Leyes de Privacidad de Datos de Colombia: Guía sobre la Ley 1581 y el Hábeas Data (2026)

La protección de datos personales en Colombia se fundamenta en el artículo 15 de la Constitución de 1991, que establece el hábeas data como un derecho fundamental. La Ley 1581 de 2012 desarrolla ese fundamento, exigiendo el consentimiento previo, expreso e informado antes de recopilar o tratar cualquier dato personal, con la aplicación de la ley a cargo de la Superintendencia de Industria y Comercio.
¿Qué Es la Ley de Protección de Datos de Colombia?
Colombia protege los datos personales a través de un régimen escalonado: una garantía constitucional en el artículo 15 de la Constitución Política de 1991, dos leyes principales (la Ley 1581 de 2012 para los datos en general y la Ley 1266 de 2008 para los datos financieros), un reglamento de implementación en el Decreto 1377 de 2013, y circulares vinculantes emitidas por la Superintendencia de Industria y Comercio (SIC). El marco es uno de los más desarrollados de América Latina, y se destaca por tratar la protección de datos no como un privilegio legal, sino como un derecho fundamental de rango constitucional denominado hábeas data. Toda empresa que recopile, almacene o trate datos personales de residentes colombianos debe cumplir con la Ley 1581, sin importar dónde esté constituida.
Alcance jurisdiccional: este artículo abarca el marco nacional de protección de datos de Colombia, incluidas la Ley 1581 de 2012, el Decreto 1377 de 2013, la Ley 1266 de 2008, las circulares sancionatorias de la SIC, y la reforma legislativa pendiente. No aborda las leyes de consentimiento para grabaciones de Colombia, ni los regímenes de protección de datos de Argentina, Chile o Brasil.

Fundamento Constitucional: El Hábeas Data como Derecho Fundamental
El enfoque de Colombia respecto de la privacidad de datos es singular en América Latina porque parte del nivel constitucional. El artículo 15 de la Constitución Política de 1991 garantiza a toda persona el derecho a la intimidad personal y familiar, y a su buen nombre. Más importante aún, el artículo 15 establece lo que el derecho colombiano denomina hábeas data: el derecho específico a conocer, actualizar y rectificar cualquier información recopilada sobre una persona en bases de datos o registros administrados por entidades públicas o privadas. No se trata de una idea legal accesoria. Es un derecho fundamental de rango constitucional que tiene el mismo peso que la libertad de expresión o el debido proceso.
El artículo 20 de la Constitución refuerza este marco al garantizar el derecho a recibir información veraz e imparcial. Juntas, estas dos disposiciones crean un mandato constitucional que el Congreso debía implementar mediante ley. Dado que el mandato emana de la propia Constitución, la ley de implementación requirió la forma legislativa reforzada de una ley estatutaria, sujeta a la revisión previa y obligatoria de la Corte Constitucional de Colombia antes de su entrada en vigencia.
Decisiones Clave de la Corte Constitucional
La Corte Constitucional ha desarrollado un cuerpo sustancial de jurisprudencia sobre el hábeas data desde 1992. Cuatro decisiones son el sustento de esta materia:
- La Sentencia T-414 de 1992 reconoció por primera vez que la protección de los datos financieros personales constituye una libertad individual, a la que la Corte denominó "libertad informática", distinta del derecho general a la intimidad.
- La Sentencia T-022 de 1993 extendió el análisis a la recolección y circulación de información financiera, enmarcándola como un problema de privacidad susceptible de protección constitucional a través de la acción de tutela.
- La Sentencia C-748 de 2011 revisó la constitucionalidad del proyecto de ley estatutaria que se convertiría en la Ley 1581, interpretando muchas de las disposiciones centrales de la norma antes de su entrada en vigencia. Este fallo de control previo es vinculante para todos los tribunales y autoridades públicas.
- La Sentencia T-260 de 2012 determinó que abrir una cuenta de Facebook a nombre de un menor sin el consentimiento de sus padres vulneraba los derechos fundamentales del menor a la protección de sus datos y a su buen nombre. La Corte ordenó la cancelación inmediata de la cuenta, aplicando el principio constitucional de que los derechos de los niños prevalecen sobre los derechos de terceros en caso de conflicto.
