La Superintendencia de Industria y Comercio impuso a Colmedica una multa de 1.034 millones de pesos por incumplir sus deberes de proteger la información personal de sus usuarios. La investigación encontró que los datos personales y médicos de 30 pacientes, incluidos 3 menores, estuvieron disponibles públicamente en el sitio web de Colmedica sin restricciones de acceso. Colmedica no tomó las medidas de seguridad adecuadas ni informó a las autoridades sobre la violación, lo que vulneró los principios de privacidad y seg

1. 1.034 Millones de Pesos. Colmedica recibe multa más alta impuesta por el
régimen de Proteccion de Datos en Colombia1
Recientemente se ha conocido que mediante Resolución 39298 del pasado 21 de Junio de 2016, la
Direccion de investigaciones de protección de datos personales de la Superintendencia de Industria
y Comercio impuso a la empresa COLMEDICA MEDICINA PREPAGADA S.A., dos sanciones
pecuniarias que ascienden a 1.500 salarios mínimos legales mensuales vigentes, es decir la suma de
$1.034.182.500. Esta multa, es la más alta impuesta hasta la fecha por el Régimen general de
protección de datos personales, creado mediante la Ley 1581 de 2012 y sus normas reglamentarias.
A continuación resaltamos algunos aspectos que resultan de cardinal importancia en el proceso de
administracion de datos personales. Si bien se trata de una sanción impuesta en primera instancia,
frente a la cual la empresa sancionada tiene todas las acciones de defensa, analizamos dicha
Resolución con el fin de promover la importancia de atender las obligaciones en materia de
privacidad en Colombia.
Que paso?
En el proceso de investigación se pudo establecer que Colmedica dejó en evidencia información de
treinta usuarios que habían realizado consultas médicas por la página web de la empresa (atención
en línea), la entidad no había tomado las medidas de seguridad adecuadas, toda vez que, una de las
pacientes digitó su nombre en un motor de búsqueda www.colmedica.com – consulta best doctors
cuando le arrojó como resultado, la información que había suministrado en dicho portal para su
consulta médica, en dicha búsqueda aparecían datos como: 1) nombre y apellido, 2) documento de
identificación, 3)dirección de correspondencia y ciudad ,4) correo electrónico, 5)fecha de
nacimiento,6) género, 7) una descripción de la consulta formulada por el usuario del servicio en la
que hace relación a su estado de salud actual indicando las patologías que padece; 8) diagnósticos
y reportes de exámenes médicos en general y 9) estado de la solicitud
Una vez la superintendencia recibe la queja e inicia investigación, comprobó que este hecho no solo
se había presentado con la quejosa, si no con 30 personas más.
Aunque colmedica apenas tuvo conocimiento de la queja, implementó una medida de seguridad
para el ingreso a su portal utilizando usuario y contraseña, en desarrollo de la etapa preliminar, la
superintendencia por medio de su laboratorio de informática forense realizo una prueba ingresando
a internet (motor de búsqueda) y digitando en google el nombre de la persona que interpuso la
queja, en su primer intento, efectivamente se encontró que para acceder a la información era
necesario digitar usuario y contraseña, pero en su segundo intento, utilizando la opción EN CACHE
del motor de búsqueda de google, encontró que tal y como había manifestado la quejosa, antes no
existía una medida de control de acceso y el ingreso era directo y sin ningún tipo de restricción.
Adicionalmente, en tres casos analizados de forma aleatoria, se hacía relación a información
personal de salud de menores.
1
Por: IVAN DARIO MARRUGO JIMENEZ. Abogado. Especialista en Derecho de Tecnologías, Seguridad de la
Informacion y Proteccion de Datos. Socio y Director de Marrugo Rivera & Asociados - FuturLex. Twitter:
@imarrugoj @FuturLex

