Apêndice #02 — Regime de proteção de dados sob ARTERIA
Frente: defesa jurídica
A rastreabilidade pública de ARTERIA NÃO contradiz o habeas data do paciente. Ela o realiza. O dono da história clínica é o paciente — o sistema opera a partir dessa premissa.
Resumo executivo
ARTERIA opera com dados pessoais sensíveis (história clínica, eventos clínicos, prescrições, dispensação, eventos adversos) em escala nacional. Essa sensibilidade jurídica é estrutural, não incidental. Qualquer advogado constitucionalista ou autoridade de proteção de dados perguntará legitimamente: como coexistem rastreabilidade pública do fluxo financeiro + identidade criptográfica do profissional com a reserva legal do dado de saúde + o habeas data do paciente?
A resposta é arquitetural, não retórica. ARTERIA implementa privacy by design: a rastreabilidade pública opera sobre metadados dissociados e agregados, não sobre identidades + conteúdo clínico. Os dados pessoais sensíveis do paciente estão cifrados com sua própria chave criptográfica hardware-bound, acessíveis somente por ele e por aqueles que ele autoriza explicitamente. Nem o Estado, nem a fundação operadora, nem o Ministério podem ler a história clínica de um paciente sem a autorização do paciente ou ordem judicial qualificada.
Garantia estrutural fundamental: ARTERIA torna mais forte a proteção de dados do paciente do que o sistema atual. Hoje, as histórias clínicas vivem em arquivos físicos vulneráveis ou em bases de dados administradas opacamente por EPS e IPS, sem verificação criptográfica nem rastreabilidade de acesso. ARTERIA inverte a assimetria — o paciente é dono técnico e jurídico de seus dados, e qualquer acesso fica registrado imutavelmente.
§1. Marco legal vigente aplicável
| Norma | Função |
|---|---|
| Constituição Política art. 15 | Habeas data como direito fundamental — toda pessoa pode conhecer, atualizar e retificar as informações coletadas sobre ela em bases de dados |
| Ley 1266 de 2008 | Habeas data financeiro — regime de informação comercial e financeira de pessoas |
| Ley 1581 de 2012 | Lei Geral de Proteção de Dados Pessoais |
| Decreto 1377 de 2013 | Regulamentar parcial — autorização, transferência, transmissão internacional, dever de confidencialidade |
| Decreto 886 de 2014 | Registro Nacional de Bases de Dados perante a SIC |
| Resolución 1995 de 1999 (modif. Res. 839/2017) | Manejo, custódia, retenção mínima de 15 anos, conservação da história clínica |
| Ley 2015 de 2020 | História Clínica Eletrônica Interoperável (HCEI) — marco legal específico |
| Resolución 866 de 2021 | Regulamentar HCEI — implementação operacional |
| Ley 1098 de 2006 | Proteção reforçada de dados de menores de idade |
| Ley 1751 de 2015 (Estatutária de Saúde) | Confidencialidade + direitos do paciente |
| Sentencia C-1011/2008 | Marco constitucional do habeas data |
| Sentencia T-114/2018 | Habeas data específico em saúde — direito do paciente sobre sua história clínica |
| Sentencia T-307/1999 | História clínica como dado sensível de máxima proteção |
Autoridade de Proteção de Dados: a SIC (Superintendencia de Industria y Comercio) mantém jurisdição plena. ARTERIA NÃO a substitui — a fortalece operacionalmente.
§2. Classificação de dados no sistema de saúde sob ARTERIA
Quatro categorias com regime diferenciado:
| Categoria | Definição | Regime | Acesso |
|---|---|---|---|
| Dados sensíveis do paciente | História clínica, diagnósticos, prescrições, exames com resultado, eventos adversos individuais, biometria | Ley 1581 art. 5+6 | Exclusivo do titular + autorização explícita + ordem judicial qualificada em casos forenses |
| Dados privados do paciente | Identidade civil, localização, contato, condição de afiliação | Ley 1581 art. 3 | Titular + responsável pelo tratamento + encarregados autorizados |
| Dados públicos do sistema | Registro de prestadores, identidade e habilitação de profissionais (ReTHUS), preços efetivos de medicamentos, decisões regulatórias | Ley 1581 art. 3 | Acesso público aberto |
| Dados dissociados e agregados | Análise epidemiológica, vigilância RAM agregada, métricas operacionais, indicadores de qualidade por categoria | Ley 1581 art. 25 + D-1377 | Acesso público aberto |
Princípio operacional chave: separação criptográfica entre as categorias. A camada pública opera sobre dados dissociados; a camada privada opera sobre dados cifrados com a chave do titular; nenhum operador pode combiná-las sem autorização explícita.