La importancia de la protección de rango constitucional es tanto procesal como sustantiva. Un titular de datos no tiene que esperar meses de trámites administrativos ante la SIC. Cualquier persona que considere que se han vulnerado sus derechos de hábeas data puede interponer una acción de tutela directamente ante cualquier juez. Conforme al artículo 86 de la Constitución, el tribunal debe fallar dentro de los 10 días.
Ley 1581 de 2012: La Norma Central de Protección de Datos
El Congreso cumplió su mandato constitucional al sancionar la Ley Estatutaria 1581 de 2012, que estableció el marco general de protección de datos personales en Colombia. La norma se aplica a todos los datos personales registrados en cualquier base de datos susceptible de tratamiento por entidades públicas o privadas dentro del territorio colombiano. También se aplica de manera extraterritorial cuando los datos de residentes colombianos se tratan en el extranjero.
Categorías de Datos Según la Ley 1581
La ley distingue cuatro categorías de datos, cada una con protecciones diferentes:
| Categoría | Definición | Ejemplos | Requiere Consentimiento |
|---|---|---|---|
| Datos públicos | No son semiprivados, privados ni sensibles | Registros públicos, publicaciones en gacetas | No |
| Datos semiprivados | No son íntimos; su acceso está limitado a personas o finalidades específicas | Información financiera y crediticia | Regidos por la Ley 1266/2008 |
| Datos privados | De naturaleza íntima; relevantes únicamente para el titular | Correspondencia personal, mensajes privados | Sí |
| Datos sensibles | Afectan la esfera más íntima; riesgo de discriminación | Raza, salud, orientación sexual, datos biométricos, opiniones políticas | Sí, con un estándar de claridad reforzado |
Principios Fundamentales del Tratamiento
La Ley 1581 establece ocho principios que rigen todo tratamiento de datos:
- Legalidad: el tratamiento debe cumplir con las leyes aplicables.
- Finalidad: los datos solo pueden recopilarse para una finalidad legítima y específica, comunicada al titular.
- Libertad: el tratamiento requiere el consentimiento previo, expreso e informado del titular.
- Veracidad: la información debe ser exacta, completa y estar actualizada.
- Transparencia: el titular tiene derecho a obtener información sobre sus datos en cualquier momento.
- Acceso y circulación restringida: solo las personas autorizadas pueden tratar los datos.
- Seguridad: los datos deben protegerse mediante medidas técnicas, humanas y administrativas.
- Confidencialidad: todas las personas que intervengan en el tratamiento deben mantener la confidencialidad, incluso después de finalizada la relación de tratamiento.
Requisitos de Consentimiento Según la Ley Colombiana
El consentimiento es la piedra angular del régimen de protección de datos de Colombia. El artículo 9 de la Ley 1581 exige que los titulares otorguen una autorización previa, expresa e informada antes de que sus datos personales puedan recopilarse o tratarse.
Qué Hace Válido al Consentimiento
El derecho colombiano exige que el consentimiento cumpla cuatro criterios:
- Previo: la autorización debe obtenerse antes de que comience la recopilación de datos, no después.
- Expreso: el titular debe manifestar activamente su consentimiento mediante una acción afirmativa clara.
- Informado: el responsable del tratamiento debe explicar qué datos se recopilarán, por qué y cómo se utilizarán.
- Revocable: los titulares pueden revocar su consentimiento en cualquier momento y por cualquier motivo.
El consentimiento implícito o tácito no es suficiente. Las casillas premarcadas, el consentimiento escondido en extensos términos de servicio, o la presunción de consentimiento por el uso continuado de un servicio no satisfacen el estándar fijado por la SIC. La actuación sancionatoria contra Worldcoin de octubre de 2025 lo ilustró directamente: la SIC determinó que los incentivos económicos utilizados para inducir la recolección de escaneos de iris volvían coercitivo el consentimiento y, por lo tanto, legalmente inválido conforme al artículo 9 de la Ley 1581.
Excepciones al Requisito de Consentimiento
La Ley 1581 reconoce excepciones limitadas en las que no se requiere consentimiento:
- Información requerida por una entidad pública o administrativa en el ejercicio de sus funciones legales.
- Datos relacionados con la información del registro civil.
- Emergencias médicas o de salud en las que no sea posible obtener el consentimiento.
- Tratamiento autorizado por ley con fines históricos, estadísticos o científicos.
- Datos relacionados con el registro público de documentos mercantiles.
