ContrasteAumentar letraReducir letra
Somos Shaio
Somos Shaio

Política de tratamiento y Protección de datos personales

1. Declaración de la política
La FUNDACIÓN ABOOD SHAIO (en adelante, la “Fundación”), en su condición de Institución Prestadora de Servicios de Salud, reconoce que el tratamiento de datos personales es un asunto esencial para la confianza, la seguridad del paciente y el cumplimiento normativo. Por ello, adopta la presente Política con el propósito de establecer directrices claras, completas y obligatorias para la recolección, almacenamiento, uso, circulación, transmisión, transferencia, conservación, actualización y supresión de datos personales, incluyendo datos sensibles como los relativos a la salud.
La Fundación garantiza la confidencialidad y el debido manejo de la información personal que obtenga en el desarrollo de sus actividades asistenciales, administrativas, académicas, científicas, comerciales y laborales, aplicando los principios y reglas de la Ley 1581 de 2012 y su reglamentación, y observando además el régimen especial de reserva y confidencialidad de la historia clínica aplicable al sector salud.


Esta Política busca:

  • Proteger los derechos de los titulares de los datos personales.
  • Establecer responsabilidades institucionales y reglas uniformes de actuación.
  • Asegurar un estándar reforzado de protección cuando se trate de datos sensibles, especialmente información clínica.
  • Alinear la actuación institucional con las autorizaciones y avisos de privacidad vigentes.


2. Definición de términos

  • Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
  • Titular: Persona natural cuyos datos personales son objeto de tratamiento. En el contexto institucional: pacientes, usuarios, empleados, contratistas, proveedores personas naturales, donantes personas naturales, estudiantes, profesionales de salud vinculados, acudientes o representantes de pacientes, entre otros.
  • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
  • Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
  • Datos sensibles: Aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
  • Tratamiento: Cualquier operación sobre datos personales: recolección, almacenamiento, uso, circulación, supresión, transmisión o transferencia.
  • Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
  • Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
  • Transmisión: Comunicación de datos a un encargado para que trate los datos por cuenta del responsable (con contrato y obligaciones).
  • Transferencia: Envío de datos a un tercero que actúa como responsable receptor (p. ej., otra entidad que decide sobre ese tratamiento), dentro o fuera del país.
  • Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
  • Historia clínica: Documento privado y sometido a reserva que contiene registros de atención en salud, con reglas especiales de custodia, conservación y acceso.
  • Historia Clínica Electrónica Interoperable: Historia clínica gestionada en sistemas de información, con controles de seguridad, trazabilidad y, cuando aplique, interoperabilidad según normativa.
  • Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
  • Reclamo: Petición del titular o de las personas facultadas por este o por la ley, para corregir, actualizar o suprimir sus datos personales o para revocar la autorización en los casos establecidos en la ley.

 

  • 3.Alcance
    Esta Política aplica a todos los datos personales tratados por la Fundación en el desarrollo de sus funciones, incluyendo, sin limitarse a:
  • Prestación de servicios de salud (admisiones, triage, atención, procedimientos, hospitalización, urgencias, consulta externa, imágenes diagnósticas, laboratorio, farmacia, etc.).
  • Procesos de facturación, cartera y auditoría de cuentas médicas.
  • Actividades académicas, científicas e investigativas.
  • Relaciones laborales y de talento humano.
  • Relaciones contractuales y comerciales con proveedores, contratistas, aliados y terceros.
  • Programas institucionales (p. ej., promoción y prevención, programas especiales).
  • Videovigilancia (seguridad física e instalaciones).
  • Canales digitales y tecnológicos (web, apps, correo, call center, sistemas clínicos).

Obliga a: directivos, colaboradores, contratistas, estudiantes, practicantes y terceros que, por razón de sus funciones, accedan o intervengan en el tratamiento de datos personales.

