Los usuarios en Colombia cada vez tienen más voz y voto en la protección de sus datos. Consultarles o no si están de acuerdo, por ejemplo, con el uso de seguridad biométrica como el reconocimiento facial para el acceso de información a un sitio web, se volvió clave para las empresas o entidades, y de no cumplirse ya se han visto las primeras sanciones por no acatar la ley.
Este caso refleja el incremento normativo en protección de datos en Colombia, y aunque lo que se busca es prevenir y evitar las sanciones, de acuerdo con el Informe de Rendición de Cuentas de la Superintendencia de Industria y Comercio (SIC), durante 2024 se presentó un incremento del 22 por ciento en el monto de las sanciones impuestas por violación del Régimen de Protección de Datos.
En materia de avances en derecho de protección de datos, Bernardo Sandoval, abogado de la Unidad de Derecho Corporativo y Negocios Internacionales en Scola Abogados, destaca la Circular Externa n.° 002 del 21 de agosto de 2024, mediante la cual la SIC fijó lineamientos para el uso de la inteligencia artificial (IA) en el tratamiento de datos personales. “Esta norma aclara que las disposiciones contenidas en la Ley 1581 de 2012 y la Ley 1266 de 2008 aplican sin distinción del medio utilizado, ya sea tecnológico o manual. Por lo tanto, los sistemas de IA deben respetar y cumplir estas normas, garantizando, entre otros principios, el derecho a la seguridad de la información”.
Sandoval también destaca la advertencia incluida en esta circular: “La información accesible mediante búsquedas en internet no debe considerarse automáticamente como ‘información pública’. Por ello, los administradores de datos deben abstenerse de tratar o divulgar datos privados, semiprivados o sensibles sin una autorización previa, expresa e informada del titular, sin importar la finalidad para la cual se obtuvieron”.
Felipe Serrano, socio director de Serrano Martínez CMA, destaca la circular 003 de 2024 que estableció instrucciones para los administradores societarios en relación con el tratamiento de datos personales, y que los consideró como posibles corresponsables del tratamiento.
Asimismo, resalta la reciente publicación de la SIC para comentarios de la segunda versión del proyecto de circular, que establece instrucciones sobre el tratamiento de datos personales en servicios financieros basados en tecnologías digitales (fintech). Entre otras, este proyecto propone que la autorización debe diferenciar entre las finalidades necesarias y las accesorias (que incluyen la consulta y reporte a centrales de riesgo o el envío de publicidad); el titular se puede oponer a las finalidades accesorias en cualquier momento sin que dicha negativa pueda afectar la continuidad del servicio, y se prohíbe compartir los datos biométricos recolectados.
Jorge de los Ríos, socio en Posse Herrera Ruiz, también destaca de las novedades legales en Colombia que la SIC se ha enfocado en la protección de datos biométricos y el web scraping –proceso de extracción automatizada de datos de sitios web–. “En particular, en relación con la protección de datos biométricos, se han suscitado debates en torno a la tensión existente entre su uso –por ejemplo, para mejorar la seguridad de la información– y la necesidad de recolectar este tipo de datos”.
Y hay expectativa por el proyecto de Ley 043 de 2025, radicado el 28 de julio de este año por el Ministerio de Ciencia, Tecnología e Innovación, que busca regular el uso de la inteligencia artificial en el país. Este proyecto propone reglas claras para proteger los datos personales en el desarrollo y uso de la IA, exigiendo, por ejemplo, autorización previa para utilizar voces e imágenes en el entrenamiento de modelos.
De los Ríos resalta también, en el ámbito regulatorio, la reciente promulgación de la Ley 2475 de 2025, que reconoce el derecho al olvido oncológico. Esta ley protege la información de salud de los sobrevivientes de cáncer, evitando que sean discriminados al solicitar seguros. “Ahora, quienes hayan superado la enfermedad y no hayan tenido recaídas durante cuatro años (o dos, si el diagnóstico fue en la niñez) no están obligados a informar sobre su historial oncológico al contratar un seguro”.
Más prevención
Los abogados consultados destacan los avances en políticas internas e instrumentos de protección de datos personales en empresas y entidades. Diego Cardona, socio de Philippi Prietocarrizosa Ferrero DU & Uría (PPU), hace énfasis en la implementación por parte de la SIC de un modelo de regulación por riesgo cuyo objetivo es premiar e incentivar las buenas prácticas asociadas al debido tratamiento de datos personales en ecosistemas digitales.
Cardona señala que en octubre de 2024 la SIC destacó la labor de una empresa de transporte público por integrar la protección de datos en su estrategia de responsabilidad social, utilizando la información personal para generar impacto positivo, como la creación de tarifas diferenciadas que benefician a poblaciones vulnerables.
Juanita Acosta, socia de Dentons Cárdenas & Cárdenas, coincide en que ha habido avance entre las empresas privadas y el sector público en políticas internas y de protección de datos. Considera que, a medida que la tecnología avanza, se refuerza la necesidad de contar con políticas internas sólidas, medidas técnicas y administrativas que van en línea con los principios y la regulación colombiana en materia de protección de datos personales.
Agrega que en el sector privado las grandes empresas “están cada vez más interesadas en cumplir desde el diseño con la normativa vigente de datos personales y en adoptar enfoques prácticos para garantizar una adecuada gestión de los datos personales”.
En sectores como el de telecomunicaciones, financiero, plataformas tecnológicas y el de salud es donde más falencias se pueden presentar, debido al tipo de datos que recolectan y a la masividad con la que lo hacen. Por ello, Danilo Romero, socio en Holland & Knight, destaca el papel de las autoridades al brindarles orientación.
“Es fundamental tener en cuenta que muchas de las quejas o denuncias que reciben entidades como la SIC o la Superfinanciera en materia de protección de datos personales tienen su origen en un manejo inadecuado de las reclamaciones iniciales por parte de las empresas. Por esta razón, además de cumplir rigurosamente con el régimen legal vigente, recomendamos adoptar un enfoque preventivo mediante la implementación de programas integrales para la gestión de datos personales sólidos, que permitan minimizar riesgos y fortalecer la confianza de los titulares”, concluye.