En el caso estudiado, un quejoso denunció que en el mes de marzo de 2016 ingresó al sitio web del INSTITUTO DE DIAGNÓSTICO MÉDICO -IDIME-, con el propósito de descargar los resultados de unos exámenes médicos que se había practicado; sin embargo, olvidó la contraseña con la cual se registró, por lo que eligió la opción “recordar Contraseña” para que a través del sistema le fuera enviado un correo automático con los datos asociados a la cédula digitada. Una vez recibido el correo electrónico, advirtió que este contenía el nombre, número de identificación, dirección de correo y número de teléfono de un tercero distinto a él.
Con fundamento en esta denuncia, la Dirección de Investigación de Protección de Datos Personales adelantó una investigación administrativa sancionatoria en la que concluyó que la investigada expuso, sin justificación alguna, datos personales de un titular de información a un tercero, lo que se traduce en que para la fecha de ocurrencia de los hechos la entidad no había implementado las medidas apropiadas y efectivas para impedir el acceso no autorizado a información personal de sus respectivos titulares, por lo que la sociedad investigada incumplió con el deber establecido en el literal d) del artículo 17 de la Ley 1581 de 2012 en concordancia con los literales f) y g) del artículo 4 de la misma norma.
Adicionalmente, en el curso de la investigación quedó demostrado que la referida sociedad realizaba tratamiento de datos del quejoso sin contar con su autorización previa y expresa, así como que no había implementado el manual interno de políticas y procedimientos en el que se incorporaran las políticas de seguridad. Por lo expuesto, la Dirección impuso una sanción, equivalente a 200 SMLMV, decisión que es susceptible de los recursos de reposición y de apelación.
En el caso estudiado, un quejoso denunció que en el mes de marzo de 2016 ingresó al sitio web del INSTITUTO DE DIAGNÓSTICO MÉDICO -IDIME-, con el propósito de descargar los resultados de unos exámenes médicos que se había practicado; sin embargo, olvidó la contraseña con la cual se registró, por lo que eligió la opción “recordar Contraseña” para que a través del sistema le fuera enviado un correo automático con los datos asociados a la cédula digitada. Una vez recibido el correo electrónico, advirtió que este contenía el nombre, número de identificación, dirección de correo y número de teléfono de un tercero distinto a él.