4. Lineamientos de la política

4.1. Marco normativo y cumplimiento
La Fundación desarrollará el tratamiento de datos conforme a la Ley 1581 de 2012, el Decreto 1377 de 2013 (compilado en el Decreto 1074 de 2015), y las normas especiales de salud aplicables a historia clínica y confidencialidad.
4.2. Principios rectores del tratamiento
En todo lo que concierne al Tratamiento de Datos, la Fundación se regirá y seguirá con estricto cuidado y cumplimiento los siguientes principios. Estos valores serán la regla respecto a las actividades de recolección, manejo, uso, tratamiento, almacenamiento e intercambio de datos personales.
a. Principio de legalidad: El tratamiento de los datos es una actividad reglada y sometida al principio de legalidad. Ello quiere decir que cualquier maniobra que se vaya a realizar dentro de este escenario debe responder a las normativas legales vigentes. Para este caso la 1581 de 2012 y demás disposiciones que la desarrollen, modifiquen, deroguen o sustituyan.
b. Principio de libertad: Para el tratamiento será indispensable e innegociable, la autorización previa e informada del titular. Ningún dato, cualquiera sea su índole podrá ser divulgado sin mediación de este consentimiento, salvo disposición legal o judicial que releve o sustituya el consentimiento del titular.
c. Principio de veracidad o calidad: La información relacionada con el tratamiento deberá ser completa, integra, exacta, veraz, inteligible y de fácil comprensión. No podrán haber cláusulas o disposiciones parciales o confusas que induzcan a error.
d. Principio de finalidad: El tratamiento de los datos personales deberá obedecer y perseguir una finalidad legítima y acorde con la Constitución y la Ley. Todo previamente informado al titular.
e. Principio de seguridad: Los datos personales sujetos a tratamiento serán llevados y custodiados por el Responsable o Encargado del tratamiento. Este a su vez deberá valerse de las medidas y prevenciones técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros. Esto con el fin de evitar la pérdida, adulteración, o bien la consulta, revisión o acceso no autorizado o fraudulento.
f. Principio de transparencia: Cuando del tratamiento se trate, se le deberá garantizar al titular el derecho a obtener del Responsable o Encargado, en cualquier instante y sin barreras, información acerca de los datos que lo conciernen y comprometen.
g. Principio de confidencialidad: Cualquiera individuo o persona que intervengan en el tratamiento de datos, estará obligada a garantizar la absoluta reserva y confidencialidad aun cuando cese su vínculo con las labores que los acercaban a los datos en cuestión. Así las cosas, solo podrán realizar suministro o revelación cuando se trate de escenarios previstos por la Ley y en los términos que esta disponga.
h. Principio de acceso y circulación restringida: El tratamiento se atiene a los límites y barreras que supongan la naturaleza de los datos personales. En este orden de ideas el Tratamiento solo podrá hacerse por personas autorizadas bien por el titular o por la Ley.

4.3. Canales institucionales para el ejercicio de derechos
Correo electrónico: experiencia.paciente@shaio.org
Dirección física: Diagonal 115 A # 70 C – 75, Bogotá D.C.
Área responsable interna de atención de PQRS de datos personales: Oficial de Protección de Datos

4.4.Titular de los datos personales
Son titulares las personas naturales respecto de las cuales la Fundación trata datos. Estas son:

  • Pacientes y usuarios del servicio de salud.
  • Representantes legales y acudientes (cuando corresponda).
  • Empleados, exempleados y candidatos.
  • Proveedores/contratistas cuando sean personas naturales.
  • Donantes y benefactores personas naturales.
  • Estudiantes y personal académico.

4.5. Derechos del titular de los datos personales
El titular podrá ejercer los derechos reconocidos por la Ley 1581, incluyendo:

  • Conocer, actualizar y rectificar sus datos.
  • Solicitar prueba de la autorización otorgada, salvo excepciones legales.
  • Ser informado sobre el uso dado a sus datos.
  • Presentar consultas y reclamos ante la Fundación y obtener respuesta en términos legales.
  • Revocar la autorización y/o solicitar supresión de datos cuando proceda (si no existe deber legal o contractual que impida eliminar/conservar).
  • Acceder gratuitamente a sus datos personales.
  • Queja ante autoridad: El titular puede presentar queja ante la Superintendencia de Industria y Comercio (SIC) una vez haya agotado el trámite de consulta o reclamo ante la Fundación.


