By Ariel: Asistente Legal con IA in IA

Protección de datos 2025: reformas a la vista y cómo preparar a su empresa en Colombia

Protección de datos 2025: reformas a la vista y cómo preparar a su empresa en Colombia
La protección de datos personales está dando de qué hablar en Colombia. Foto por: Revista Fortuna MX

La encrucijada entre innovación y regulación

La rápida evolución tecnológica, en especial la masificación de la inteligencia artificial, presenta desafíos significativos para los marcos normativos de protección de datos personales a nivel global. Colombia no es la excepción. Si bien el país cuenta con una regulación robusta, encabezada por la Ley Estatutaria 1581 de 2012, la ausencia de una normativa específica sobre inteligencia artificial genera un escenario de necesaria adaptación.

La Superintendencia de Industria y Comercio (SIC), como autoridad nacional en la materia, tiene entre sus funciones la de “sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional”. Esta facultad anticipa un futuro de reformas legislativas para alinear el marco jurídico con las nuevas realidades digitales. Ante este panorama, la preparación proactiva de las empresas no es solo una buena práctica, sino una necesidad estratégica para mitigar riesgos y consolidar la confianza en la economía digital.

El marco actual: principios sólidos para un futuro incierto

Aunque actualmente no existe una regulación especial sobre inteligencia artificial en Colombia, el régimen general de protección de datos personales, contenido en la Ley 1581 de 2012 y sus decretos reglamentarios, es plenamente aplicable. La Superintendencia de Industria y Comercio ejerce la vigilancia para garantizar que en todo tratamiento de datos se respeten los principios, derechos y garantías previstos en la ley.

Sin embargo, la complejidad de los nuevos modelos de negocio basados en datos exige que las organizaciones vayan más allá del simple cumplimiento formal. El ordenamiento jurídico colombiano ha incorporado principios de vanguardia que sirven como hoja de ruta para una gestión de datos robusta y adaptable a futuras exigencias. A continuación, se analizan los pilares fundamentales que toda empresa debe consolidar.

Pilar 1: El principio de responsabilidad demostrada (Accountability)

El principio de responsabilidad demostrada, o accountability, es una piedra angular del sistema colombiano de protección de datos. No basta con cumplir la ley; es imperativo ser capaz de demostrar dicho cumplimiento ante la autoridad de control.

En palabras de la Corte Constitucional, este principio consiste en:

“(...) el deber jurídico del responsable del tratamiento de demostrar ante la autoridad de datos que cuenta con la institucionalidad y los procedimientos para garantizar las distintas garantías del derecho al habeas data, en especial, la vigencia del principio de libertad y las facultades de conocimiento, actualización y rectificación del dato personal.”

Para materializar este principio, los responsables del tratamiento deben implementar un Programa Integral de Gestión de Datos Personales. De acuerdo con el Decreto 1074 de 2015 y la doctrina de la SIC, este programa debe garantizar, como mínimo:

  • La existencia de una estructura administrativa interna proporcional al tamaño de la empresa para adoptar e implementar las políticas de protección de datos.
  • La adopción de mecanismos internos para poner en práctica dichas políticas, incluyendo herramientas de implementación, entrenamiento y programas de educación para el personal.
  • La implementación de procesos para la atención y respuesta a consultas y reclamos de los titulares.
  • El desarrollo de un sistema de administración de riesgos asociados al tratamiento de datos personales.

La existencia de estas políticas y medidas será tenida en cuenta por la Superintendencia al momento de evaluar la imposición de sanciones por eventuales infracciones.

Pilar 2: La figura del Oficial de Protección de Datos (OPD)

La normativa colombiana establece la obligación para todo responsable y encargado del tratamiento de datos de designar a una persona o área que asuma la función de protección de datos personales. Esta figura, conocida como Oficial de Protección de Datos (OPD), es el eje central para la correcta implementación del principio de responsabilidad demostrada.

Aunque la ley no define un perfil profesional específico, sus funciones son de alta responsabilidad y requieren un conocimiento profundo de la normativa. Entre sus principales tareas, guiadas por la Superintendencia de Industria y Comercio, se encuentran:

  • Asesorar y supervisar: Informar y asesorar a la organización sobre sus obligaciones legales y supervisar el cumplimiento de las políticas de tratamiento de la información.
  • Implementar y gestionar: Estructurar, diseñar y liderar el Programa Integral de Gestión de Datos Personales, promoviendo una cultura de protección de datos al interior de la entidad.
  • Servir de enlace: Actuar como punto de contacto con los titulares de los datos para dar trámite a sus solicitudes y con la Superintendencia de Industria y Comercio para atender sus requerimientos.
  • Gestionar inventarios y registros: Establecer lineamientos para mantener un inventario actualizado de las bases de datos y apoyar en su registro ante el Registro Nacional de Bases de Datos (RNBD).

