Por Ivan Dario Marrugo Jimenez
Recientemente se ha conocido que mediante Resolución 39298 del pasado 21 de Junio de 2016, la Direccion de investigaciones de protección de datos personales de la Superintendencia de Industria y Comercio impuso a la empresa COLMEDICA MEDICINA PREPAGADA S.A., dos sanciones pecuniarias que ascienden a 1.500 salarios mínimos legales mensuales vigentes, es decir la suma de $1.034.182.500. Esta multa, es la más alta impuesta hasta la fecha por el Régimen general de protección de datos personales, creado mediante la Ley 1581 de 2012 y sus normas reglamentarias. A continuación resaltamos algunos aspectos que resultan de cardinal importancia en el proceso de administracion de datos personales. Si bien se trata de una sanción impuesta en primera instancia, frente a la cual la empresa sancionada tiene todas las acciones de defensa, analizamos dicha Resolución con el fin de promover la importancia de atender las obligaciones en materia de privacidad en Colombia.
¿Qué paso?
En el proceso de investigación se pudo establecer que Colmedica dejó en evidencia información de treinta usuarios que habían realizado consultas médicas por la página web de la empresa (atención en línea), la entidad no había tomado las medidas de seguridad adecuadas, toda vez que, una de las pacientes digitó su nombre en un motor de búsqueda www.colmedica.com – consulta best doctors cuando le arrojó como resultado, la información que había suministrado en dicho portal para su consulta médica, en dicha búsqueda aparecían datos como: 1) nombre y apellido, 2) documento de identificación, 3)dirección de correspondencia y ciudad ,4) correo electrónico, 5)fecha de nacimiento,6) género, 7) una descripción de la consulta formulada por el usuario del servicio en la que hace relación a su estado de salud actual indicando las patologías que padece; 8) diagnósticos y reportes de exámenes médicos en general y 9) estado de la solicitud
Una vez la superintendencia recibe la queja e inicia investigación, comprobó que este hecho no solo se había presentado con la quejosa, si no con 30 personas más.
Aunque Colmedica apenas tuvo conocimiento de la queja, implementó una medida de seguridad para el ingreso a su portal utilizando usuario y contraseña, en desarrollo de la etapa preliminar, la superintendencia por medio de su laboratorio de informática forense realizo una prueba ingresando a internet (motor de búsqueda) y digitando en google el nombre de la persona que interpuso la queja, en su primer intento, efectivamente se encontró que para acceder a la información era necesario digitar usuario y contraseña, pero en su segundo intento, utilizando la opción EN CACHE del motor de búsqueda de google, encontró que tal y como había manifestado la quejosa, antes no existía una medida de control de acceso y el ingreso era directo y sin ningún tipo de restricción.
Adicionalmente, en tres casos analizados de forma aleatoria, se hacía relación a información personal de salud de menores.
Vulneración del derecho
Principios rectores en el tratamiento de datos personales
La dirección de investigación de la Delegatura de protección de datos personales, observó que del conjunto de principios rectores enunciados en el art 4 de la ley 1581 de 2012, y de conformidad con la fundamentación fáctica que dio origen a la investigación, podrían verse afectados con la conducta indagada principios de libertad, circulación restringida y seguridad.
Consideraciones de la SIC
Deberes de los responsables del tratamiento de datos personales:
En el caso se formularon cargos en contra de COLMEDICA en la medida en que las averiguaciones preliminares desarrolladas y verificados los hechos en la denuncia, se determinó que COLMEDICA efectivamente ostenta la calidad de responsable del tratamiento de los datos personales de sus usuarios, ya que es quien establece los fines y medios esenciales para el tratamiento.
DEBERES INCUMPLIDOS POR EL RESPONSABLE DE TRATAMIENTO DE LOS DATOS PERSONALES, CONSAGRADOS EN LOS ART 9 Y 17 DE LA LEY 1581.
- Deber de obtener autorización previa para el tratamiento
- Deber de conservar la información bajo las condiciones de seguridad
- Deber de informar sobre la ocurrencia de incidentes de seguridad: en este punto se advierte que no se admite excepción alguna a este deber de informar a la SIC cualquier violación a las medidas de seguridad que originen riesgos en la administración de los datos personales que realicen los responsables de tratamiento.
