Le SIC sanctionne SOS EPS pour avoir divulgué le dossier médical d'un patient séropositif sans autorisation.
Le Bureau de protection des données personnelles de la Surintendance de l'industrie et du commerce (SIC) a confirmé, dans un communiqué, la sanction imposée à l'entité de promotion de la santé Servicio Occidental de Salud SA (SOS EPS) pour violation du régime de protection des données personnelles.
Cette situation expose le propriétaire à des situations de vulnérabilité et à des répercussions sur son environnement de travail. Photo : iStock
La décision a confirmé que SOS EPS a violé les obligations établies dans la loi 1581 de 2012 en divulguant, sans justification légale ni autorisation préalable, l'historique médical complet d'un patient, y compris des informations hautement sensibles telles que son diagnostic positif pour le virus de l'immunodéficience humaine (VIH).
« Ces informations ont été transmises par SOS EPS à quatre dirigeants de l'employeur du patient dans le cadre d'une démarche visant à déterminer l'origine professionnelle d'une affection musculo-squelettique, dans laquelle il n'y avait aucune nécessité ni pertinence de partager des données sur son statut sérologique », explique le document.
L'entité a conclu que cette conduite constituait une violation directe et grave des droits fondamentaux à la vie privée, à l'habeas corpus data et à la non-discrimination, en exposant le titulaire à des situations de vulnérabilité et à des impacts sur son environnement de travail, tels que des changements de zone injustifiés et le besoin de soins psychologiques après la révélation de son diagnostic.
Dans sa décision, la SIC a également rejeté l'argument de l'EPS selon lequel aucun préjudice spécifique n'était évident et qu'il n'y avait aucune preuve de dommage, et a souligné que la garantie du droit à la protection des données personnelles n'est pas seulement activée en cas de dommage réel , mais également en cas de risque ou de danger que les droits et intérêts protégés par la loi soient affectés.
Le SIC a également rejeté l'argument de l'EPS. Photo : Privé
Les dossiers médicaux constituent une collecte systématique de données personnelles sensibles dont le traitement est soumis à des règles strictes de diffusion restreinte et de confidentialité. La divulgation de tout ou partie des informations qu'ils contiennent, sans justification légale ni autorisation de la personne concernée, constitue une violation des droits fondamentaux du patient et méconnaît les principes de nécessité et de finalité, ainsi que la règle générale de restriction d'accès et de diffusion des données sensibles.
Avec cette décision, le SIC réitère que :
- Les données sensibles, telles que les données de santé, bénéficient d’une protection constitutionnelle et juridique particulière.
- La fourniture de données personnelles à des tiers n'est légitime que lorsqu'elle sert un objectif spécifique, nécessaire et légalement protégé ou avec l'autorisation de la personne concernée.
- Les responsables du traitement des données doivent mettre en œuvre des mesures efficaces, et pas seulement formelles, pour garantir la protection complète des personnes concernées.
Les données sensibles bénéficient d'une protection constitutionnelle et juridique particulière. Photo : iStock
eltiempo