2. Vulneración del derecho.
Principios rectores en el tratamiento de datos personales
La dirección de investigación de la Delegatura de protección de datos personales, observó que del
conjunto de principios rectores enunciados en el art 4 de la ley 1581 de 2012, y de conformidad con
la fundamentación fáctica que dio origen a la investigación, podrían verse afectados con la conducta
indagada principios de libertad, circulación restringida y seguridad.
Consideraciones de la SIC
Deberes de los responsables del tratamiento de datos personales:
En el caso se formularon cargos en contra de COLMEDICA en la medida en que las averiguaciones
preliminares desarrolladas y verificados los hechos en la denuncia, se determinó que COLMEDICA
efectivamente ostenta la calidad de responsable del tratamiento de los datos personales de sus
usuarios, ya que es quien establece los fines y medios esenciales para el tratamiento.
DEBERES INCUMPLIDOS POR EL RESPONSABLE DE TRATAMIENTO DE LOS DATOS PERSONALES,
CONSAGRADOS EN LOS ART 9 Y 17 DE LA LEY 1581.
- Deber de obtener autorización previa para el tratamiento
- Deber de conservar la información bajo las condiciones de seguridad
- Deber de informar sobre la ocurrencia de incidentes de seguridad: en este punto se advierte
que no se admite excepción alguna a este deber de informar a la SIC cualquier violación a
las medidas de seguridad que originen riesgos en la administración de los datos personales
que realicen los responsables de tratamiento.
CLASIFICACIÓN DE LOS DATOS PERSONALES: Datos sensibles: Generan una vinculación a la esfera
personalísima del titular, siendo así una materialización del art 15 de la C.P, conforme a esto los
responsables y encargados, deben ser más diligentes cualquier operación que involucre datos
sensibles. Datos de niñas, niños y adolescentes: salvaguardar teniendo en cuenta que se trata de
sujetos de especial protección (ART 44 C.P), deben prevalecer sus derechos y el interés superior de
este tipo de sujetos de especial protección constitucional.
CARGOS IMPUTADOS
 Falta del deber de Colmedica de conservar la información bajo las condiciones de seguridad
que sean necesarias para impedir la divulgación no autorizada.
 Falta del deber de colmedica de informar a la SIC cuando se presenten violaciones a los
códigos de seguridad y existen riesgos de en la administración de la información, frente a
esto se tuvo en cuenta:
 Art 2.2.2 .25.3.7 del decreto único reglamentario 1074 de 2015 y su integración con
la circular externa No 002 del 03 de nov de 2015.
 Disposiciones relacionadas con la seguridad de la información y la interpretación
del deber de contenido en el literal n) del artículo 17 de la ley 1581 del 2012, en
específico, el concepto de violaciones a los códigos de seguridad.

3. Durante el lapso comprendido entre enero de 2014 y septiembre 2015, la información de la quejosa
estuvo divulgada sin ninguna restricción en el portal web www.colmedica.com , especificamente en
el sitio transaccional best doctors, al que se podía acceder por medio del buscador google.
Con anterioridad a septiembre de 2015, los datos personales relativos a la salud, es decir de carácter
sensible de 30 personas, dentro de los que se encuentran 3 menores de edad, estuvieron divulgados
sin restricciones.
La divulgación de los datos personales semiprivados, privados, de naturaleza sensible y algunos
relativos a niños, niñas y adolescentes, fueron originadas por que el ingreso anónimo de sharepoint
best doctors no se encontraba deshabilitado.
La divulgación indebida de datos personales, semiprivados y privados, de carácter sensible, y
algunos relativos a niños, niñas y adolescentes, obedeció a un incidente de seguridad que
comprometió los datos personales de los titulares poniendo en riesgo los mismos, información que
debió ser informada en su momento por Colmedica a la Superintendencia.
Sanción económica
En el caso, quedo demostrado que a pesar de las explicaciones presentadas por la investigada no
existe justificación válida para no haber conservado la información personal de los 30 casos y más
de los 3 casos de menores de edad, bajo las medidas de seguridad que demandaban .
Colmedica no conservo las medidas que se requieren hacer parte de las categorías especiales de los
datos.
No hay lugar a dudas para la entidad de la dimensión del daño que efectivamente se materializo en
el caso en cuestión al divulgarse información sensible en un medio de comunicación masiva, por
cuanto es evidente que los intereses tutelados por ley estatutaria de protección de datos, fueron
vulnerados.
Colmedica, no informo a la Superintendencia el incidente de seguridad como deber legal, y solo se
limitó a resolver este caso puntual, dejando de lado los 29 titulares.
Multa de $827.346.000 que equivalen a 1200 SMMLV por incumplimiento de lo dispuesto en el
literal d) art 17 y literales f y g del art 4 de la ley 1581 del 2012
otra multa por el valor de $ 206.836.500 que equivalen a 300 SMMLV por la infracción del literal n)
art 17 de la ley 1581, relacionado con el deber de informar a la autoridad de control cuando se
presenten violaciones a los código de seguridad y existan riesgos en la administración de la
información.

4. Es sin duda la tipología de información (Datos médicos) y los riesgos en su administracion la que
llevan a la Superintendencia a la imposición de una multa en esta cuantía. Es claro que lo que se
castiga es la falta de diligencia y la inobservancia del deber de informar al ente supervisor sobre la
ocurrencia de una brecha de seguridad que expuso información sensible por internet.
Es deber de las entidades de salud tomar las medidas necesarias de seguridad, partiendo que se
tratan de entidades que por su naturaleza manejan un nivel de información muy sensible; es mayor
el deber de cuidado que se requiere dando aplicación a los postulados del Art. 26 y 27 del Decreto
1377 de 2013 (Hoy DU 1074 de 2015 cap. 25)
Una lección importante dejará esta sanción para las empresas Colombianas en prestar su mejor
esfuerzo en la administracion de los datos. Con la reglamentación y el uso cada vez mayor de
sistemas de información, el riesgo de exposición de datos privados también se ha aumentado; es
por ello que las empresas y entidades deben demostrar que sus procesos y actividades respetan el
derecho fundamental del Siglo XXI, el de Proteccion de datos personales.