Apéndice #02 — Régimen de protección de datos bajo ARTERIA
Frente: defensa jurídica
La trazabilidad pública de ARTERIA NO contradice el habeas data del paciente. Lo realiza. El dueño de la historia clínica es el paciente — el sistema lo opera desde esa premisa.
Resumen ejecutivo
ARTERIA opera con datos personales sensibles (historia clínica, eventos clínicos, prescripciones, dispensación, eventos adversos) a escala nacional. Esta sensibilidad jurídica es estructural, no incidental. Cualquier abogado constitucionalista o autoridad de protección de datos preguntará legítimamente: ¿cómo coexisten trazabilidad pública del flujo financiero + identidad criptográfica del profesional con la reserva legal del dato de salud + el habeas data del paciente?
La respuesta es arquitectural, no retórica. ARTERIA implementa privacy by design: la trazabilidad pública opera sobre metadatos disociados y agregados, no sobre identidades + contenido clínico. Los datos personales sensibles del paciente están cifrados con su propia llave criptográfica hardware-bound, accesibles solo por él y por quienes él autoriza explícitamente. Ni el Estado, ni la fundación operadora, ni el Ministerio pueden leer la historia clínica de un paciente sin la autorización del paciente o orden judicial calificada.
Garantía estructural fundamental: ARTERIA hace más fuerte la protección de datos del paciente que el sistema actual. Hoy las historias clínicas viven en archivos físicos vulnerables o en bases de datos administradas opacamente por EPS e IPS sin verificación criptográfica ni trazabilidad de acceso. ARTERIA invierte la asimetría — el paciente es dueño técnico y jurídico de su data, y cualquier acceso queda registrado inmutablemente.
§1. Marco legal vigente aplicable
| Norma | Función |
|---|---|
| Constitución Política art. 15 | Habeas data como derecho fundamental — toda persona puede conocer, actualizar y rectificar las informaciones recogidas sobre ella en bases de datos |
| Ley 1266 de 2008 | Habeas data financiero — régimen de información comercial y financiera de personas |
| Ley 1581 de 2012 | Ley General de Protección de Datos Personales |
| Decreto 1377 de 2013 | Reglamentario parcial — autorización, transferencia, transmisión internacional, deber de confidencialidad |
| Decreto 886 de 2014 | Registro Nacional de Bases de Datos ante SIC |
| Resolución 1995 de 1999 (modif. Res. 839/2017) | Manejo, custodia, retención mínimo 15 años, conservación de historia clínica |
| Ley 2015 de 2020 | Historia Clínica Electrónica Interoperable (HCEI) — marco legal específico |
| Resolución 866 de 2021 | Reglamentaria HCEI — implementación operacional |
| Ley 1098 de 2006 | Protección reforzada de datos de menores de edad |
| Ley 1751 de 2015 (Estatutaria de Salud) | Confidencialidad + derechos del paciente |
| Sentencia C-1011/2008 | Marco constitucional del habeas data |
| Sentencia T-114/2018 | Habeas data específico en salud — derecho del paciente sobre su historia clínica |
| Sentencia T-307/1999 | Historia clínica como dato sensible de máxima protección |
Autoridad de Protección de Datos: la SIC (Superintendencia de Industria y Comercio) mantiene jurisdicción plena. ARTERIA NO la sustituye — la fortalece operacionalmente.
§2. Clasificación de datos en el sistema de salud bajo ARTERIA
Cuatro categorías con régimen diferenciado:
| Categoría | Definición | Régimen | Acceso |
|---|---|---|---|
| Datos sensibles del paciente | Historia clínica, diagnósticos, prescripciones, exámenes con resultado, eventos adversos individuales, biometría | Ley 1581 art. 5+6 | Exclusivo del titular + autorización explícita + orden judicial calificada en casos forenses |
| Datos privados del paciente | Identidad civil, ubicación, contacto, condición de afiliación | Ley 1581 art. 3 | Titular + responsable del tratamiento + encargados autorizados |
| Datos públicos del sistema | Registro de prestadores, identidad y habilitación de profesionales (ReTHUS), precios efectivos de medicamentos, decisiones regulatorias | Ley 1581 art. 3 | Acceso público abierto |
| Datos disociados y agregados | Análisis epidemiológico, vigilancia RAM agregada, métricas operacionales, indicadores de calidad por categoría | Ley 1581 art. 25 + D-1377 | Acceso público abierto |
Principio operacional clave: separación criptográfica entre las categorías. La capa pública opera sobre datos disociados; la capa privada opera sobre datos cifrados con la llave del titular; ningún operador puede combinarlas sin autorización explícita.
