Falla de seguridad en los sistemas de información que tratan datos personales no constituye causal de exoneración de responsabilidad.
Arean Velasco Melo, MsID
La autoridad Colombiana de Protección de Datos Personales impuso a una entidad de medicina prepagada la mayor multa ($1.031´000.000) por infracción al régimen de protección de datos consagrado en la ley 1581 de 2012, que entro en vigencia en octubre de 2012.
Los hechos se originan en la exposición no autorizada en Internet de datos de salud de treinta personas, incluidos menores de edad. La exposición de datos de las personas afectadas permitía que cualquier persona pudiera conocer, además de los datos generales de cada ciudadano, información como el prestador de salud, medico tratante, diagnósticos, historia clínica e información complementaria relativa a la salud de las personas.
De la investigación adelantada por el departamento forense de la Superintendencia de Industria y Comercio se estableció que la información relativa a la salud de los treinta (30) ciudadanos estuvo expuesta en Internet entre el enero de 2014 y septiembre de 2015, sin que compañía de medicina prepagada responsable del tratamiento de tal información tuviera conocimiento del tal situación. Solo con ocasión de la denuncia de una de las afectadas la entidad de salud adoptó las medidas de seguridad pertinentes orientada a corregir la falla de seguridad que presentaban sus sistemas de información.
En la investigación se estableció que en el sistema de información no estaba deshabilitada la opción de ingreso anónimo; situación que permita que cualquier persona desde Internet pudiera acceder a la información de salud de las personas afectadas.
En la defensa la entidad de salud argumento que la falla obedeció a situaciones no previsibles y no a un acto intencional de parte de ella, así como también sostuvo que no se trataba de una violación a las medidas de seguridad en tanto que no fue un acto cometido por personas malintencionadas.
La autoridad de protección de datos expreso que la falla de seguridad experimentada no constituye una causal de exoneración de responsabilidad en la marco legal colombiano, así mismo sostuvo que tal falla de seguridad tampoco puede ser entendido como un caso fortuito. Por tanto, consideró que la violación a los principios de confidencialidad, seguridad y acceso restringido era patente y por tanto, la situación objeto de investigación materializaba una infracción al régimen de protección de datos personales consagrado en Colombia.
Sumado a lo anterior, la autoridad colombiana considero que la compañía de medicina prepagada también infringido del deber de notificar la existencia de las violaciones a las medidas de seguridad. El silencio frente a la existencia del incidente de seguridad constituyo una conducta que evidencia un proceder no responsable frente al tratamiento de datos personales, en esta caso información relativa a la salud, la cual es considerada información sensible en la normatividad colombiana.
En la imposición de la multa por dos infracciones al régimen colombiano de protección de datos personales por valor de ($1.031´000.000) que equivalen a US 356.000 dólares, la autoridad colombiana expresó que frente al tratamiento de información personal relativa a la salud el surge para los Responsables o Encargados del tratamiento de datos personales un deber reforzado en materia de cumplimiento del principio de seguridad; incumplimiento que será igualmente proporcional al monto de la sanción.
Por último, los principios de seguridad y responsabilidad demostrada empiezan a evidenciar su protagonismo en la escena del tratamiento de datos personales; sumado a la necesidad de abordar el cumplimiento a la luz de los estándares de industria en materia de seguridad de la información.