Futurlex

La Historia Clínica Electrónica y La Protección de Datos Personales en Colombia.

Recientemente, se ha sancionado la ley que permite la creación de una historia clínica electrónica en Colombia y su interoperabilidad, esto con el fin de dar paso al uso de menos papel y la posibilidad de asociar la identificación de cada ciudadano con sus antecedentes médicos de manera inmediata. Debemos tener en cuenta que este paso innovador genera una serie de deberes por parte de las entidades prestadoras de salud y todo aquel autorizado para tal fin, ya que los datos contenidos en estas historias son datos de carácter sensible (como el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, datos relativos a la vida y orientación sexuales,  afiliación sindical, datos genéticos, datos relativos a la salud y datos biométricos que permitan la identificación unívoca de una persona) que sólo son necesarios para ciertas finalidades en el sector de la salud, de allí parte la obligación de la aplicación de prerrogativas legales estrictas en cuanto a su tratamiento, resaltando la confidencialidad de esta información previamente autorizada. Con base en lo anterior debemos resaltar los derechos constitucionales que se fundan como pilares de protección en esta ley, siendo el derecho a la salud y el derecho a la protección de los datos personales e intimidad. Artículo 49 Constitución Nacional. La atención de la salud y el saneamiento ambiental son servicios públicos a cargo del Estado. Se garantiza a todas las personas el acceso a los servicios de promoción, protección y recuperación de la salud. Corresponde al Estado organizar, dirigir y reglamentar la prestación de servicios de salud a los habitantes y de saneamiento ambiental conforme a los principios de eficiencia, universalidad y solidaridad. También, establecer las políticas para la prestación de servicios de salud por entidades privadas, y ejercer su vigilancia y control. Así mismo, establecer las competencias de la Nación, las entidades territoriales y los particulares, y determinar los aportes a su cargo en los términos y condiciones señalados en la ley. Los servicios de salud se organizarán en forma descentralizada, por niveles de atención y con participación de la comunidad. (…) Artículo 15. Constitución Nacional. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptados o registrados mediante orden judicial, en los casos y con las formalidades que establezca la ley. (…) Los retos que afronta esta Ley son la necesidad de la creación de protocolos integrales de protección de los datos personales que vayan de la mano con la reglamentación de la ley 1581 de 2012 y su decreto reglamentario 1074 de 2015, los cuales extienden su aplicación a los principios, derechos y deberes del titular en cuanto a la guarda de su información personal, que en este caso adquiere un carácter especial ya que deviene de la relación médico paciente; según el artículo 3 de la LEPD, dato personal y tratamiento se definen así: ARTÍCULO 3o. DEFINICIONES. Para los efectos de la presente ley, se entiende por:   c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;   g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Así mismo el Ministerio de Salud resalta quienes son los sujetos obligados y la prospección de la implementación de esta ley, promoviendo de manera inmediata la creación de una serie de procedimientos legales estandarizados para propender a la protección de los datos médicos. (…) “Se destaca que los prestadores de servicios de salud estarán obligados a disponer los expedientes de la historia clínica de los colombianos para que puedan ser consultados a través de una plataforma de interoperabilidad, es decir, que todos los sistemas se puedan comunicar para dar a conocer a los profesionales de la salud la historia clínica de cada colombiano.” (…) “A la Historia Clínica Electrónica solo podrán acceder a ella los sujetos obligados por la ley y las personas autorizadas por el titular de esa información.” (…) “El plazo máximo de implementación de esta Ley será de cinco años a partir de la entrada en vigencia y esta estrategia obedece a criterios donde se prioricen datos y sistemas existentes en los distintos prestadores”, resalta. No obstante, el modelo de interoperabilidad de la Historia Clínica Electrónica deberá ser reglamentado en un término máximo de 12 meses.” – Min Salud, 2020 Desde el punto de vista anterior, este nuevo marco de normatividad legal aporta herramientas necesarias para la innovación en el país, concordando a un uso responsable y confidencial de la información para garantizar mejoras notables en el servicio a nivel nacional. Se pretende que esta ley sea el inicio de la digitalización de muchos documentos personales que se usan en formato físico, a transformarse a un formato digital protegido de acceso portable. [1] Ivan Dario Marrugo Jimenez. Abogado, especialista en Derecho de las Telecomunicaciones. Master en Proteccion de Datos de la Unir. Socio, Director General de Marrugo Rivera & Asociados. Experto en Derecho Informático, Ciberseguridad y Privacidad. Docente y Conferencista. [2] Gloria Toffanello de Leon. Abogada de la Universidad de Cartagena. Asociada de Marrugo Rivera & Asociados. Documentadora y consultora del área de Privacidad y Ciberseguridad de la firma.