§3. Mapeo de roles del régimen de protección a ARTERIA
| Rol Ley 1581 | En ARTERIA |
|---|---|
| Titular del dato | El paciente. Dueño jurídico y técnico de su historia clínica |
| Responsable del tratamiento | El Estado vía MinSalud + ADRES + entidades territoriales |
| Encargados del tratamiento | IPS, profesionales, dispensadores, autoridades regulatorias — autorizados para subset específico |
| Operador técnico del estándar | La fundación operadora opera la plataforma sin acceso al contenido clínico cifrado. Procesa metadatos disociados |
| Autoridad de Protección de Datos | SIC — jurisdicción plena preservada y reforzada |
| Defensor del Pueblo | Función constitucional + tutelas en nombre de pacientes |
| Procuraduría Delegada para Protección de Datos | Función disciplinaria sobre funcionarios públicos |
Distinción crítica frente al sistema actual: en el modelo legacy, las EPS son encargadas con autonomía amplia y sin trazabilidad criptográfica. En ARTERIA, el paciente es titular técnico, las IPS son encargadas con autorización explícita trazada, y el operador del estándar no accede al contenido. La asimetría EPS↔paciente queda estructuralmente invertida.
§4. Operacionalización de los principios de la Ley 1581 en ARTERIA
| Principio Ley 1581 | Materialización en ARTERIA |
|---|---|
| Legalidad | Todo tratamiento dentro del marco constitucional + legal. Habilitación del estándar por decreto + ley específica donde corresponde |
| Finalidad | Finalidad explícitamente declarada por categoría de dato. Ningún uso fuera de finalidad declarada es válido |
| Libertad | Consentimiento previo, expreso e informado. Excepciones (urgencias, salud pública, orden judicial) taxativamente definidas |
| Veracidad | Datos verificables por el titular y rectificables. Identidad criptográfica garantiza veracidad de la firma |
| Transparencia | El titular consulta en cualquier momento qué datos tiene, quién los aportó, quién los consultó, bajo qué finalidad |
| Acceso y circulación restringida | Solo el titular y los autorizados acceden al dato sensible. Operador técnico no accede al contenido |
| Seguridad | Criptografía multi-pilar post-cuántica + identidad hardware-bound + particionamiento + redundancia + builds reproducibles. Estándar superior al exigible legalmente |
| Confidencialidad | Storage cifrado E2E. Ni siquiera la fundación operadora puede leer el contenido. Propiedad arquitectónica, no compromiso institucional |
§5. Garantías concretas al titular del dato (paciente)
ARTERIA materializa los derechos del titular (Ley 1581 art. 8) como derechos exigibles operacionalizados técnicamente:
| Derecho del titular | Cómo se ejerce en ARTERIA |
|---|---|
| Conocer, actualizar y rectificar | Acceso completo desde el cliente nativo. Rectificación con firma criptográfica + audit trail inmutable |
| Solicitar prueba de la autorización | Toda autorización queda en el DAG firmado del titular |
| Ser informado del uso de sus datos | Cliente nativo muestra en tiempo real cada consulta, por quién, bajo qué finalidad |
| Presentar quejas ante la SIC | Mecanismo desde el cliente nativo + canal directo a SIC con evidencia criptográfica consolidada |
| Revocar autorización + supresión | Rotación de la llave criptográfica del paciente — historia clínica queda criptográficamente inaccesible sin destruir físicamente (compatible con retención legal 15 años). Revocación a IPS específica con efecto inmediato |
| Acceder gratuitamente | Desde cliente nativo, gratis, en tiempo real, sin trámite |
| Cesión / portabilidad | Exportable en FHIR R5 estándar internacional |
Cinco garantías adicionales que el sistema actual NO entrega:
- Trazabilidad criptográfica del acceso — cada consulta queda registrada con identidad, fecha, hora, finalidad
- Granularidad de la autorización — el paciente puede autorizar acceso a partes específicas (solo cardiología, no salud mental) o períodos específicos
- Notificación en tiempo real — el paciente recibe notificación inmediata de cada acceso