Datos Sensibles: Protección Reforzada
El artículo 5 de la Ley 1581 define los datos sensibles como aquella información que pueda dar lugar a discriminación. Esto incluye datos que revelen el origen racial o étnico, la orientación política, las creencias religiosas, las convicciones filosóficas, la pertenencia a sindicatos u organizaciones de derechos humanos, información de salud, la vida sexual y datos biométricos.
El tratamiento de datos sensibles está generalmente prohibido. Las excepciones son limitadas: el consentimiento explícito del titular (con un estándar de claridad superior al del consentimiento general), el tratamiento necesario para proteger un interés vital, el tratamiento realizado por una entidad sin ánimo de lucro respecto de sus miembros dentro de sus fines lícitos, los datos relacionados con el registro civil, y el tratamiento necesario para el reconocimiento o la defensa de un derecho en un proceso judicial.

Decreto 1377 de 2013: Reglamento de Implementación
El 27 de junio de 2013, el Poder Ejecutivo emitió el Decreto 1377 de 2013 para reglamentar los requisitos operativos de la Ley 1581. Este decreto completa los detalles prácticos que la ley dejó librados a la reglamentación.
Requisitos de la Política de Privacidad
El Decreto 1377 exige que todo responsable y encargado del tratamiento adopte un programa integral de gestión de datos personales. Esta política interna debe incluir, como mínimo:
- La identificación del responsable del tratamiento.
- La descripción de las finalidades y los métodos del tratamiento de datos.
- Los derechos de los titulares y la forma de ejercerlos.
- La identificación de la persona o el área responsable de la protección de datos.
- Los procedimientos para que los titulares presenten consultas y reclamos.
- El período de vigencia de la política.
Aviso de Privacidad
Más allá de la política interna, el Decreto 1377 exige a los responsables entregar un aviso de privacidad a los titulares en el momento de la recolección. Este aviso debe indicar claramente la identidad del responsable, los datos que se recopilan, la finalidad de la recolección y los derechos del titular. El requisito del aviso es independiente del requisito del consentimiento: el aviso debe entregarse incluso en circunstancias en las que no se requiera consentimiento.
Obligaciones de Documentación
Los responsables deben conservar evidencia documentada de la autorización obtenida de cada titular. Esta prueba debe estar disponible para inspección de la SIC en cualquier momento. La SIC ha convertido el consentimiento documentado en un foco de sus auditorías sancionatorias desde 2022, y la ausencia de autorización documentada fue una de las varias infracciones citadas en la investigación sobre Worldcoin.
Derechos de los Titulares (Derechos ARCO y Más Allá)
El derecho colombiano de protección de datos otorga a los titulares un conjunto integral de derechos, a menudo denominados derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) en la tradición latinoamericana:
- Derecho de acceso: las personas pueden solicitar copias de todos los datos personales que se conserven sobre ellas, sin costo alguno.
- Derecho de actualización: los titulares pueden exigir que se corrija la información inexacta o incompleta.
- Derecho de rectificación: aborda específicamente los errores en las bases de datos, incluida la corrección de registros falsos o engañosos.
- Derecho de supresión: las personas pueden solicitar la eliminación de sus datos cuando se revoque el consentimiento o cuando el tratamiento ya no sea necesario para la finalidad declarada.
- Derecho a revocar el consentimiento: los titulares pueden retirar su autorización en cualquier momento y por cualquier motivo, sin perjuicio alguno.
- Derecho de oposición: las personas pueden oponerse al tratamiento de datos con fines de mercadeo directo o de elaboración de perfiles.
- Derecho a presentar reclamos: los titulares pueden presentar reclamos ante la SIC cuando se vulneren sus derechos.
Los responsables deben responder a las solicitudes de acceso dentro de los 10 días hábiles, y a los reclamos o solicitudes de rectificación dentro de los 15 días hábiles. Si el responsable no puede resolver el asunto dentro de esos plazos, el titular puede escalar el caso directamente ante la SIC.
Tenga en cuenta: los proyectos de reforma pendientes 214/2025 y 274/2025 agregarían tres nuevos derechos que actualmente no contempla la Ley 1581: el derecho a no ser objeto de decisiones exclusivamente automatizadas, el derecho a la portabilidad de los datos, y el derecho a la limitación del tratamiento. Las organizaciones deberían comenzar a prepararse desde ahora para estos derechos, ya que los proyectos avanzaron en la Comisión Primera Constitucional de la Cámara de Representantes a fines de 2025.