4.6. Deberes del titular de los datos personales
Para facilitar una atención segura y una gestión adecuada, el titular deberá:

  • Suministrar información veraz, completa y actualizada.
  • Informar oportunamente cambios en datos de contacto y demás información relevante.
  • Usar los canales institucionales para solicitudes y reclamos.
  • En el contexto asistencial, entender que información inexacta puede afectar la prestación segura del servicio.


4.7. Autorización del titular y excepciones
4.7.1. La Fundación solicitará autorización por medios:

  • Escritos (formularios físicos o digitales).
  • Orales (cuando sea necesario y quede evidencia verificable).
  • Medios electrónicos (click, formularios, firmas electrónicas), garantizando trazabilidad.
  • Al solicitar autorización se informará de manera clara:
    • Finalidades del tratamiento.
    • Derechos del titular.
    • Canales para ejercer derechos.
    • Carácter facultativo de la autorización de los datos sensibles.


4.7.2. Casos en los que no se requiere autorización
De conformidad con la ley, no se requiere autorización cuando:

  • Exista orden judicial o requerimiento de autoridad competente en ejercicio de funciones.
  • Se trate de datos públicos.
  • Casos de urgencia médica o sanitaria.
  • Información autorizada por ley para fines históricos, estadísticos o científicos.
  • Datos del registro civil.


4.8. Tratamiento de datos sensibles
La Fundación reconoce que los datos sensibles tienen un estándar reforzado de protección.
a) Qué datos son sensibles en la Fundación (ejemplos):

  • Historia clínica e información médica.
  • Diagnósticos, tratamientos, pronósticos.
  • Resultados de exámenes e imágenes.
  • Datos biométricos.
  • Datos que puedan generar discriminación.


b) Regla: El titular no está obligado a autorizar el tratamiento de datos sensibles, salvo

  • Sea estrictamente necesario para la prestación del servicio de salud, o
  • Exista obligación legal.


c) Medidas reforzadas:

  • Acceso por perfiles y “necesidad de saber”.
  • Registros de auditoría (logs) sobre consultas a historia clínica.
  • Controles de seguridad informática y física.
  • Deber de confidencialidad reforzado para el personal.


d) Información al titular:

  • La autorización de pacientes CI-AT-10 ya incorpora la advertencia de que datos de salud son sensibles y el carácter facultativo, salvo excepciones; esta política se alinea con ello.


4.9. Datos de niños, niñas y adolescentes (NNA)
La Fundación tratará datos personales de NNA observando el interés superior del menor garantizando el respeto de sus derechos fundamentales.
La autorización la otorgará el representante legal (padre/madre/acudiente) cuando aplique.
En el contexto de salud, el tratamiento de datos de NNA suele ser indispensable para la atención médica; aun así, se aplicará reserva reforzada.
La Fundación implementará medidas para evitar divulgación no autorizada de información clínica de NNA, y controlará el acceso a historia clínica conforme a reglas internas y normativa aplicable.

4.10. Tipos de información registrada y fuentes de recolección
Para facilitar el contacto y prestar servicios, la Fundación podrá registrar y conservar datos personales obtenidos, entre otros, de las siguientes fuentes:

  • Cuando el paciente o usuario brinda información voluntariamente (admisión, formularios, canales digitales).
  • Durante la atención asistencial y registro clínico.
  • Procesos de facturación y auditoría.
  • Entidades pagadoras (EPS, aseguradoras) cuando aplique.
  • Actividades académicas y científicas.
  • Procesos laborales y de contratación.
  • Actividades comerciales y de relacionamiento institucional.