Una cosa es registrar Bases de Datos y otra cumplir con la Ley 1581 de 2012

No hay duda alguna que la Privacidad ha logrado posicionarse, en los últimos años, en los primeros escaños de los intereses corporativos. Es por ello que hoy se conoce como el derecho fundamental del Siglo XXI. Colombia, no ha sido ajena a este reconocimiento, y pese a que tardamos en desarrollar normativamente estos aspectos, hoy tenemos un marco robusto que propende por el respeto de la intimidad y su evolución en el derecho de protección de datos moderno. A partir de la expedición de la Ley de Habeas Data y sus normas reglamentarias, se ha puesto en marcha todo un macrosistema que involucra a las empresas, personas, entidades públicas y organizaciones en los que el intercambio de información personal es una constante y donde se demanda la gestión proactiva, el desarrollo de complejos mecanismos y estrictas condiciones en el manejo de información por parte de los involucrados y por ende el respeto de los derechos de los titulares de datos. En particular, la Ley 1581 de 2012 Estatutaria de la Protección de Datos Personales, los decretos 1377 de 2013 y 886 de 2014 – Hoy incorporados en el D.U 1074 de 2015, las circulares 02 de 2015 y 01 de 2016 de la SIC y el Documento: Guía de implementación del principio de responsabilidad demostrada, componen el marco normativo de obligatorio cumplimiento en Colombia para trabajar con datos personales. Es en este contexto en el que surge la obligación de registrar las bases de datos ante la Superintendencia de Industria y Comercio, la cual hace parte de un entramado de requerimientos para las empresas, que básicamente deben demostrar que manejan bien la información propia y de terceros. El Registro Nacional de Bases de Datos, fue desarrollado por el Art. 25 de la Ley y se encuentra en funcionamiento desde el 09 de Noviembre de 2015, (a pesar que el plazo para cumplir con esta obligación ha sido ampliado en dos ocasiones con el fin de que las empresas logren comprender su gestión frente a la información). No obstante lo anterior, subsisten inquietudes generalizadas sobre el RNBD y más aún, muchas empresas desconocen su responsabilidad en este aspecto o peor, no le han dado la importancia que merece. Es así que para el próximo 31 de Enero de 2018, las Personas Jurídicas inscritas en Cámaras de Comercio y las Sociedades de Economía Mixta, deberán reportar ante la SIC que tipo de información manejan y cuáles son las medidas que han adoptado para trabajar con seguridad, confidencialidad e integridad sobre los datos. Ahora bien, es importante RECALCAR que registrar las Bases de Datos no significa per se que se cumpla con la Ley. Muchas empresas desconocen que más allá del reporte, lo que en últimas se requiere, es que se proteja la información. Tal vez por ello, muchas organizaciones aún no han dado pasos frente al Registro y otras tantas lo han realizado como un simple trámite, lo que a la postre puede ser perjudicial. Por lo anterior, es sumamente peligroso que se confunda Registrar las bases de datos con la obligación de implementar la Ley 1581 de 2012 en las organizaciones. Otro aspecto de total RELEVANCIA son los tiempos para el desarrollo de un Programa Integral de Gestión en materia de datos personales, es hacia este norte el que deben dirigirse las compañías y ello requiere de la inversión de un tiempo y esfuerzo considerable. Por esta razón como Firma experta en Protección de Datos, Seguridad de la Información y Derecho Informático, continuaremos ejecutando diversas iniciativas tendientes a trabajar ambos requerimientos, informando a las organizaciones sus deberes frente al Registro sin perder de vista el resto de obligaciones en la materia. Si desea conocer nuestros servicios o requiere de atención personalizada no dude en contactarnos. www.marrugorivera.com

Nuevo Decreto amplia el plazo para Registrar las Bases de Datos en Colombia.