La SIC: La Autoridad de Protección de Datos de Colombia
La Superintendencia de Industria y Comercio (SIC) es la autoridad nacional de protección de datos de Colombia. Dentro de la SIC, la Delegatura para la Protección de Datos Personales se encarga de la aplicación de la ley, la investigación y la orientación regulatoria. La SIC es un regulador multifuncional que también supervisa la protección al consumidor y el derecho de la competencia, pero su división de protección de datos opera con facultades de aplicación independientes conforme a la Ley 1581.
Facultades y Funciones
La SIC cuenta con amplias facultades conforme a la Ley 1581 para:
- Investigar los reclamos presentados por los titulares.
- Realizar inspecciones y auditorías a los responsables y encargados del tratamiento, con o sin aviso previo.
- Emitir instrucciones y lineamientos vinculantes (circulares).
- Imponer sanciones administrativas, incluidas multas económicas y restricciones operativas.
- Ordenar la suspensión temporal o definitiva de las actividades de tratamiento de datos.
- Administrar el Registro Nacional de Bases de Datos (RNBD).
- Declarar si un país extranjero ofrece una protección de datos adecuada a efectos de las transferencias.
Registro Nacional de Bases de Datos (RNBD)
Uno de los requisitos más distintivos de Colombia es la obligación de inscripción en el RNBD. El RNBD es un directorio de acceso público de las bases de datos personales que operan en Colombia, administrado por la SIC y consultable por cualquier ciudadano. La inscripción cumple tanto fines de transparencia como de supervisión regulatoria.
Quién debe inscribirse: las empresas y entidades sin ánimo de lucro con activos totales superiores a 100.000 UVT (Unidades de Valor Tributario, aproximadamente USD 1,1 millones o COP 5.000 millones a valores de 2025) y todas las entidades públicas deben inscribir sus bases de datos.
Ventana de actualización anual: para 2025, la ventana se extendió del 2 de febrero al 31 de marzo. La SIC establece una ventana similar cada año; no actualizar dentro del plazo previsto constituye una infracción independiente.
Obligaciones continuas: las entidades deben reportar los reclamos presentados por los titulares y actualizar sus registros dentro de los 10 días hábiles siguientes a cualquier cambio sustancial. Las nuevas bases de datos deben inscribirse dentro de los dos meses siguientes a su creación.
Portal de incidentes: para las entidades inscritas en el RNBD, las notificaciones de incidentes de seguridad a la SIC deben presentarse a través del portal del RNBD.
Sanciones y Aplicación por Parte de la SIC
La Ley 1581 otorga a la SIC un conjunto graduado de herramientas de aplicación, y la autoridad las ha utilizado con frecuencia creciente desde 2022.

Multas Económicas Según la Ley Vigente
La multa máxima equivale a 2.000 veces el salario mínimo legal mensual vigente (SMMLV). Con el salario mínimo de Colombia para 2026 fijado en COP 1.750.905, el tope alcanza aproximadamente COP 3.500 millones (alrededor de USD 830.000). La SIC pondera varios factores al fijar el monto de las multas: la gravedad de la infracción, el volumen de datos afectados, la duración del incumplimiento, si la infracción involucró datos sensibles, y el nivel de cooperación de la organización durante la investigación.
Sanciones Operativas
Además de las multas, la SIC puede imponer:
- Suspensión temporal: la interrupción de todas las actividades de tratamiento de datos relacionadas con la infracción por hasta seis meses.
- Cese definitivo: en casos de infracciones graves o reiteradas, el cierre definitivo de las operaciones de tratamiento de datos.
- Clausura de la base de datos: el cierre definitivo y la eliminación de una base de datos no conforme.
Tendencias de Aplicación de la Ley
La SIC reportó un aumento del 22% en las sanciones de 2024 respecto del año anterior. Las prioridades de aplicación se han ampliado, dejando de centrarse únicamente en las infracciones tradicionales de consentimiento y aviso, para abarcar las tecnologías emergentes, las transferencias transfronterizas y la recolección de datos biométricos.