§3. Mapeamento de papéis do regime de proteção a ARTERIA
| Papel Ley 1581 | Em ARTERIA |
|---|---|
| Titular do dado | O paciente. Dono jurídico e técnico de sua história clínica |
| Responsável pelo tratamento | O Estado via MinSalud + ADRES + entidades territoriais |
| Encarregados do tratamento | IPS, profissionais, dispensadores, autoridades regulatórias — autorizados para subset específico |
| Operador técnico do padrão | A fundação operadora opera a plataforma sem acesso ao conteúdo clínico cifrado. Processa metadados dissociados |
| Autoridade de Proteção de Dados | SIC — jurisdição plena preservada e reforçada |
| Defensor del Pueblo | Função constitucional + tutelas em nome de pacientes |
| Procuraduría Delegada para Protección de Datos | Função disciplinar sobre funcionários públicos |
Distinção crítica frente ao sistema atual: no modelo legacy, as EPS são encarregadas com autonomia ampla e sem rastreabilidade criptográfica. Em ARTERIA, o paciente é titular técnico, as IPS são encarregadas com autorização explícita rastreada, e o operador do padrão não acessa o conteúdo. A assimetria EPS↔paciente fica estruturalmente invertida.
§4. Operacionalização dos princípios da Ley 1581 em ARTERIA
| Princípio Ley 1581 | Materialização em ARTERIA |
|---|---|
| Legalidade | Todo tratamento dentro do marco constitucional + legal. Habilitação do padrão por decreto + lei específica quando corresponda |
| Finalidade | Finalidade explicitamente declarada por categoria de dado. Nenhum uso fora da finalidade declarada é válido |
| Liberdade | Consentimento prévio, expresso e informado. Exceções (urgências, saúde pública, ordem judicial) taxativamente definidas |
| Veracidade | Dados verificáveis pelo titular e retificáveis. Identidade criptográfica garante veracidade da assinatura |
| Transparência | O titular consulta a qualquer momento quais dados possui, quem os forneceu, quem os consultou, sob qual finalidade |
| Acesso e circulação restrita | Somente o titular e os autorizados acessam o dado sensível. Operador técnico não acessa o conteúdo |
| Segurança | Criptografia multi-pilar pós-quântica + identidade hardware-bound + particionamento + redundância + builds reprodutíveis. Padrão superior ao exigível legalmente |
| Confidencialidade | Storage cifrado E2E. Nem mesmo a fundação operadora pode ler o conteúdo. Propriedade arquitetônica, não compromisso institucional |
§5. Garantias concretas ao titular do dado (paciente)
ARTERIA materializa os direitos do titular (Ley 1581 art. 8) como direitos exigíveis operacionalizados tecnicamente:
| Direito do titular | Como se exerce em ARTERIA |
|---|---|
| Conhecer, atualizar e retificar | Acesso completo desde o cliente nativo. Retificação com assinatura criptográfica + audit trail imutável |
| Solicitar prova da autorização | Toda autorização fica no DAG assinado do titular |
| Ser informado do uso de seus dados | Cliente nativo mostra em tempo real cada consulta, por quem, sob qual finalidade |
| Apresentar queixas perante a SIC | Mecanismo desde o cliente nativo + canal direto à SIC com evidência criptográfica consolidada |
| Revogar autorização + supressão | Rotação da chave criptográfica do paciente — história clínica fica criptograficamente inacessível sem destruir fisicamente (compatível com retenção legal de 15 anos). Revogação a IPS específica com efeito imediato |
| Acessar gratuitamente | Desde cliente nativo, grátis, em tempo real, sem trâmite |
| Cessão / portabilidade | Exportável em FHIR R5 padrão internacional |
Cinco garantias adicionais que o sistema atual NÃO entrega:
- Rastreabilidade criptográfica do acesso — cada consulta fica registrada com identidade, data, hora, finalidade
- Granularidade da autorização — o paciente pode autorizar acesso a partes específicas (somente cardiologia, não saúde mental) ou períodos específicos
- Notificação em tempo real — o paciente recebe notificação imediata de cada acesso