El Gobierno Colombiano mediante el Decreto 1115 de Junio 29 de 2017 procedió a ampliar nuevamente el plazo para llevar a cabo el Registro Nacional de Bases de Datos. Mediante esta norma, el Ministerio de Comercio, Industria y Turismo, modificó el artículo 2.2.2.26.3.1 del Decreto 1074 de 2015, que es el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, ampliando el plazo para el registro de las bases de datos por un periodo de 6 meses más (para las sociedades de economía mixta y las personas jurídicas de derecho privado inscritas en cámaras de comercio), esto es, hasta el 31 de enero del 2018.   Tal como lo establece las consideraciones del Decreto, la ampliación del termino previamente fijado para el registro de las  bases de datos, busca “una mayor divulgación y socialización de esta obligación por parte de la Superintendencia de Industria y Comercio.”   Con este plazo, las empresas tendrán un tiempo mayor en cumplir con una de las obligaciones derivadas de la Ley 1581 de 2012, normativa sobre Privacidad y protección de datos personales en Colombia. Desde Noviembre de 2015 inició el proceso de inscripciones ante el Registro pero ha sido un proceso lento e incomprendido en las organizaciones, que poco a poco despiertan ante la realidad frente al control y la transparencia que deben ofrecer en sus procesos de administración de información personal.   Marrugo Rivera & Asociados y su marca FuturLex, ofrecen servicios de consultoría especializada en Derecho informático y vienen trabajando con empresas a nivel nacional en el cumplimiento de la Ley y el Registro. Si requiere consultar o ampliar esta información puede ingresar a www.marrugorivera.com

Sancionan a Falabella por enviar correos electronicos sin autorización.