La actuación sancionatoria de mayor perfil en la historia de la SIC se produjo el 3 de octubre de 2025, cuando la SIC emitió la Resolución 78798, que ordenó el cierre inmediato y definitivo de las operaciones de World Foundation y Tools for Humanity (Worldcoin) en Colombia. La investigación, que se extendió durante siete meses, determinó que Worldcoin había recolectado escaneos biométricos de iris de casi dos millones de colombianos sin un consentimiento plenamente informado ni libremente otorgado. Entre las principales infracciones se encontraban: la ausencia de un anexo de privacidad específico para Colombia (mientras que sí existían anexos para la UE, Japón, Argentina y Perú); la falta de divulgación del protocolo de Cómputo Multiparte Seguro utilizado para fragmentar y almacenar los códigos de iris junto con terceros; y el uso de incentivos económicos que, según determinó la SIC, volvían coercitivo el consentimiento. La SIC ordenó la eliminación de todos los datos biométricos recolectados en Colombia desde el inicio de las operaciones, y prohibió a ambas entidades continuar con cualquier tratamiento de datos en Colombia. World Foundation anunció que presentaría recursos legales, señalando que la resolución tenía efecto suspensivo mientras se resolvía la revisión.
Requisitos de Notificación de Incidentes
Conforme a los artículos 17 y 18 de la Ley 1581, tanto los responsables como los encargados del tratamiento tienen el deber de notificar a la SIC en caso de un incidente de seguridad que afecte datos personales de residentes colombianos.
Cronograma y Proceso de Notificación
Los incidentes deben reportarse a la SIC dentro de los 15 días hábiles siguientes a su detección. En el caso de las bases de datos inscritas en el RNBD, la notificación se presenta a través del portal del RNBD. El informe debe describir la naturaleza del incidente, las categorías y el volumen aproximado de datos afectados, las consecuencias probables, y las medidas adoptadas o propuestas.
Sin Umbral de Daño
El derecho colombiano no impone un umbral de daño. Todos los incidentes de seguridad que afecten datos personales deben reportarse a la SIC, independientemente de si se ha producido o es probable un daño real. Se trata de un estándar más estricto que el de muchos regímenes comparables, y ha tomado por sorpresa a empresas con sede en el extranjero.
Notificación a las Personas Afectadas
No existe un plazo legal específico para notificar a las personas afectadas. Sin embargo, la SIC ha señalado que la notificación individual debe permitir a los titulares adoptar medidas de protección, y ha indicado que las demoras injustificadas en la notificación individual pueden constituir un agravante en los procedimientos sancionatorios.
Transferencias Internacionales de Datos
El artículo 26 de la Ley 1581 prohíbe, como regla general, transferir datos personales a países que no ofrezcan un nivel adecuado de protección de datos. La SIC evalúa la adecuación en función de si el marco legal del país receptor ofrece protecciones al menos equivalentes a las del derecho colombiano.
Países Reconocidos como Adecuados por la SIC
La SIC ha emitido determinaciones de adecuación para las siguientes jurisdicciones (a 2025): todos los Estados miembros de la UE y del EEE, Estados Unidos, el Reino Unido, Canadá, Japón, Corea del Sur, México, Perú, Serbia, Costa Rica y Australia. Las transferencias hacia estos países no requieren autorización adicional más allá de las obligaciones de consentimiento y aviso previstas en la Ley 1581.
Transferencias hacia Países No Adecuados
Cuando una transferencia deba realizarse hacia un país que no figure en la lista de adecuados, el responsable del tratamiento debe utilizar alguno de los siguientes mecanismos:
- Una Declaración de Conformidad emitida por la SIC, basada en un análisis de las prácticas de protección de datos del receptor.
- Una excepción legal válida conforme al artículo 26(3) de la Ley 1581, entre ellas: el consentimiento expreso e informado del titular, a quien se le haya advertido específicamente de la ausencia de protección adecuada en el país de destino; las transferencias internacionales de datos médicos para fines de tratamiento de salud; las transferencias bancarias y las transacciones comerciales internacionales; las transferencias exigidas por tratados internacionales de los que Colombia sea parte; o las transferencias necesarias para la ejecución de un contrato en interés del titular.
Cláusulas Contractuales Modelo (Diciembre de 2025)
El 19 de diciembre de 2025, la SIC emitió la Circular Externa No. 003 de 2025, que introdujo cláusulas contractuales modelo de carácter voluntario para las transferencias y transmisiones internacionales de datos personales. La adopción de las cláusulas es facultativa, pero una vez que un responsable o encargado decide utilizarlas, las obligaciones contenidas en ellas se vuelven vinculantes, y su incumplimiento puede constituir una infracción a la Ley 1581. La circular acerca significativamente el marco colombiano de transferencias al modelo europeo de cláusulas contractuales tipo, y ofrece a las organizaciones una vía de cumplimiento bien definida para las transferencias hacia países que no figuran en la lista de adecuados.