Ejemplos de datos que pueden ser recolectados (no limitativo):

  • Identificación y contacto.
  • Datos administrativos y socioeconómicos.
  • Información del proceso asistencial, historia clínica, exámenes.
  • Datos financieros para facturación.
  • Imágenes, fotos o grabaciones.
  • Huella dactilar, reconocimiento facial, imagen del iris o retina.
  • Firma biométrica


4.11. Utilización de la información y finalidades
La Fundación utiliza la información personal para finalidades legítimas informadas al titular, incluyendo las indicadas en las diferentes autorizaciones.
4.11.1 Finalidades en salud (pacientes/usuarios)

  • Prestación segura, integral y oportuna de servicios de salud.
  • Gestión del proceso asistencial: citas, resultados, seguimiento, continuidad de atención.
  • Custodia y administración de historia clínica.
  • Gestión administrativa, contable y financiera asociada a la atención.
  • Cumplimiento de obligaciones legales/regulatorias y reportes a autoridades.
  • Auditorías internas y externas del sistema de salud cuando proceda.
  • Investigación científica o académica autorizada y ética, privilegiando anonimización cuando sea posible.
  • Conservación para fines históricos, estadísticos o legales.

 

  • 4.11.2 Finalidades administrativas/laborales/contractuales
  • Gestión de relaciones laborales: nómina, seguridad social, bienestar, SST, cumplimiento legal.
  • Gestión de proveedores y contratistas: contratación, pagos, control y auditoría.
  • Seguridad física: videovigilancia para protección de personas e instalaciones (con avisos informativos).
  • Comunicación institucional: información relevante y permitida por la norma y por la elección del titular.


4.11.3 Finalidades académicas y científicas
La Fundación, en su calidad de hospital universitario, podrá utilizar información clínica derivada de la atención de los pacientes para fines educativos, científicos y de divulgación médica, tales como:

  • Presentación de casos clínicos.
  • Participación en congresos médicos, seminarios, simposios o eventos académicos.
  • Actividades de docencia, formación de estudiantes, residentes o profesionales de la salud.
  • Publicaciones científicas o académicas.


Para estos fines se aplicarán las siguientes reglas:

  1. Preferencia por la anonimización: Siempre que sea posible, la información clínica será utilizada de manera anonimizada o desidentificada, evitando cualquier dato que permita identificar directa o indirectamente al paciente.
  2. Uso con identificación del paciente:
    Cuando por razones académicas o científicas sea necesario utilizar información que pueda permitir la identificación del paciente, se requerirá autorización previa, expresa e informada del titular o de su representante legal.
  3. Respeto por la reserva de la historia clínica:
    En todos los casos se garantizará el cumplimiento de las normas sobre reserva y confidencialidad de la historia clínica, adoptando medidas para evitar la divulgación no autorizada de datos personales o sensibles.
  4. Uso proporcional y limitado:
    Solo se divulgará la información estrictamente necesaria para los fines académicos o científicos.
  5. Control institucional:
    Cuando aplique, estos usos deberán cumplir con los procedimientos internos de investigación, ética médica o comités institucionales que correspondan.

4.11.4 Uso de imagen y contenidos audiovisuales para comunicaciones institucionales
La Fundación podrá captar y utilizar imágenes, fotografías, grabaciones de video o audio de pacientes, usuarios, colaboradores o participantes en actividades institucionales con fines de comunicación, educación y divulgación institucional.
Estas imágenes o contenidos audiovisuales podrán ser utilizados para:

  • Difusión de programas institucionales, campañas de promoción y prevención en salud.
  • Elaboración de material educativo o informativo para la comunidad.
  • Desarrollo de campañas institucionales de comunicación, posicionamiento o sensibilización en salud.
  • Publicación en medios institucionales tales como página web, redes sociales, boletines, informes institucionales, material audiovisual o piezas de comunicación.
  • Divulgación de testimonios, historias de pacientes o experiencias relacionadas con los servicios de salud.


