Corporativo15 de julio de 20247 min lectura

Protección de datos en empresas colombianas: obligaciones reales bajo la Ley 1581

Manuel Bautista Avellaneda

Revisado por abogados

## La Ley 1581 de 2012: régimen de protección de datos

Colombia tiene uno de los regímenes de protección de datos más completos de América Latina. La Ley 1581 (reglamentada por el Decreto 1377 de 2013) aplica a toda empresa que recolecte, almacene, use o transfiera datos personales de ciudadanos colombianos.

El órgano de supervisión es la Superintendencia de Industria y Comercio (SIC).

¿Qué empresas están obligadas?

Todas las personas jurídicas y naturales que traten datos personales de terceros, sin importar el tamaño. No hay exención para micro o pequeñas empresas.

Obligaciones mínimas

1. Registrar las bases de datos ante la SIC Toda empresa debe registrar sus bases de datos que contengan datos personales en el Registro Nacional de Bases de Datos (RNBD) de la SIC. URL: rnbd.sic.gov.co

2. Política de tratamiento de datos Documento interno aprobado por la alta dirección que describe: - Qué datos se recolectan y para qué - Cómo se protegen - Los derechos de los titulares - Cómo ejercer esos derechos

3. Aviso de privacidad Para recolección directa de datos, debe informarse al titular antes o al momento de la recolección sobre: responsable, finalidad, derechos y forma de ejercerlos.

4. Obtener autorización Para datos sensibles (salud, biometría, orientación sexual, creencias religiosas), la autorización debe ser expresa, informada y libre.

Para datos ordinarios, puede ser tácita (continuar la relación después del aviso), pero lo recomendable es siempre obtenerla por escrito.

5. Contrato con encargados del tratamiento Si contratas a un tercero que procesará datos (marketing, software SaaS, call center), debes tener un contrato que: - Obligue al tercero a tratar los datos solo para las finalidades autorizadas - Establezca medidas de seguridad equivalentes a las tuyas - Regule qué pasa con los datos al terminar el contrato

6. Procedimiento para atender solicitudes de titulares Canal interno para que las personas puedan conocer, actualizar, rectificar o suprimir sus datos. Plazo de respuesta: 10 días hábiles.

Datos especialmente protegidos

Los datos sensibles tienen protecciones adicionales: - Solo pueden tratarse con autorización expresa - Deben guardarse con medidas de seguridad reforzadas - No pueden negarse servicios a alguien por no suministrar datos sensibles

Son datos sensibles: información de salud, datos biométricos, orientación sexual, religión, filiación política, origen étnico.

Transferencia internacional de datos

Si transmites datos a servidores en el exterior (Gmail, Salesforce, AWS en EE.UU.), debes: - Verificar que el país destino tenga nivel adecuado de protección - O firmar cláusulas de transferencia internacional aprobadas por la SIC - O obtener autorización expresa del titular

Sanciones por incumplimiento

La SIC puede imponer: - Multas: hasta 2.000 SMMLV por infracción (~$2.600 millones COP) - Suspensión de actividades de la base de datos infractora - Publicación de la sanción (daño reputacional)

¿Tu empresa aún no tiene política de datos o necesitas poner al día el cumplimiento? Podemos hacer un diagnóstico rápido y acompañarte en la implementación de las medidas requeridas.

¿Tienes un caso similar?

El asistente jurídico digital de Jurídiconline analiza tu situación específica. La revisión inicial es gratuita.

Quiero que revisen mi caso →Hablar con un abogado

También en Corporativo

Guía completa para constituir una SAS en Colombia en 2025

8 min lectura

→

Cómo liquidar una empresa en Colombia: pasos y costos reales

8 min lectura

→

SAGRILAFT para pymes: ¿a quiénes aplica y qué pasa si no lo implementan?

8 min lectura

→

← Volver al blog

Obligaciones mínimas

1. Registrar las bases de datos ante la SIC Toda empresa debe registrar sus bases de datos que contengan datos personales en el Registro Nacional de Bases de Datos (RNBD) de la SIC. URL: rnbd.sic.gov.co

2. Política de tratamiento de datos Documento interno aprobado por la alta dirección que describe: - Qué datos se recolectan y para qué - Cómo se protegen - Los derechos de los titulares - Cómo ejercer esos derechos

3. Aviso de privacidad Para recolección directa de datos, debe informarse al titular antes o al momento de la recolección sobre: responsable, finalidad, derechos y forma de ejercerlos.

4. Obtener autorización Para datos sensibles (salud, biometría, orientación sexual, creencias religiosas), la autorización debe ser expresa, informada y libre.

Para datos ordinarios, puede ser tácita (continuar la relación después del aviso), pero lo recomendable es siempre obtenerla por escrito.

5. Contrato con encargados del tratamiento Si contratas a un tercero que procesará datos (marketing, software SaaS, call center), debes tener un contrato que: - Obligue al tercero a tratar los datos solo para las finalidades autorizadas - Establezca medidas de seguridad equivalentes a las tuyas - Regule qué pasa con los datos al terminar el contrato

6. Procedimiento para atender solicitudes de titulares Canal interno para que las personas puedan conocer, actualizar, rectificar o suprimir sus datos. Plazo de respuesta: 10 días hábiles.

Datos especialmente protegidos

Son datos sensibles: información de salud, datos biométricos, orientación sexual, religión, filiación política, origen étnico.

Sanciones por incumplimiento

¿Tu empresa aún no tiene política de datos o necesitas poner al día el cumplimiento? Podemos hacer un diagnóstico rápido y acompañarte en la implementación de las medidas requeridas.