- Revogação sem fricção — operacional em segundos desde o cliente nativo
- Auditoria externa permanente — DAG auditável por SIC, Procuraduría e auditores independentes contratados pelo titular
§6. Tratamento de dados sensíveis — proteção reforçada
Os dados de saúde são sensíveis por definição legal (Ley 1581 art. 5). Categorias de proteção reforçada:
| Categoria | Proteção reforçada |
|---|---|
| Saúde mental + dependências | Acesso restrito ao tratante direto + emergências documentadas. Autorização adicional para consulta não direta. Auditoria especial |
| HIV/AIDS | Regime especial Ley 972/2005 + proteção reforçada. Acesso restrito por padrão, autorização granular |
| Doenças de transmissão sexual | Proteção reforçada similar à do HIV |
| Oncologia + doenças catastróficas | Manejo especial de informação prognóstica + proteção contra discriminação trabalhista e de seguros |
| Aborto legal (Sentencia C-355/2006 e posteriores) | Confidencialidade máxima. Acesso somente ao tratante e à mulher titular. Excluído de buscas gerais |
| Genética + medicina genômica | Proteção especial — dados hereditários afetam familiares não titulares. Consentimento ampliado |
| Saúde reprodutiva | Confidencialidade reforçada. Proteção frente ao acesso de parceiro ou familiares sem autorização explícita |
Mecanismo técnico: as categorias de proteção reforçada são implementadas como compartimentos criptográficos separados dentro da história clínica unificada. Cada compartimento requer autorização específica do titular para acesso, inclusive pelo profissional tratante de outras especialidades.
§7. Casos especiais e exceções reguladas
7.1. Menores de idade (Ley 1098/2006)
- Representação legal por pais, tutor ou defensor de família
- Dados sensíveis de menores com proteção reforçada — acesso dos pais restrito em alguns casos (autonomia progressiva)
- Adolescentes ≥ 14 anos com capacidade de consentimento informado para tratamentos específicos segundo jurisprudência
- Sistema requer autorização dupla quando aplicável (representante legal + adolescente)
7.2. Adultos mais velhos com declínio cognitivo
- Representação por cuidador legalmente autorizado (curador, apoios sob Ley 1996/2019)
- Auditoria reforçada do acesso por representante
- Mecanismos de proteção frente a abuso do representante
7.3. Pesquisa científica com dados de saúde
- Regime do Decreto 8430/1993 + Resolución 1407/2002 (Boas Práticas Clínicas)
- Dados dissociados (irreversivelmente anonimizados) sem requerer consentimento individual
- Dados identificáveis com consentimento informado + comitê de ética
- Auditoria contínua de protocolos
7.4. Saúde pública (epidemias, pandemias)
- Exceção regulada sob Ley 9/1979 + Ley 1751/2015
- Dados agregados dissociados acessíveis à autoridade sanitária
- Dados identificáveis somente sob declaração de emergência sanitária nacional + auditoria reforçada
- Vigilância epidemiológica sobre padrões agregados
7.5. Casos forenses + ordem judicial
- Acesso sob ordem judicial qualificada (juiz da república)
- Auditoria reforçada
- Notificação ao titular tão logo seja compatível com a investigação
- Dados acessados ficam em custódia judicial
7.6. Transferência internacional de dados
- Regime Decreto 1377/2013 + Capítulo 25 Ley 1581
- Transferência a países com regime adequado certificado pela SIC
- Pesquisa internacional: dados dissociados + acordo + autorização explícita do titular
- ARTERIA opera sob soberania técnica nacional — servidores e jurisdição operacional são colombianos. Transferência internacional é exceção regulada, não condição operativa
7.7. Regimes especiais (forças armadas, magistério, Ecopetrol)
- Mantêm seus regimes especiais com coordenação operacional com ARTERIA onde for aplicável
- Integráveis ao padrão técnico nacional sob acordos específicos sem perder autonomia administrativa
§8. Privacy by design — arquitetura criptográfica como cumprimento legal
