By Ariel: Asistente Legal con IA in IA

Protección de datos personales en Colombia: novedades normativas, obligaciones y sanciones

Protección de datos personales en Colombia: novedades normativas, obligaciones y sanciones
Datos personales, un bien preciado. Foto: Segurilatam

La protección de datos personales en Colombia, más de una década después de la expedición de la Ley Estatutaria 1581 de 2012, continúa siendo un campo dinámico y de suma relevancia para todas las organizaciones. El derecho fundamental al Hábeas Data, que permite a toda persona "conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos", se enfrenta a nuevos desafíos derivados de la transformación digital, la inteligencia artificial (IA) y las nuevas prácticas comerciales.

Este entorno exige que las empresas y profesionales del derecho no solo conozcan el marco regulatorio general, sino que también se mantengan actualizados sobre las interpretaciones de la Superintendencia de Industria y Comercio (SIC), las nuevas normativas y las obligaciones específicas que de ellas emanan. A continuación, se presenta un análisis jurídico de las novedades más importantes, las obligaciones clave ante la SIC y el régimen sancionatorio vigente.

Novedades y desafíos normativos en la era digital

El régimen general de protección de datos, establecido por la Ley 1581 de 2012 y reglamentado por decretos como el 1377 de 2013 (hoy compilado en el Decreto Único 1074 de 2015), ha sido complementado recientemente por normativas y políticas que responden a las nuevas realidades tecnológicas y comerciales.

1. La Ley 2300 de 2023 y la gestión del consentimiento comercial

Una de las novedades más significativas es la expedición de la Ley 2300 de 2023, conocida como la ley "Dejen de Fregar". Aunque su objetivo principal es proteger el derecho a la intimidad de los consumidores, tiene profundas implicaciones en el tratamiento de datos personales para fines comerciales. La SIC, como autoridad de protección de datos, ha precisado su competencia para vigilar el cumplimiento de esta ley.

Mediante la Circular Externa 001 de 2024, la SIC estableció una interpretación clave con respecto al Registro de Números Excluidos (RNE):

"() se entenderán revocadas las autorizaciones para fines de prospección comercial que los titulares hayan otorgado a los productores y proveedores de bienes y servicios anteriores a la inscripción en el Registro de Números Excluidos.

Esto significa que la inscripción de un usuario en el RNE tiene un efecto inmediato sobre los consentimientos previamente otorgados, obligando a las empresas a consultar este registro antes de contactar a los consumidores con fines publicitarios o comerciales. La SIC es competente para tramitar quejas cuando un titular es contactado para fines publicitarios a través de un canal no autorizado o si desea que su información sea suprimida para dejar de recibir publicidad.

El avance de la IA ha puesto de manifiesto que el marco normativo de 2012, aunque robusto, fue expedido "en un contexto previo al auge de las tecnologías para el análisis de grandes volúmenes de datos". El Documento CONPES 4144 de 2025 reconoce que la protección de la intimidad debe reforzarse y ajustarse a estos nuevos contextos, donde el tratamiento de datos puede ser realizado por sistemas de IA sin intervención humana directa.

Este documento advierte sobre los riesgos asociados, como la vulneración no intencional de la privacidad por parte de sistemas autónomos y el uso de tecnologías como los Deepfakes, cuyo fraude asociado en Colombia creció un 433% en el primer trimestre de 2024. Si bien aún no hay una reforma legislativa, la SIC ha dado pasos proactivos, como el lanzamiento de un "Sandbox sobre privacidad desde el diseño y por defecto en proyectos de Inteligencia Artificial", un espacio de experimentación para que las empresas desarrollen soluciones de cumplimiento normativo en proyectos de IA con el acompañamiento de la autoridad.

Obligaciones clave ante la Superintendencia de Industria y Comercio

Más allá del cumplimiento de los principios rectores de la Ley 1581 (legalidad, finalidad, libertad, veracidad, transparencia, etc.), los Responsables del Tratamiento de datos personales tienen obligaciones específicas de reporte y registro ante la SIC.

1. El Registro Nacional de Bases de Datos (RNBD)

El RNBD es el "directorio público de las bases de datos sujetas a Tratamiento que operan en el país". La obligación de registrar las bases de datos no es universal; recae sobre los Responsables del Tratamiento que cumplan dos condiciones:

  1. Ser una sociedad comercial o una entidad sin ánimo de lucro.
  2. Registrar activos totales superiores a 100.000 Unidades de Valor Tributario (UVT).

La información mínima que debe inscribirse por cada base de datos incluye la identificación del Responsable y del Encargado (si lo hay), los canales para el ejercicio de derechos por parte de los titulares, la finalidad de la base de datos y la política de tratamiento de la información. Adicionalmente, la Circular Única de la SIC exige registrar:

  • La clasificación de los datos personales almacenados.
  • Las medidas de seguridad implementadas.
  • La procedencia de los datos.
  • Información sobre transferencias y transmisiones internacionales de datos.

2. El deber de reportar incidentes de seguridad y reclamos

Una de las obligaciones más importantes es el reporte de novedades al RNBD. Los Responsables obligados a registrar sus bases de datos deben informar sobre:

  • Incidentes de seguridad: Se refiere a "la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información". Estos deben ser reportados dentro de los quince (15) días hábiles siguientes al momento en que se detecten.
  • Reclamos de los titulares: Se debe consolidar y reportar semestralmente la información de los reclamos presentados por los titulares.

3. El principio de responsabilidad demostrada (Accountability)

Incorporado por el Decreto 1074 de 2015, este principio exige una postura proactiva. No basta con cumplir la ley; los Responsables deben ser capaces de demostrar, a petición de la SIC, que han implementado "medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012".