CLASIFICACIÓN DE LOS DATOS PERSONALES: Datos sensibles: Generan una vinculación a la esfera personalísima del titular, siendo así una materialización del art 15 de la C.P, conforme a esto los responsables y encargados, deben ser más diligentes cualquier operación que involucre datos sensibles. Datos de niñas, niños y adolescentes: salvaguardar teniendo en cuenta que se trata de sujetos de especial protección (ART 44 C.P), deben prevalecer sus derechos y el interés superior de este tipo de sujetos de especial protección constitucional.
CARGOS IMPUTADOS
- Falta del deber de Colmedica de conservar la información bajo las condiciones de seguridad que sean necesarias para impedir la divulgación no autorizada.
- Falta del deber de colmedica de informar a la SIC cuando se presenten violaciones a los códigos de seguridad y existen riesgos de en la administración de la información, frente a esto se tuvo en cuenta:
- Art 2.2.2 .25.3.7 del decreto único reglamentario 1074 de 2015 y su integración con la circular externa No 002 del 03 de nov de 2015.
- Disposiciones relacionadas con la seguridad de la información y la interpretación del deber de contenido en el literal n) del artículo 17 de la ley 1581 del 2012, en específico, el concepto de violaciones a los códigos de seguridad.
Durante el lapso comprendido entre enero de 2014 y septiembre 2015, la información de la quejosa estuvo divulgada sin ninguna restricción en el portal web www.colmedica.com , especificamente en el sitio transaccional best doctors, al que se podía acceder por medio del buscador google.
Con anterioridad a septiembre de 2015, los datos personales relativos a la salud, es decir de carácter sensible de 30 personas, dentro de los que se encuentran 3 menores de edad, estuvieron divulgados sin restricciones.
La divulgación de los datos personales semiprivados, privados, de naturaleza sensible y algunos relativos a niños, niñas y adolescentes, fueron originadas por que el ingreso anónimo de sharepoint best doctors no se encontraba deshabilitado.
La divulgación indebida de datos personales, semiprivados y privados, de carácter sensible, y algunos relativos a niños, niñas y adolescentes, obedeció a un incidente de seguridad que comprometió los datos personales de los titulares poniendo en riesgo los mismos, información que debió ser informada en su momento por Colmedica a la Superintendencia.
Sanción económica
En el caso, quedo demostrado que a pesar de las explicaciones presentadas por la investigada no existe justificación válida para no haber conservado la información personal de los 30 casos y más de los 3 casos de menores de edad, bajo las medidas de seguridad que demandaban .
Colmedica no conservo las medidas que se requieren hacer parte de las categorías especiales de los datos.
No hay lugar a dudas para la entidad de la dimensión del daño que efectivamente se materializo en el caso en cuestión al divulgarse información sensible en un medio de comunicación masiva, por cuanto es evidente que los intereses tutelados por ley estatutaria de protección de datos, fueron vulnerados.
Colmedica, no informo a la Superintendencia el incidente de seguridad como deber legal, y solo se limitó a resolver este caso puntual, dejando de lado los 29 titulares.
Multa de $827.346.000 que equivalen a 1200 SMMLV por incumplimiento de lo dispuesto en el literal d) art 17 y literales f y g del art 4 de la ley 1581 del 2012
otra multa por el valor de $ 206.836.500 que equivalen a 300 SMMLV por la infracción del literal n) art 17 de la ley 1581, relacionado con el deber de informar a la autoridad de control cuando se presenten violaciones a los código de seguridad y existan riesgos en la administración de la información.
Es sin duda la tipología de información (Datos médicos) y los riesgos en su administracion la que llevan a la Superintendencia a la imposición de una multa en esta cuantía. Es claro que lo que se castiga es la falta de diligencia y la inobservancia del deber de informar al ente supervisor sobre la ocurrencia de una brecha de seguridad que expuso información sensible por internet.
Es deber de las entidades de salud tomar las medidas necesarias de seguridad, partiendo que se tratan de entidades que por su naturaleza manejan un nivel de información muy sensible; es mayor el deber de cuidado que se requiere dando aplicación a los postulados del Art. 26 y 27 del Decreto 1377 de 2013 (Hoy DU 1074 de 2015 cap. 25)
Una lección importante dejará esta sanción para las empresas Colombianas en prestar su mejor esfuerzo en la administracion de los datos. Con la reglamentación y el uso cada vez mayor de sistemas de información, el riesgo de exposición de datos privados también se ha aumentado; es por ello que las empresas y entidades deben demostrar que sus procesos y actividades respetan el derecho fundamental del Siglo XXI, el de Proteccion de datos personales.