ARTERIA implementa o princípio internacional de privacy by design (Ann Cavoukian, 2009; codificado no GDPR art. 25) como propriedade arquitetônica:
| Princípio Privacy by Design | Materialização em ARTERIA |
|---|---|
| Proativo, não reativo | Proteção por arquitetura desde o solo, não como camada adicional |
| Privacy por padrão | Configuração de privacidade máxima por padrão. O paciente deve optar explicitamente por compartilhar |
| Privacy embutida no design | Cifrado E2E com chave do titular é propriedade estrutural, não opção |
| Funcionalidade plena — soma positiva | Rastreabilidade pública + privacidade do paciente coexistem porque operam sobre categorias dissociadas |
| Segurança de ponta a ponta | Cifrado em repouso + em trânsito + em computação (zero-knowledge proofs) |
| Visibilidade e transparência | O paciente vê exatamente quem acessou o quê e quando |
| Respeito à privacidade do usuário | O titular controla operacionalmente seus dados |
Padrões técnicos aplicados:
- ISO 27799:2025 (gestão de segurança de informação em saúde)
- ISO/IEC 27001 (sistema de gestão de segurança da informação)
- Criptografia com auditoria pública robusta e respaldo pós-quântico
- Armazenamento de chaves bound ao hardware do dispositivo do titular
As primitivas criptográficas específicas selecionadas, os algoritmos e os parâmetros de implementação estão documentados no repositório técnico sob controle da Fundação Operadora do Padrão (proposta técnica §10), auditáveis por equipes técnicas qualificadas independentes sob acordo de confidencialidade técnica. A razão institucional desse balanço está articulada na proposta técnica §3.
§9. Comparação com GDPR (padrão internacional)
O GDPR (Regulamento UE 2016/679) é o padrão internacional mais exigente. ARTERIA cumpre ou supera suas exigências:
| Direito GDPR | ARTERIA cumpre |
|---|---|
| Acesso (art. 15) | Sim, em tempo real desde o cliente nativo |
| Retificação (art. 16) | Sim, com audit trail criptográfico |
| Esquecimento (art. 17) | Sim, via rotação de chave (compatível com retenção legal) |
| Limitação do tratamento (art. 18) | Sim, granularidade por compartimento |
| Portabilidade (art. 20) | Sim, exportação FHIR R5 |
| Oposição (art. 21) | Sim, revogação operacional em segundos |
| Decisões automatizadas (art. 22) | Smart contracts executam regras padronizadas; decisões que afetam direitos individuais requerem intervenção humana do profissional |
| Privacy by design + by default (art. 25) | Sim, por arquitetura |
| DPIA (art. 35) | Auditoria contínua do DAG por auditores independentes |
| DPO (art. 37-39) | Função na fundação operadora + coordenação com SIC |
| Notificação de brechas (art. 33-34) | Automática via smart contract à SIC + titulares afetados no prazo legal |
Conclusão: ARTERIA cumpre ou supera o GDPR completo. Relevante para transferência internacional, pesquisa clínica colaborativa com instituições europeias e posição internacional da Colombia em padrões de saúde digital.
§10. Regime sancionatório + relação com a SIC
Sanções Ley 1581 art. 23 aplicáveis a responsáveis e encarregados:
- Multas de até 2.000 SMMLV (~$2.847 milhões COP a 2026)
- Suspensão de atividades até 6 meses
- Fechamento temporário
- Fechamento imediato e definitivo
Sanções reforçadas para ARTERIA:
- Verificação automática do cumprimento: o DAG permite à SIC auditar em tempo real sem investigação reativa
- Smart contract sancionatório: quando se detecta violação verificável (acesso não autorizado registrado no DAG), o sistema dispara automaticamente processo perante a SIC com evidência consolidada
- Suspensão técnica imediata: em caso de brecha verificada, a fundação operadora pode suspender tecnicamente o ator (revogando identidade criptográfica) em paralelo ao processo formal
Relação com a SIC: a Superintendência mantém jurisdição plena. ARTERIA NÃO lhe retira autoridade — entrega-lhe a evidência consolidada e verificável. O processo disciplinar opera sobre dados criptograficamente auditáveis, o que fortalece sua capacidade.