Para estos casos se aplicarán las siguientes reglas:

  1. Autorización previa
    La captación y uso de imágenes o grabaciones de pacientes requerirá autorización previa, expresa e informada del titular o de su representante legal.
    2. Carácter facultativo
    La negativa del titular a autorizar el uso de su imagen no afectará la prestación de los servicios de salud.
    3. Protección de datos sensibles
    Cuando las imágenes o grabaciones estén asociadas a información sobre el estado de salud o al proceso asistencial del paciente, se considerarán datos sensibles y recibirán un nivel reforzado de protección.
    4. Respeto por la dignidad e intimidad del titular
    La Fundación garantizará que el uso de imágenes o contenidos audiovisuales respete la dignidad, la intimidad y el buen nombre del titular, evitando cualquier uso que pueda resultar engañoso, discriminatorio o que afecte su reputación.
    5. Limitación de finalidad
    Las imágenes o grabaciones se utilizarán únicamente para las finalidades autorizadas por el titular y de acuerdo con los principios de necesidad, proporcionalidad y responsabilidad en el tratamiento de datos personales.


4.12. Tratamientos (operaciones) sobre los datos
Los datos podrán ser sometidos a: recolección, almacenamiento, conservación, uso, actualización, modificación, circulación, transmisión, transferencia y supresión, conforme a la ley y a esta Política.
4.13. Historia clínica, historia clínica electrónica e interoperabilidad

4.13.1 Reserva y confidencialidad de historia clínica
La historia clínica es un documento privado y sometido a reserva. El acceso se limita a:

  • El titular/paciente o sus representantes autorizados cuando proceda,
  • El equipo de salud y personal autorizado en razón de sus funciones,
  • Terceros autorizados por la ley o por orden de autoridad competente.


4.13.2 Historia clínica electrónica (HCE) e interoperabilidad
La Fundación, cuando gestione información clínica en sistemas electrónicos, garantizará:

  • Control de accesos por perfiles.
  • Autenticación segura.
  • Trazabilidad y registros de auditoría (logs) de accesos.
  • Copias de seguridad, integridad y disponibilidad.
  • Mecanismos de interoperabilidad con actores autorizados del sistema de salud cuando aplique, asegurando confidencialidad y circulación restringida.


4.13.3 Envío de información clínica por medios electrónicos
Cuando el titular autorice el envío de epicrisis, resultados u otra información clínica por correo u otros medios electrónicos, la Fundación:

  • Informará los riesgos inherentes al medio.
  • Aplicará medidas razonables de seguridad.


4.14.Conservación y archivo
Los datos se conservarán por el tiempo necesario para cumplir las finalidades y las obligaciones legales aplicables.
Cumplido el término y agotada la finalidad, se enviará a archivo inactivo y posteriormente se procederá a supresión segura o anonimización cuando corresponda, garantizando trazabilidad del proceso.
4.15. Publicación y acceso a la política
Esta Política estará disponible:

  • En la página web institucional.
  • A través de los canales de atención dispuestos.
  • Cuando no sea posible poner a disposición la Política completa en el momento de recolección, se empleará el Aviso de Privacidad, informando dónde consultarla y cuáles son las finalidades.


4.16. Transferencia y transmisión de datos personales

4.16.1 Transmisión (a encargados)
La Fundación podrá transmitir datos a encargados del tratamiento (terceros que tratan datos por cuenta de la Fundación), por ejemplo:

  • Proveedores de software clínico y administrativo.
  • Servicios de hosting y nube.
  • Servicios de mensajería, call center o notificaciones.
  • Proveedores tecnológicos y de ciberseguridad.
  • Proveedores de servicios administrativos o científicos.


Condiciones mínimas para transmitir: Existirá contrato o acuerdo con el encargado que establezca:

  • Que tratará datos solo según instrucciones de la Fundación,
  • Medidas de seguridad,
  • Confidencialidad,
  • Prohibición de uso para fines propios,
  • Deber de reporte de incidentes.