- Revocación sin fricción — operacional en segundos desde el cliente nativo
- Auditoría externa permanente — DAG auditable por SIC, Procuraduría y auditores independientes contratados por el titular
§6. Tratamiento de datos sensibles — protección reforzada
Los datos de salud son sensibles por definición legal (Ley 1581 art. 5). Categorías de protección reforzada:
| Categoría | Protección reforzada |
|---|---|
| Salud mental + adicciones | Acceso restringido a tratante directo + emergencias documentadas. Autorización adicional para consulta no directa. Auditoría especial |
| VIH/SIDA | Régimen especial Ley 972/2005 + protección reforzada. Acceso restringido por defecto, autorización granular |
| Enfermedades de transmisión sexual | Protección reforzada similar al VIH |
| Oncología + enfermedades catastróficas | Manejo especial de información pronóstica + protección contra discriminación laboral y de seguros |
| Aborto legal (Sentencia C-355/2006 y posteriores) | Confidencialidad máxima. Acceso solo a tratante y a la mujer titular. Excluido de búsquedas generales |
| Genética + medicina genómica | Protección especial — datos hereditarios afectan a familiares no titulares. Consentimiento ampliado |
| Salud reproductiva | Confidencialidad reforzada. Protección frente a acceso de pareja o familiares sin autorización explícita |
Mecanismo técnico: las categorías de protección reforzada se implementan como compartimentos criptográficos separados dentro de la historia clínica unificada. Cada compartimento requiere autorización específica del titular para acceso, incluso por el profesional tratante de otras especialidades.
§7. Casos especiales y excepciones reguladas
7.1. Menores de edad (Ley 1098/2006)
- Representación legal por padres, tutor o defensor de familia
- Datos sensibles de menores con protección reforzada — acceso de padres restringido en algunos casos (autonomía progresiva)
- Adolescentes ≥ 14 años con capacidad de consentimiento informado para tratamientos específicos según jurisprudencia
- Sistema requiere autorización dual cuando aplica (representante legal + adolescente)
7.2. Adultos mayores con declinación cognitiva
- Representación por cuidador legalmente autorizado (curador, apoyos bajo Ley 1996/2019)
- Auditoría reforzada del acceso por representante
- Mecanismos de protección frente a abuso del representante
7.3. Investigación científica con datos de salud
- Régimen del Decreto 8430/1993 + Resolución 1407/2002 (Buenas Prácticas Clínicas)
- Datos disociados (irreversiblemente anonimizados) sin requerir consentimiento individual
- Datos identificables con consentimiento informado + comité de ética
- Auditoría continua de protocolos
7.4. Salud pública (epidemias, pandemias)
- Excepción regulada bajo Ley 9/1979 + Ley 1751/2015
- Datos agregados disociados accesibles a autoridad sanitaria
- Datos identificables solo bajo declaratoria de emergencia sanitaria nacional + auditoría reforzada
- Vigilancia epidemiológica sobre patrones agregados
7.5. Casos forenses + orden judicial
- Acceso bajo orden judicial calificada (juez de la república)
- Auditoría reforzada
- Notificación al titular tan pronto sea compatible con la investigación
- Datos accedidos quedan en custodia judicial
7.6. Transferencia internacional de datos
- Régimen Decreto 1377/2013 + Capítulo 25 Ley 1581
- Transferencia a países con régimen adecuado certificado por SIC
- Investigación internacional: datos disociados + acuerdo + autorización explícita del titular
- ARTERIA opera bajo soberanía técnica nacional — servidores y jurisdicción operacional son colombianos. Transferencia internacional es excepción regulada, no condición operativa
7.7. Regímenes especiales (fuerzas armadas, magisterio, Ecopetrol)
- Mantienen sus regímenes especiales con coordinación operacional con ARTERIA donde aplique
- Integrables al estándar técnico nacional bajo acuerdos específicos sin perder autonomía administrativa
§8. Privacy by design — arquitectura criptográfica como cumplimiento legal