Por reiteración de correos electrónicos no solicitados, Falabella recibe sanción por $137 Millones de pesos en Colombia.[i] Por medio de la Resolución 85652[1] del pasado 13 de Diciembre de 2016, la Direccion de investigaciones de la Delegatura de Proteccion de datos personales de la Superintendencia de Industria y Comercio sanciono a la Sociedad Falabella de Colombia S.A., por violación al régimen de protección de datos en Colombia a raíz de una investigación por denuncia de un ciudadano que no había autorizado el envío de correos electrónicos. Los Hechos A partir de una compra realizada en el portal www.falabella.com.co el denunciante narro que al momento del diligenciamiento de sus datos, expresamente desmarco las casillas para envío de contenidos publicitarios tanto al correo electrónico como por medio de mensajes de texto. Mediante varios correos el quejoso elevo peticiones a la empresa con el fin de ser excluido del envío de mensajes no autorizados, los cuales fueron desatendidos, como se desprende de la investigación, por Falabella de Colombia S.A. El material probatorio recaudado en el curso de la investigación permite concluir, prima facie, que la sociedad sancionada siguió remitiendo comunicaciones de tipo publicitarios hasta dos meses después de haber recibido la oposición inicial por parte del titular de los datos. El fondo del asunto La Autorización: Como hemos reiterado en distintas ocasiones, la autorización en Colombia es pieza fundamental para el tratamiento de los datos. Siguiendo el derrotero filosófico de la anterior directiva de protección de datos europea, el consentimiento materializa la expresión de los principios de libertad, legalidad y finalidad contenidos en la Ley 1581 de 2012. Es por ello que reviste de capital importancia atender procedimientos adecuados frente a este punto; lejos de ser una cuestión menor, este elemento es el que ha puesto en aprietos a las empresas Colombianas en el cumplimiento de la Ley de protección de datos. En efecto, la correcta administracion de las autorizaciones supone una actividad permanente y dedicada, que en ocasiones comporta problemas logísticos – cuando se trata de millones de titulares – y que impone un deber de cuidado mayúsculo para las empresas. Guardar prueba de la autorización en ocasiones no es sencillo y los requerimiento de titulares frente a este punto puede generar dolores de cabeza, si la empresa no ha dispuesto (o es débil en), los procedimientos para atenderlos. Al parecer y esta sanción puede ser un ejemplo de ello, las empresas continúan restándole importancia al tema de las autorizaciones y con el Registro de las Bases de datos, esta situación se está haciendo palmaria. Deber de conservación de información: Uno de los argumentos esbozado por la sociedad investigada fue el deber que tenia de conservar información aun posterior al proceso de eliminado de información. Recuérdese que el régimen de protección de datos no deroga otras normas sustantivas sobre administracion y gestion documental. Es claro que por simples hechos como la generación de copias de seguridad y el almacenamiento y conservación con fines históricos, hace necesario que las empresas guarden información personal aun cuando esta es objeto de debate por el titular de los datos. La eliminación total de los datos personales es un supuesto que rara vez ocurre y en ocasiones esta pretensión se ve satisfecha con la inactivación de ciertos elementos del registro en la base de datos o el marcado con ciertas condiciones del mismo en la tabla a la que pertenece. Estas cuestiones técnicas tienen una mayor preponderancia cuando se trata de reclamaciones en el uso de información y requieren de una labor coordinada entre las áreas de privacidad y el área de soporte tecnológico o infraestructura en las organizaciones. Procesos de Atención de Derechos de los titulares: Nuevamente una falla en la correcta atención al titular de los datos, genera una sanción por el régimen de protección de datos. El literal j de la Ley 1581 de 2012 señala expresamente que el Responsable del tratamiento tiene el deber de Tramitar las consultas y reclamos formulados en los términos señalados en la Ley. Este deber se ve reflejado en la construcción y mantenimiento de un Sistema de Atención al Titular de los datos frente al ejercicio de los derechos derivados del Art. 8 de la Ley. Existe un manejo descuidado, con cierta generalización en las empresas, afincado en el entendido que este asunto es algo sin importancia. Grave error cometen las empresas – sobre todo aquellas que administran muchos datos de usuarios, clientes o asociados- cuando no tienen procesos robustos para la atención de las consultas y reclamaciones y peor aun cuando los procesos de PQRS no están alineados con los de protección de datos. Estas inconsistencias pueden derivar en que no se atiendan en tiempo (Recuérdese que los términos de la Ley y su reglamento son perentorios y en ocasiones difieren de otros sistemas como los de servicio al cliente) o que no se resuelva el fondo de la petición, lo que activa el derecho de presentar una queja a la Superintendencia de Industria y Comercio. Por otra parte, el caso específico también nos muestra algo que ocurre en muchas organizaciones: El corto circuito que existen entre distintas áreas cuando de administracion de datos personales se trata. Alguien en Falabella falto al deber de cuidado en desmarcar una opción para envío de correos electrónicos a ese titular de datos; tal como ocurrió en un caso anterior con otra empresa de comunicaciones en Colombia, el envío de mensajes representa imposiciones de sanciones pecuniarias con ciertos montos que impactan no solo el tema financiero, sino la reputación de las empresas. La sanción Considero la SIC a través de la Delegatura de protección de datos, que la sociedad sancionada no podía alegar imposibilidad en la supresión de los datos del titular. Si bien con seguridad la relación entre ambos se suponía en un entorno contractual (Compraventa de un bien), también es importante señalar que el titular simplemente se oponía al envío de información publicitaria a su correo electrónico. Esto es algo que las empresas deben prestarle la debida atención;

Acceso Panel

Accede al administrador de la web