Acuerdo de Confidencialidad y Secreto Profesional

ONFARMA S.A.S. (NIT 901.503.579-1) es el responsable del tratamiento de los datos personales y de salud de los pacientes en su plataforma. Este Acuerdo establece el deber de reserva, confidencialidad y seguridad que asume toda persona que, en razón de su vínculo con ONFARMA, accede a información de salud de pacientes o a cualquier otra información reservada tratada en la plataforma.

1. Naturaleza y propósito

Este Acuerdo no sustituye ni reduce los deberes legales y éticos preexistentes de quien lo suscribe: los reconoce, los concreta para el entorno de la plataforma y deja constancia consultable de su aceptación. Los datos sensibles comprenden, de forma principal, los datos de salud del paciente (diagnóstico, medicación, antecedentes clínicos, alergias y, en general, toda la información clínica del portal), conforme al artículo 5 de la Ley 1581 de 2012.

2. A quién obliga

Debe suscribir este Acuerdo, como condición previa para acceder a la plataforma o a los datos clínicos, toda persona comprendida en alguno de los siguientes grupos:

• Médicos y profesionales de la salud vinculados, que prescriben en el portal y que, en el acto de prescripción, actúan como prescriptores sujetos a secreto profesional médico.
• Todo el personal con acceso administrativo o a datos clínicos: personal de gerencia y administración, los superadministradores de la plataforma, desarrolladores, contratistas y proveedores que por su rol puedan acceder al panel administrativo, a la base de datos, a copias de respaldo, a registros (logs) o a archivos con datos sensibles, y cualquier persona con credenciales que permitan consultar fichas de paciente, fórmulas o el PDF clínico.

Sobre el superadministrador. Este Acuerdo no modifica ni recorta los privilegios técnicos del superadministrador. El control sobre ese acceso no es la restricción de sus permisos, sino la trazabilidad y auditoría de su actividad. La firma de este Acuerdo por parte del superadministrador es obligatoria precisamente porque su acceso es el más amplio.

3. Marco legal del deber de reserva

• Constitución Política, artículo 74: «El secreto profesional es inviolable.» Es la base constitucional de la reserva sobre la información clínica.
• Ley 23 de 1981 (ética médica) y su Decreto reglamentario 3380 de 1981: la Historia Clínica es un documento privado sometido a reserva y el secreto profesional médico es un deber del profesional.
• Código Penal (Ley 599 de 2000), artículo 74: tipifica la violación del secreto profesional; la revelación indebida de información conocida en razón de la profesión u oficio puede acarrear responsabilidad penal.
• Ley 1751 de 2015 (Estatutaria de Salud), artículo 10: la Historia Clínica es confidencial y reservada, y solo puede ser conocida por terceros con autorización del paciente o por mandato legal.
• Ley 1581 de 2012: consagra los principios de seguridad y confidencialidad y, respecto de quienes intervienen en el tratamiento, el deber de confidencialidad, que subsiste incluso después de finalizada la relación con el dato. El tratamiento de datos sensibles exige autorización explícita del titular (art. 6, lit. a).

4. Obligaciones de quien suscribe

4.1. Deber de reserva

Mantendrá reserva absoluta sobre toda la información de salud de los pacientes y, en general, sobre cualquier dato personal, dato sensible, fórmula, ficha clínica, antecedente, dato de contacto o dato bancario al que acceda a través de la plataforma o por causa de su vínculo con ONFARMA, tanto la que consulte directamente como la que conozca de manera incidental.

4.2. Finalidad y uso limitado

Utilizará la plataforma y los datos única y exclusivamente para la atención del paciente y para las funciones propias de su rol autorizado. Queda prohibido cualquier uso ajeno a esa finalidad.

4.3. Prohibiciones expresas

• Divulgar, comentar, mostrar o compartir información de pacientes con terceros no autorizados, dentro o fuera de ONFARMA.
• Extraer, copiar, descargar, exportar, fotografiar o reproducir datos clínicos o personales fuera de los flujos autorizados de la plataforma.
• Reutilizar los datos para fines distintos de la atención (por ejemplo, mercadeo, contacto comercial, investigación no autorizada, cesión a terceros o entrenamiento de sistemas).
• Consultar fichas o fórmulas de pacientes que no correspondan a su atención o a su función.
• Compartir, ceder o dejar desatendidas sus credenciales de acceso, ni permitir que otra persona opere bajo su identidad.

4.4. Deber de seguridad y custodia de credenciales

Custodiará sus credenciales con diligencia, cerrará sesión en equipos compartidos, no almacenará datos clínicos en dispositivos o servicios no autorizados, y aplicará las medidas de seguridad razonables que ONFARMA comunique.