ARTERIA implementa el principio internacional de privacy by design (Ann Cavoukian, 2009; codificado en GDPR art. 25) como propiedad arquitectónica:
| Principio Privacy by Design | Materialización en ARTERIA |
|---|---|
| Proactivo, no reactivo | Protección por arquitectura desde el suelo, no como capa adicional |
| Privacy por defecto | Configuración de privacidad máxima por defecto. El paciente debe optar explícitamente por compartir |
| Privacy embebida en el diseño | Cifrado E2E con llave del titular es propiedad estructural, no opción |
| Funcionalidad plena — suma positiva | Trazabilidad pública + privacidad del paciente coexisten porque operan sobre categorías disociadas |
| Seguridad de extremo a extremo | Cifrado en reposo + en tránsito + en cómputo (zero-knowledge proofs) |
| Visibilidad y transparencia | El paciente ve exactamente quién accedió a qué y cuándo |
| Respeto a la privacidad del usuario | El titular controla operacionalmente sus datos |
Estándares técnicos aplicados:
- ISO 27799:2025 (gestión de seguridad de información en salud)
- ISO/IEC 27001 (sistema de gestión de seguridad de la información)
- Criptografía con auditoría pública robusta y respaldo post-cuántico
- Almacenamiento de claves bound al hardware del dispositivo del titular
Las primitivas criptográficas específicas seleccionadas, los algoritmos y los parámetros de implementación están documentados en el repositorio técnico bajo control de la Fundación Operadora del Estándar (propuesta técnica §10), auditables por equipos técnicos calificados independientes bajo acuerdo de confidencialidad técnica. La razón institucional de este balance está articulada en la propuesta técnica §3.
§9. Comparación con GDPR (estándar internacional)
El GDPR (Reglamento UE 2016/679) es el estándar internacional más exigente. ARTERIA cumple o supera sus exigencias:
| Derecho GDPR | ARTERIA cumple |
|---|---|
| Acceso (art. 15) | Sí, en tiempo real desde el cliente nativo |
| Rectificación (art. 16) | Sí, con audit trail criptográfico |
| Olvido (art. 17) | Sí, vía rotación de llave (compatible con retención legal) |
| Limitación del tratamiento (art. 18) | Sí, granularidad por compartimento |
| Portabilidad (art. 20) | Sí, exportación FHIR R5 |
| Oposición (art. 21) | Sí, revocación operacional en segundos |
| Decisiones automatizadas (art. 22) | Smart contracts ejecutan reglas estandarizadas; decisiones que afectan derechos individuales requieren intervención humana del profesional |
| Privacy by design + by default (art. 25) | Sí, por arquitectura |
| DPIA (art. 35) | Auditoría continua del DAG por auditores independientes |
| DPO (art. 37-39) | Función en la fundación operadora + coordinación con SIC |
| Notificación de brechas (art. 33-34) | Automática vía smart contract a SIC + titulares afectados en plazo legal |
Conclusión: ARTERIA cumple o supera GDPR completo. Relevante para transferencia internacional, investigación clínica colaborativa con instituciones europeas, y posición internacional de Colombia en estándares de salud digital.
§10. Régimen sancionatorio + relación con la SIC
Sanciones Ley 1581 art. 23 aplicables a responsables y encargados:
- Multas hasta 2,000 SMMLV (~$2,847 millones COP a 2026)
- Suspensión de actividades hasta 6 meses
- Cierre temporal
- Cierre inmediato y definitivo
Sanciones reforzadas para ARTERIA:
- Verificación automática del cumplimiento: el DAG permite a SIC auditar en tiempo real sin investigación reactiva
- Smart contract sancionatorio: cuando se detecta violación verificable (acceso no autorizado registrado en el DAG), el sistema dispara automáticamente proceso ante SIC con evidencia consolidada
- Suspensión técnica inmediata: en caso de brecha verificada, la fundación operadora puede suspender técnicamente al actor (revocando identidad criptográfica) en paralelo al proceso formal
Relación con la SIC: la Superintendencia mantiene jurisdicción plena. ARTERIA NO le quita autoridad — le entrega la evidencia consolidada y verificable. El proceso disciplinario opera sobre datos criptográficamente auditables, lo cual fortalece su capacidad.