Pilar 3: La responsabilidad indelegable de los administradores societarios

La responsabilidad por el cumplimiento de la normativa de protección de datos no recae únicamente en el OPD o en el área de cumplimiento. Los administradores societarios tienen un deber legal de velar por el estricto cumplimiento de todas las disposiciones legales, incluidas las de habeas data.

La ley les exige actuar con la diligencia de un “buen hombre de negocios”, un estándar de conducta que, según la Corte Constitucional, va más allá de la diligencia común y corriente. En el contexto del tratamiento de datos, esto implica que los administradores deben adoptar medidas “útiles, oportunas, eficientes y demostrables” para acreditar el cumplimiento, en línea con el principio de responsabilidad demostrada. En este sentido, los administradores pueden ser considerados corresponsables del tratamiento cuando, en conjunto con la persona jurídica, deciden sobre las bases de datos y su tratamiento.

Régimen sancionatorio: las consecuencias del incumplimiento

El incumplimiento de las disposiciones de la Ley 1581 de 2012 puede acarrear severas sanciones por parte de la Superintendencia de Industria y Comercio. Es fundamental que las empresas conozcan los riesgos asociados a una gestión deficiente de los datos personales.

El artículo 23 de la ley contempla las siguientes sanciones:

  • Multas: De carácter personal e institucional de hasta dos mil (2.000) salarios mínimos mensuales legales vigentes. Estas multas pueden ser sucesivas mientras subsista el incumplimiento.
  • Suspensión de actividades: Suspensión de las actividades relacionadas con el tratamiento de datos hasta por un término de seis (6) meses.
  • Cierre de operaciones: Cierre temporal de las operaciones si no se adoptan los correctivos ordenados, o cierre inmediato y definitivo si la operación involucra el tratamiento de datos sensibles.

Para graduar estas sanciones, la autoridad considera criterios como la dimensión del daño, el beneficio económico obtenido por el infractor, la reincidencia y la obstrucción a la acción investigadora de la Superintendencia.

Conclusión

Si bien las reformas específicas en materia de protección de datos e inteligencia artificial aún están en desarrollo, el marco normativo colombiano actual provee las herramientas y principios necesarios para que las empresas construyan una gobernanza de datos sólida y resiliente.

La preparación no consiste en esperar una nueva ley, sino en implementar de manera rigurosa los principios ya existentes: la responsabilidad demostrada, la designación de un Oficial de Protección de Datos con funciones claras y el compromiso activo de la alta dirección.

Las organizaciones que adopten un enfoque proactivo no solo se prepararán para los cambios regulatorios del futuro, sino que también fortalecerán su posición competitiva, mitigarán riesgos sancionatorios y generarán la confianza indispensable para operar en la economía digital del siglo XXI.

El contenido de este blog fue generado con ayuda de Ariel, el asistente legal de inteligencia artificial en Colombia y la supervisión humana del equipo jurídico de Ariel.

Fuentes:

  • Comité Jurídico Interamericano. (2024). Informe anual 2024.
  • Congreso de la República de Colombia. (2012). Ley 1581 de 2012.
  • Corte Constitucional de Colombia. (2021). Sentencia C-032-2021.
  • Migración Colombia. (2024). Resolución 4684 de 2024.
  • Ministerio de Agricultura y Desarrollo Rural. (2022). Resolución 000230 de 2022.
  • Ministerio de Tecnologías de la Información y Comunicaciones. (2020). Resolución 2160 de 2020.
  • Presidente de la República de Colombia. (2013). Decreto 1377 de 2013.
  • Presidente de la República de Colombia. (2015). Decreto 1074 de 2015.
  • Superintendencia de Industria y Comercio. (2024). Circular Externa 003 de 2024.
  • Superintendencia de Industria y Comercio. (2025). Concepto Jurídico 5956 de 2025.
💬
¿Quieres probar gratis el asistente legal con IA, Ariel? Regístrate ahora en arielapp.co
📍
¿Tienes dudas? 📩 Escríbenos a soporte@arielapp.co o al WhatsApp +57 311 7357537

Previous

Inteligencia artificial en los exámenes de derecho: ¿puede un robot aprobar la carrera en Colombia?

You might also like...