4.16.2 Transferencia (a otros responsables)
La Fundación podrá transferir datos cuando el receptor actúe como responsable, por ejemplo:

  • EPS, aseguradoras y pagadores, cuando corresponda al sistema de salud.
  • Autoridades administrativas, sanitarias o judiciales por requerimiento legal.
  • Otras entidades cuando exista base legal o autorización del titular.


4.16.3 Transferencia internacional
La Fundación se abstendrá de transferir datos a países que no brinden niveles adecuados de protección, salvo las excepciones legales como:

  • Autorización expresa del titular,
  • Intercambio médico necesario por razones de salud,
  • Tratados internacionales,
  • Ejecución de contrato con el titular, con autorización.


4.17. Negativa a tratamiento de información y comunicaciones
Si el titular considera que la Fundación no debe usar sus datos para determinadas finalidades informadas (p. ej., comunicaciones institucionales no asistenciales), podrá manifestar su negativa mediante los canales dispuestos.
En cualquier caso, la Fundación respetará la decisión del titular cuando legalmente proceda, sin afectar la prestación del servicio de salud cuando el dato sea necesario para atención o cumplimiento normativo.

4.18. Procedimientos para consultas y reclamos


4.18.1 Consultas
El titular o sus causahabientes podrán presentar consultas para conocer la información personal del titular que repose en las bases de datos de la Fundación.
Término de respuesta: dentro de los quince (15) días hábiles siguientes a la recepción.
Prórroga: cuando no sea posible atender en dicho término, se informará al interesado antes del vencimiento, expresando motivos y señalando fecha de respuesta, la cual no podrá superar cinco (5) días hábiles adicionales.


4.18.2 Reclamos
El titular o sus causahabientes podrán presentar reclamos cuando consideren que la información debe ser objeto de corrección, actualización o supresión, o cuando adviertan presunto incumplimiento de deberes.
El reclamo deberá contener:

  • Identificación del titular.
  • Descripción de hechos que dan lugar al reclamo.
  • Dirección y datos de contacto.
  • Documentos que se quieran hacer valer.


Si el reclamo está incompleto:

  • La Fundación requerirá dentro de los cinco (5) días hábiles siguientes para subsanar.
    Si transcurren dos (2) meses sin respuesta, se entenderá desistido.


Término de respuesta del reclamo:

  • Máximo quince (15) días hábiles contados desde el día siguiente al recibo.
  • Prórroga: hasta ocho (8) días hábiles adicionales, informando antes del vencimiento.


Canales para presentar consultas y reclamos:

Trámite previo: Antes de acudir a la SIC, el titular debe tramitar inicialmente el reclamo con la Fundación

4.19. Seguridad de la información, auditoría y gestión de incidentes
La Fundación adoptará medidas técnicas, humanas y administrativas para proteger la información personal, incluyendo:

  • Control de accesos y roles.
  • Capacitación y deber de confidencialidad.
  • Gestión del riesgo y seguridad de sistemas de información.
  • Auditorías y controles sobre sistemas críticos (p. ej., historia clínica).
  • La Fundación contará con un procedimiento interno para gestión de incidentes (identificación, contención, análisis, remediación y aprendizaje). Cuando corresponda, se evaluará la necesidad de informar a autoridades y a titulares según la naturaleza del incidente.


4.20. Modificaciones y vigencia
La Fundación podrá modificar esta Política en cualquier momento. Cuando haya cambios sustanciales, se informará a los titulares mediante actualización en el sitio web institucional y en los medios que la Fundación estime pertinentes.

La Política rige a partir de su aprobación y reemplaza versiones anteriores.

5. Documentos relacionados

  • AS-FT-67 Autorización para tratamiento de datos personales – Pacientes.

6. Bibliografía

  • Ley 1581 de 2012.
  • Decreto 1377 de 2013 (compilado en Decreto 1074 de 2015).
  • Ley 23 de 1981
  • Resolución 1995 de 1999
  • Resolución 839 de 201
  • Ley 2015 de 2020

 

  • 7. Control de cambios