Ley 1266 de 2008: El Hábeas Data Financiero
Junto con la Ley 1581, Colombia mantiene un régimen especializado para los datos financieros en virtud de la Ley 1266 de 2008. Esta ley regula el tratamiento de los datos financieros, crediticios, comerciales y de servicios recopilados en las centrales de riesgo y bases de datos similares.
Conforme a la Ley 1266, el tratamiento de datos financieros generalmente no requiere el consentimiento previo del titular. Sin embargo, los titulares conservan el derecho de acceder, actualizar y rectificar su información crediticia. La ley especifica durante cuánto tiempo puede permanecer la información financiera negativa en las bases de datos: el período de permanencia equivale al doble de la duración del incumplimiento subyacente, con un máximo de cuatro años.
La Ley 1266 fue modificada por la Ley 2157 de 2021, que introdujo una reforma significativa: los datos crediticios negativos deben eliminarse de inmediato una vez que la deuda subyacente haya sido pagada o resuelta de otro modo, independientemente de cualquier período de permanencia restante. Esta reforma respondió a reclamos de larga data en el sentido de que los datos de las centrales de riesgo, si bien exactos en su origen, quedaban desactualizados en la práctica, dificultando el acceso a los mercados de crédito para los consumidores que ya habían resuelto sus deudas.
La SIC aplica tanto la Ley 1266 como la Ley 1581 a través de la misma Delegatura para la Protección de Datos Personales.
Inteligencia Artificial y los Lineamientos Tecnológicos Específicos de la SIC
Colombia ha avanzado más rápido que la mayoría de los países latinoamericanos en emitir lineamientos regulatorios vinculantes para los sistemas de inteligencia artificial que tratan datos personales. Dos circulares sustentan este marco.
Circular 002 de 2024: Sistemas de Inteligencia Artificial
La SIC emitió la Circular Externa No. 002 del 21 de agosto de 2024 para establecer lineamientos sobre los datos personales tratados mediante sistemas de inteligencia artificial. La circular se aplica a todos los responsables, encargados y usuarios que desarrollen o implementen sistemas de inteligencia artificial que utilicen datos personales. Los requisitos clave incluyen:
- La adhesión a los principios de necesidad, idoneidad, razonabilidad y proporcionalidad al diseñar los flujos de datos de la IA.
- La obligación de completar un estudio de impacto en privacidad antes de iniciar cualquier recolección de datos basada en IA, con un contenido mínimo especificado en la circular.
- La necesidad de contar con entornos de tratamiento seguros que cumplan con la normativa vigente de protección de datos antes de que comience la recolección, y no después.
- La implementación de técnicas de privacidad diferencial cuando sea viable, para evitar la reidentificación de los titulares en los análisis agregados.
- Obligaciones de transparencia: los titulares deben ser informados cuando se utilicen sistemas de IA para tratar sus datos.
Circular 001 de 2025: Fintech y Servicios Financieros
El 18 de septiembre de 2025, la SIC emitió la Circular Externa No. 001 de 2025, que estableció lineamientos vinculantes para el tratamiento de datos personales en el ecosistema fintech. La circular se aplica a los productos y servicios financieros digitales, incluidas las billeteras electrónicas, las SEDPE (sociedades especializadas en depósitos y pagos electrónicos), los servicios de depósito de bajo monto y los servicios de adquirencia. También abarca a cualquier persona natural o jurídica que preste servicios de crédito, depósito o cuasifinancieros mediante medios tecnológicos, incluso si no está supervisada por la Superintendencia Financiera de Colombia.
Requisitos clave de la Circular 001 de 2025:
- Minimización de datos: las empresas solo pueden recopilar la información estrictamente necesaria y proporcional a la finalidad del servicio.
- Claridad del consentimiento: al solicitar la autorización, las empresas deben distinguir claramente entre el consentimiento esencial para la prestación del servicio y las finalidades accesorias, como las campañas de mercadeo o las ofertas adicionales de productos. El consentimiento empaquetado no satisface la Ley 1581.
- Datos biométricos: los responsables deben obtener autorización explícita para los datos biométricos utilizados en autenticación o prevención del fraude, aplicar principios de minimización de datos, e implementar medidas de seguridad adicionales más allá del estándar básico de la Ley 1581.