4.5. Deber de reportar incidentes

Reportará de inmediato, a través del canal juridica@onfarma.co, cualquier incidente de seguridad, acceso no autorizado, pérdida, divulgación accidental, sospecha de filtración o vulnerabilidad de la que tenga conocimiento. Este deber permite a ONFARMA cumplir su obligación de informar a la Superintendencia de Industria y Comercio los incidentes de seguridad (art. 17, lit. n, de la Ley 1581 de 2012).

4.6. Deber especial del médico prescriptor

El médico reconoce que es responsable del tratamiento de los datos del paciente que registra y que, antes de capturar datos sensibles en la plataforma, debe contar con la autorización del paciente, de conformidad con el art. 6, lit. a, de la Ley 1581 de 2012. Declara que registrará únicamente datos de pacientes a quienes atiende y respecto de quienes cuenta con dicha autorización.

5. Vigencia del deber de confidencialidad

El deber de confidencialidad y secreto profesional aquí asumido es de vigencia indefinida y subsiste tras la terminación de la relación contractual, laboral, profesional o de cualquier vínculo con ONFARMA, así como tras la cancelación de las credenciales de acceso. El secreto profesional, por mandato del artículo 74 de la Constitución, es inviolable y no se extingue por el transcurso del tiempo ni por el fin de la relación.

6. Consecuencias del incumplimiento

El incumplimiento de este Acuerdo podrá dar lugar, según la gravedad y de manera no excluyente, a:

• Suspensión o cancelación inmediata del acceso a la plataforma y de las credenciales.
• Responsabilidad disciplinaria, contractual o laboral, incluida la terminación del vínculo por justa causa cuando corresponda.
• Responsabilidad ética ante el respectivo tribunal de ética profesional (para el médico, conforme a la Ley 23 de 1981).
• Responsabilidad penal por violación del secreto profesional (art. 74 del Código Penal) y demás tipos penales aplicables.
• Responsabilidad administrativa de ONFARMA ante la Superintendencia de Industria y Comercio, con sanciones que para datos sensibles pueden llegar hasta el cierre de operaciones (art. 23 de la Ley 1581 de 2012), sin perjuicio de la acción de repetición contra quien con su conducta haya causado o agravado la sanción.
• Responsabilidad civil por los daños y perjuicios ocasionados al titular o a ONFARMA.

7. Acceso registrado y auditado

Quien suscribe reconoce y acepta que:

• el acceso a la plataforma, al panel administrativo y a los datos clínicos puede ser registrado y auditado (quién accede, cuándo y a qué), incluido el acceso del superadministrador;
• la auditoría es el mecanismo de control sobre los accesos de máximo privilegio, sin que ello implique recortar los privilegios técnicos que el rol requiera para operar la plataforma;
• ONFARMA podrá revisar dichos registros ante un incidente, una queja del titular o un requerimiento de la autoridad.

8. Texto de aceptación

Declaro que he leído y comprendido este Acuerdo y, en consecuencia, me obligo a lo siguiente:

1. Guardar reserva absoluta sobre toda la información de salud de los pacientes y sobre cualquier dato personal o sensible al que acceda a través de la plataforma de ONFARMA S.A.S., reconociendo que está protegida por el secreto profesional (art. 74 de la Constitución; Ley 23 de 1981; art. 74 del Código Penal) y por el deber de confidencialidad y seguridad de la Ley 1581 de 2012.
2. Usar la plataforma y los datos únicamente para la atención del paciente y para las funciones propias de mi rol autorizado.
3. No divulgar, extraer, copiar, exportar ni reutilizar datos de pacientes para fines distintos de la atención, ni consultar información que no corresponda a mi función.
4. Custodiar mis credenciales y no compartirlas ni permitir que otra persona opere bajo mi identidad.
5. Reportar de inmediato al canal juridica@onfarma.co cualquier incidente, acceso no autorizado o sospecha de filtración de datos.
6. Entender que este deber de confidencialidad es indefinido y subsiste aunque termine mi vínculo con ONFARMA S.A.S., y que su incumplimiento acarrea consecuencias disciplinarias, éticas, civiles, administrativas y penales.
7. Aceptar que mi acceso a la plataforma y a los datos clínicos puede ser registrado y auditado.

Para el médico prescriptor: declaro, además, que soy responsable del tratamiento de los datos de los pacientes que registro, que cuento con la autorización del paciente antes de registrar sus datos de salud (Ley 1581 de 2012, art. 6, lit. a) y que únicamente registro pacientes a quienes atiendo.

9. Prueba de la aceptación

Al aceptar, ONFARMA conserva un registro consultable de la aceptación, conforme al deber de conservar copia de la autorización (Ley 1581 de 2012, arts. 9 y 17). El registro contiene, como mínimo, la identidad del firmante (usuario, documento, rol), la fecha y hora, la dirección IP desde la que se aceptó, la versión del Acuerdo aceptada y, opcionalmente, el navegador o cliente utilizado.

Para cualquier consulta sobre este Acuerdo o sobre el tratamiento de datos personales, escriba a juridica@onfarma.co.