El tratamiento de datos personales sensibles en el sector salud sigue evidenciando fallas relevantes en su implementación. Dos recientes decisiones de la Superintendencia de Industria y Comercio (SIC) lo confirman.
El 13 de febrero de 2026, la Dirección de Investigaciones de Protección de Datos Personales impartió órdenes administrativas a la E.S.E. Hospital Departamental San Antonio de Padua y a la Asociación Indígena del Cauca – AIC EPSI, tras verificarse la divulgación no autorizada de información sobre la interrupción voluntaria del embarazo de una paciente. La IPS reveló a terceros un dato altamente sensible sin contar con su autorización.
De manera similar, en agosto de 2025, la SIC sancionó a la EPS Servicio Occidental de Salud S.A. (SOS) por comunicar el diagnóstico positivo de VIH de un paciente a directivos de su empleador, en un contexto ajeno a dicha información. La divulgación carecía de justificación y excedía cualquier finalidad legítima del tratamiento.
Más allá de su gravedad individual, estos casos no son aislados. Responden, en muchos escenarios, a deficiencias en la implementación de la normativa de protección de datos personales. Pero también plantean un interrogante adicional: si, pese a la actividad sancionatoria de la SIC, este tipo de conductas se repite, ¿están las sanciones cumpliendo un verdadero efecto preventivo o se han convertido en un costo más de la operación para algunos agentes del sistema?
Este panorama adquiere mayor relevancia con la entrada en operación del Resumen Digital de Atención en Salud (RDA), en el marco de la interoperabilidad de la historia clínica electrónica, que permitirá a los actores autorizados a acceder en tiempo real a la información clínica mínima esencial, para garantizar la continuidad en la atención, sin importar donde se haya prestado el servicio.
En los términos de la Ley 1581 de 2012 y sus decretos reglamentarios, el tratamiento de datos personales sensibles exige una autorización previa, expresa y específica, y debe responder a finalidades estrictamente necesarias. En el sector salud, este estándar no puede reducirse a un requisito formal de cumplimiento, sino que constituye una garantía esencial de dignidad y confianza del paciente.
En esa línea, la autorización para el tratamiento de datos sensibles no debería trivializarse ni agotarse en la marcación de un “autorizo” en formularios genéricos que, en muchos casos, no reflejan las particularidades del tratamiento. Esta práctica, aún frecuente entre responsables del tratamiento, desconoce que una gestión adecuada de las autorizaciones y de los controles sobre el uso de la información puede marcar la diferencia entre el cumplimiento normativo y la imposición de sanciones, e incluso la suspensión de las operaciones de tratamiento.
De ahí que el reto no se limite al cumplimiento documental. Requiere fortalecer la cultura organizacional, capacitar de forma permanente al personal y entender que cada acceso a información clínica implica una responsabilidad jurídica y ética. En un entorno cada vez más interconectado, la protección de los datos sensibles no es opcional: es obligatoria.
¿Quiere publicar su edicto en línea?
Contáctenos vía WhatsApp