Esta demostración debe ser proporcional a factores como el tamaño de la empresa, la naturaleza de los datos tratados, el tipo de tratamiento y los riesgos potenciales para los titulares. En la práctica, esto implica contar con políticas internas efectivas, una estructura administrativa para su implementación, programas de entrenamiento y procesos claros para la atención de consultas y reclamos.

4. Cumplimiento extraterritorial

Es crucial entender que la legislación colombiana aplica no solo a empresas con presencia física en el país. La Ley 1581 de 2012 se aplica al "tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales".

La SIC ha ratificado este criterio, por ejemplo, en el caso de Google LLC, argumentando que cualquier empresa, nacional o extranjera, que procese datos de ciudadanos o residentes en Colombia debe cumplir con la normativa local, sin importar dónde estén ubicados sus servidores.

Régimen sancionatorio: consecuencias del incumplimiento

La SIC posee amplias facultades de vigilancia y control, y puede iniciar investigaciones de oficio o por queja de parte para determinar el incumplimiento de la normativa. Es importante destacar que para la imposición de una sanción administrativa no se requiere la demostración de un daño; es suficiente con desconocer cualquiera de las disposiciones de la Ley 1581 de 2012.

Las sanciones que puede imponer la SIC a los Responsables y Encargados del Tratamiento de naturaleza privada son:

  • Multas: De carácter personal e institucional de hasta 2.000 salarios mínimos mensuales legales vigentes (SMMLV).
  • Suspensión de actividades: Relacionadas con el tratamiento de datos hasta por un término de seis (6) meses.
  • Cierre temporal de operaciones: Si no se adoptan los correctivos ordenados tras la suspensión.
  • Cierre inmediato y definitivo: De la operación que involucre el tratamiento de datos sensibles.

Para graduar las sanciones, la SIC considera criterios como la dimensión del daño o peligro, el beneficio económico obtenido por el infractor, la reincidencia, la obstrucción a la acción investigadora y el reconocimiento expreso de la infracción.

Conclusión y recomendaciones prácticas

El régimen de protección de datos en Colombia es maduro, pero se encuentra en una fase de adaptación a los nuevos retos que imponen la economía digital y la inteligencia artificial. Para las organizaciones, esto implica que el cumplimiento ya no puede ser un ejercicio estático de tener una política de privacidad, sino que debe ser un programa integral y dinámico de gobernanza de datos.

Se recomienda a todas las organizaciones:

  1. Revisar y actualizar las autorizaciones: Especialmente para fines comerciales, verificando el impacto de la Ley 2300 de 2023 y el RNE sobre los consentimientos existentes.
  2. Evaluar la obligación de registro en el RNBD: Determinar si, por el monto de sus activos, están obligadas a registrar sus bases de datos y mantener dicha información actualizada.
  3. Implementar y documentar el principio de responsabilidad demostrada: No solo cumplir, sino tener la evidencia de las medidas adoptadas para poder demostrarlo ante la SIC. Esto incluye evaluaciones de impacto, programas de capacitación y auditorías internas.
  4. Establecer un protocolo de gestión de incidentes: Tener un plan claro para detectar, gestionar y reportar violaciones de seguridad a la SIC dentro del plazo legal de 15 días hábiles.
  5. Monitorear los desarrollos en IA: Estar atentos a las futuras regulaciones y guías que emita la SIC y el gobierno nacional sobre el tratamiento de datos en sistemas de inteligencia artificial.

La protección de datos personales es un pilar de la confianza en el entorno digital y una obligación legal cuyo incumplimiento puede acarrear severas consecuencias económicas y reputacionales.

El contenido de este blog fue generado con ayuda de Ariel, el asistente legal de inteligencia artificial en Colombia y la supervisión humana del equipo jurídico de Ariel.

Fuentes:

  • Congreso de la República de Colombia. (2012). Ley 1581 de 2012.
  • Presidencia de la República de Colombia. (2013). Decreto 1377 de 2013.
  • Superintendencia de Industria y Comercio. (2020). Resolución 38281 de 2020.
  • Superintendencia de Industria y Comercio. (2024). Concepto 24-455413 de 2024.
  • Comisión de Regulación de Comunicaciones. (2024). Concepto 2024523515 de 2024.
  • Superintendencia de Industria y Comercio. (2024). Circular Externa 001 de 2024.
  • Departamento Nacional de Planeación. (2025). Conpes 4144 de 2025.
  • Superintendencia de Industria y Comercio. (2025). Resolución 64942 de 2025.
  • Superintendencia de Industria y Comercio. (2025). Concepto Jurídico 5932 de 2025.
  • Superintendencia de Industria y Comercio. (2025). Concepto Jurídico 5973 de 2025.
  • Superintendencia de Industria y Comercio. (2025). Concepto Jurídico 6011 de 2025.
  • Superintendencia de Industria y Comercio. (2025). Circular Única de la Superintendencia de Industria y Comercio.
  • Superintendencia de Industria y Comercio. Concepto 15209821.

💬
¿Quieres probar gratis el asistente legal con IA, Ariel? Regístrate ahora en arielapp.co
📍
¿Tienes dudas? 📩 Escríbenos a soporte@arielapp.co o al WhatsApp +57 311 7357537

Previous

Inapelable por ley: El blindaje procesal del auto admisorio en el caso Carvajal

 Next

Derecho Empresarial Internacional: Cómo los Tratados de Libre Comercio Impactan las Operaciones entre Colombia y Socios en Asia y América en 2025

You might also like...