- Decisiones automatizadas: cuando los sistemas automatizados produzcan decisiones que afecten a los titulares, la empresa debe brindar información sobre la lógica utilizada y garantizar que exista un mecanismo de revisión humana.
- Medidas de seguridad: los controles deben evaluarse y documentarse periódicamente, con un registro demostrable de responsabilidad disponible para la inspección de la SIC.
Reforma Pendiente: la Modernización de la Ley 1581 hacia la Alineación con el GDPR
El gobierno nacional y la SIC han reconocido que la Ley 1581, vigente desde 2012, no aborda de manera adecuada las realidades del tratamiento de datos de 2025 en adelante. En agosto de 2025, la superintendente de la SIC, Cielo Rusinque, declaró públicamente que era necesaria una reforma del marco legal estatutario. Dos proyectos de ley se presentaron en la Cámara de Representantes a fines de agosto de 2025.
Los Proyectos de Reforma
El Proyecto 214/2025 fue impulsado por un grupo de congresistas aliados del Poder Ejecutivo y presentado el 22 de agosto de 2025. El Proyecto 274/2025 fue presentado conjuntamente por los Ministerios de Comercio, Industria y Turismo, y de Ciencia, Tecnología e Innovación, el 27 de agosto de 2025. Ambos proyectos proponen modificaciones sustanciales a la Ley 1581. La Comisión Primera Constitucional Permanente de la Cámara acumuló los dos proyectos para su estudio conjunto y aprobó una medida combinada a fines de octubre de 2025. El proyecto combinado todavía debe completar rondas legislativas adicionales y, dado que modifica una ley estatutaria, requiere la revisión constitucional de la Corte Constitucional antes de poder entrar en vigencia. No se ha confirmado una fecha de sanción al mes de mayo de 2026.
Principales Cambios Propuestos
Ambos proyectos introducirían:
- Ámbito territorial ampliado: la ley se aplicaría a todo responsable o encargado que ofrezca bienes o servicios a personas en Colombia o que monitoree su comportamiento, independientemente de su domicilio, replicando el enfoque del artículo 3(2) del GDPR.
- Representante local obligatorio: los responsables o encargados extranjeros sujetos al ámbito ampliado deben designar un representante local en Colombia.
- Nuevas bases legales: además del consentimiento, los proyectos reconocerían la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales, el cumplimiento de una función de interés público, y el interés legítimo como bases legales válidas para el tratamiento.
- Principio de responsabilidad proactiva: los responsables deberían demostrar el cumplimiento de manera proactiva, en lugar de limitarse a un cumplimiento reactivo.
- Nuevos derechos de los titulares: el derecho a no ser objeto de decisiones exclusivamente automatizadas con efectos significativos; el derecho a la portabilidad de los datos; el derecho a la limitación del tratamiento; y el derecho de oposición al tratamiento.
- Protecciones reforzadas para los menores: requisitos más estrictos para el tratamiento de datos de menores de edad.
- Régimen sancionatorio actualizado: ambos proyectos proponen multas de hasta el 5% de los ingresos operacionales anuales del infractor. El Proyecto 214/2025 limita las multas a 4.000 SMMLV (aproximadamente USD 1,46 millones a las tasas salariales de 2026); el Proyecto 274/2025 las limita a 10.000 SMMLV (aproximadamente USD 3,65 millones). Cualquiera de las dos opciones representaría un incremento significativo respecto del tope actual de 2.000 SMMLV.
Tenga en cuenta: hasta que los proyectos de reforma completen todo el proceso de revisión legislativa y constitucional, la Ley 1581 de 2012 y el Decreto 1377 de 2013 siguen siendo el marco legal operativo. Los programas de cumplimiento deben construirse sobre la ley vigente, con una revisión documentada programada para cuando se aclare el estado del proyecto combinado.
Cumplimiento Empresarial: Qué Deben Hacer las Organizaciones
Las organizaciones que traten datos personales en Colombia deberían satisfacer todos los siguientes puntos:
- Obtener una autorización válida: consentimiento previo, expreso e informado para todo tratamiento de datos. Documentarlo.
- Adoptar una política de privacidad: una política interna integral que cumpla con los requisitos del Decreto 1377, que cubra todas las bases de datos activas.
- Entregar avisos de privacidad: un aviso claro y legible a los titulares en el momento de la recolección, que identifique al responsable, las finalidades, los datos recopilados y los derechos.
