de 2012 y el Decreto 1832 de 1994.

La EPS explicó que, debido a “un error humano involuntario, en los documentos enviados iba un diagnóstico que no hacía parte del tema laboral y que no debía ser compartido con terceros por pertenecer a la información sensible y confidencial del afiliado”.

La entidad lamentó lo sucedido y mencionó que esta situación que nunca debió presentarse ha ocasionado una sanción de la SIC, “reconocemos el error cometido y extendemos nuestras más sinceras disculpas a la persona afectada y a toda nuestra comunidad de usuarios por este incidente”.

Compromiso con la protección de datos

SOS EPS aseguró que cuenta con estrictos controles para la protección de la información de sus afiliados y que desde 2022 ha implementado medidas adicionales para fortalecer la confidencialidad. La entidad anunció que en los próximos días enviará a sus usuarios su política de protección de datos, acompañada de ajustes en los procesos para reforzar los controles en los diferentes canales y puntos de contacto.

“Nos comprometemos a proteger la privacidad y el bienestar de todos nuestros afiliados y seguiremos trabajando para garantizar la seguridad de su información”, puntualizó la entidad.