§11. Plan de implementación de la protección de datos
| Período | Acción |
|---|---|
| Meses 0–3 | Definición formal de la política de protección de datos del estándar nacional. Designación del Data Protection Officer en la fundación operadora. Coordinación inicial con SIC |
| Meses 3–6 | Registro de bases de datos del sistema unificado ante SIC (Decreto 886/2014). Auditoría de seguridad por firma externa. Diseño de los compartimentos criptográficos |
| Meses 6–9 | Despliegue del cliente nativo con funcionalidad completa de habeas data. Primeros 100,000 usuarios voluntarios |
| Meses 9–12 | Cobertura en pilotos IPS voluntarias. Capacitación del talento humano clínico. Funcionamiento del DPIA continuo |
| Meses 12–18 | Migración gradual de historias clínicas legacy con consentimiento + auditoría especial. Auto-iniciación de procesos ante SIC para casos detectados |
| Meses 18–24 | Cobertura nacional. Auditoría externa anual completa. Coordinación operacional plena con SIC, Procuraduría, Defensoría |
| Mes 24+ | Operación estabilizada. Reportes públicos anuales. Mejora continua bajo el marco legal |
§12. Resumen de defensas jurídicas explícitas
Defensa 1 — «¿ARTERIA viola el habeas data?»
No. Lo realiza operacionalmente con mayor fortaleza que el sistema actual. El paciente es titular técnico y jurídico de su data. Cualquier acceso queda registrado criptográficamente. La revocación es operacional en segundos. La rectificación es trazable. La portabilidad es nativa. El sistema implementa los ocho principios de la Ley 1581 + los siete derechos del titular como propiedades arquitectónicas, no como compromisos institucionales.
Defensa 2 — «¿La trazabilidad pública contradice la reserva legal del dato de salud?»
No. La trazabilidad pública opera sobre metadatos disociados y agregados (flujo financiero del UPC, indicadores de calidad de prestadores, métricas operacionales). Los datos personales sensibles del paciente están cifrados con su propia llave. Ninguna autoridad — ni Ministerio, ni ADRES, ni la fundación operadora, ni la SIC — puede leer la historia clínica de un paciente sin su autorización o sin orden judicial calificada.
Defensa 3 — «¿El Estado tendrá acceso indebido a la información personal?»
No. El Estado es responsable jurídico del tratamiento, pero no es operador técnico con acceso al contenido cifrado. La fundación operadora opera sobre metadatos, no payloads. Acceder al contenido clínico requiere autorización del titular o orden judicial. Esta es protección estructural mayor que la del sistema actual.
Defensa 4 — «¿Y si hay una brecha de seguridad masiva?»
ARTERIA implementa defensa en profundidad: criptografía post-cuántica + identidad hardware-bound + particionamiento + redundancia + auditoría continua + builds reproducibles + ISO 27799:2025. Una brecha técnica que comprometa el sistema requeriría comprometer simultáneamente múltiples capas independientes — operacionalmente cercano a imposible para adversarios reales. En caso hipotético de brecha verificada, el sistema notifica automáticamente a SIC y a titulares afectados en plazo legal.
Defensa 5 — «¿Qué pasa con casos sensibles como salud mental, VIH, aborto legal?»
Protección reforzada por compartimentos criptográficos separados (§6). Estas categorías requieren autorización adicional específica del titular para cualquier acceso, incluso del profesional tratante de otras especialidades. El estándar de confidencialidad es superior al sistema actual.
Defensa 6 — «¿Estamos dando data sensible nacional a una empresa privada?»
No. La fundación operadora es entidad sin ánimo de lucro de derecho público con consejo técnico mixto + auditoría externa internacional. No hay proveedor extranjero: ni Microsoft Azure, ni AWS, ni Google Cloud, ni Oracle, ni IBM tienen acceso. Infraestructura nacional + custodia bajo Fundación Operadora + builds reproducibles + auditoría pública. Soberanía técnica y jurídica plena.
Estado del apéndice
- v1.0: 2026-06-11
- Frente: defensa jurídica
- Audiencia: abogados constitucionalistas, equipo jurídico MinSalud, SIC, Defensoría, Procuraduría Delegada para Protección de Datos, periodistas técnicos, multilaterales
- Próxima iteración: actualización con jurisprudencia posterior a junio 2026