§11. Plano de implementação da proteção de dados
| Período | Ação |
|---|---|
| Meses 0–3 | Definição formal da política de proteção de dados do padrão nacional. Designação do Data Protection Officer na fundação operadora. Coordenação inicial com SIC |
| Meses 3–6 | Registro de bases de dados do sistema unificado perante a SIC (Decreto 886/2014). Auditoria de segurança por firma externa. Design dos compartimentos criptográficos |
| Meses 6–9 | Implantação do cliente nativo com funcionalidade completa de habeas data. Primeiros 100.000 usuários voluntários |
| Meses 9–12 | Cobertura em pilotos IPS voluntárias. Capacitação do talento humano clínico. Funcionamento do DPIA contínuo |
| Meses 12–18 | Migração gradual de históricos clínicos legacy com consentimento + auditoria especial. Auto-iniciação de processos perante a SIC para casos detectados |
| Meses 18–24 | Cobertura nacional. Auditoria externa anual completa. Coordenação operacional plena com SIC, Procuraduría, Defensoría |
| Mês 24+ | Operação estabilizada. Relatórios públicos anuais. Melhoria contínua sob o marco legal |
§12. Resumo de defesas jurídicas explícitas
Defesa 1 — «ARTERIA viola o habeas data?»
Não. O realiza operacionalmente com maior fortaleza que o sistema atual. O paciente é titular técnico e jurídico de seus dados. Qualquer acesso fica registrado criptograficamente. A revogação é operacional em segundos. A retificação é rastreável. A portabilidade é nativa. O sistema implementa os oito princípios da Ley 1581 + os sete direitos do titular como propriedades arquitetônicas, não como compromissos institucionais.
Defesa 2 — «A rastreabilidade pública contradiz a reserva legal do dado de saúde?»
Não. A rastreabilidade pública opera sobre metadados dissociados e agregados (fluxo financeiro da UPC, indicadores de qualidade de prestadores, métricas operacionais). Os dados pessoais sensíveis do paciente estão cifrados com sua própria chave. Nenhuma autoridade — nem Ministério, nem ADRES, nem a fundação operadora, nem a SIC — pode ler a história clínica de um paciente sem sua autorização ou sem ordem judicial qualificada.
Defesa 3 — «O Estado terá acesso indevido à informação pessoal?»
Não. O Estado é responsável jurídico pelo tratamento, mas não é operador técnico com acesso ao conteúdo cifrado. A fundação operadora opera sobre metadados, não payloads. Acessar o conteúdo clínico requer autorização do titular ou ordem judicial. Esta é proteção estrutural maior que a do sistema atual.
Defesa 4 — «E se houver uma brecha de segurança massiva?»
ARTERIA implementa defesa em profundidade: criptografia pós-quântica + identidade hardware-bound + particionamento + redundância + auditoria contínua + builds reprodutíveis + ISO 27799:2025. Uma brecha técnica que comprometa o sistema requereria comprometer simultaneamente múltiplas camadas independentes — operacionalmente próximo do impossível para adversários reais. Em caso hipotético de brecha verificada, o sistema notifica automaticamente a SIC e os titulares afetados no prazo legal.
Defesa 5 — «O que acontece com casos sensíveis como saúde mental, HIV, aborto legal?»
Proteção reforçada por compartimentos criptográficos separados (§6). Essas categorias requerem autorização adicional específica do titular para qualquer acesso, inclusive do profissional tratante de outras especialidades. O padrão de confidencialidade é superior ao do sistema atual.
Defesa 6 — «Estamos dando dados sensíveis nacionais a uma empresa privada?»
Não. A fundação operadora é entidade sem fins lucrativos de direito público com conselho técnico misto + auditoria externa internacional. Não há provedor estrangeiro: nem Microsoft Azure, nem AWS, nem Google Cloud, nem Oracle, nem IBM têm acesso. Infraestrutura nacional + custódia sob a Fundação Operadora + builds reprodutíveis + auditoria pública. Soberania técnica e jurídica plena.
Estado do apêndice
- v1.0: 2026-06-11
- Frente: defesa jurídica
- Audiência: advogados constitucionalistas, equipe jurídica MinSalud, SIC, Defensoría, Procuraduría Delegada para Protección de Datos, jornalistas técnicos, multilaterais
- Próxima iteração: atualização com jurisprudência posterior a junho de 2026