- Inscribir las bases de datos en el RNBD: obligatorio si los activos de la organización superan las 100.000 UVT o si se trata de una entidad pública. No debe omitirse la ventana de actualización anual.
- Designar a un responsable o área: designar y nombrar la función de protección de datos en la política interna y en las inscripciones del RNBD.
- Implementar medidas de seguridad escalonadas: controles técnicos, administrativos y físicos. Documentarlos y evaluarlos periódicamente.
- Establecer procedimientos internos de reclamos: procesos que permitan a los titulares ejercer los derechos ARCO dentro de los plazos legales (10 días hábiles para el acceso; 15 para los reclamos).
- Mantener un plan de respuesta a incidentes: procedimientos para detectar, investigar y reportar a la SIC dentro de los 15 días hábiles siguientes a la detección. No se aplica un umbral de daño.
- Auditar las transferencias transfronterizas: verificar que todas las transferencias internacionales se dirijan a países adecuados o cuenten con un mecanismo legal válido. Las cláusulas modelo de la Circular 003/2025 están disponibles para las transferencias hacia países no adecuados.
- Realizar estudios de impacto en privacidad para la IA: obligatorios conforme a la Circular 002/2024 antes de iniciar cualquier recolección de datos personales basada en IA.
- Controles específicos para fintech: si se ofrecen servicios financieros digitales, revisar los requisitos de la Circular 001/2025 sobre minimización de datos, autorización biométrica, claridad del consentimiento y toma de decisiones automatizada.
- Monitorear el avance del proyecto de reforma: cuando el proyecto combinado sea aprobado y reciba el visto bueno de la Corte Constitucional, actualizar el programa de cumplimiento conforme a las nuevas bases legales, los nuevos derechos de los titulares y el régimen sancionatorio revisado.
Preguntas frecuentes
¿La ley de protección de datos de Colombia se aplica a empresas extranjeras?
Sí. La Ley 1581 de 2012 se aplica a cualquier entidad, colombiana o extranjera, que trate datos personales de personas ubicadas en Colombia. Si su empresa recopila, almacena o utiliza información personal de residentes colombianos, debe cumplir con la Ley 1581 sin importar dónde esté constituida o dónde se encuentren sus servidores. Los proyectos de reforma pendientes ampliarían aún más este alcance, aplicando expresamente la ley a todo responsable que ofrezca bienes o servicios a personas en Colombia o que monitoree su comportamiento, replicando el enfoque extraterritorial del GDPR.
¿Qué es el hábeas data en Colombia?
El hábeas data es un derecho fundamental de rango constitucional establecido en el artículo 15 de la Constitución Política de 1991 de Colombia. Otorga a toda persona el derecho a conocer qué información personal se conserva sobre ella en bases de datos públicas o privadas, a actualizar esa información y a rectificar los registros inexactos. A diferencia de los países donde la protección de datos es puramente un derecho legal, la protección de rango constitucional de Colombia significa que las personas pueden hacer valer el hábeas data de inmediato mediante una acción de tutela ante cualquier juez, quien debe fallar dentro de los 10 días.
¿Cuál es la diferencia entre la Ley 1581 y la Ley 1266 en Colombia?
La Ley 1581 de 2012 es la norma general de protección de datos que abarca todo tipo de datos personales en todos los sectores. La Ley 1266 de 2008 es un régimen especializado que regula los datos financieros, crediticios y comerciales utilizados en las bases de datos de las centrales de riesgo. La Ley 1266 no exige, en la mayoría de los casos, el consentimiento previo para el tratamiento, pero establece plazos específicos para la conservación de la información crediticia negativa, incluida su eliminación inmediata una vez resuelta la deuda subyacente (según la modificación de la Ley 2157 de 2021). Ambas leyes son aplicadas por la SIC.
¿Cuánto puede multar la SIC a una empresa por infracciones de protección de datos en Colombia?
Conforme a la Ley 1581 vigente, la SIC puede imponer multas de hasta 2.000 veces el salario mínimo legal mensual vigente (SMMLV). Con base en el SMMLV de 2026 de COP 1.750.905, la multa máxima es de aproximadamente COP 3.500 millones (alrededor de USD 830.000). Además de las multas, la SIC puede suspender el tratamiento de datos por hasta seis meses u ordenar el cese definitivo en casos graves. Si los proyectos de reforma pendientes se convierten en ley, la multa máxima ascendería al 5% de los ingresos operacionales anuales, con un tope de entre 4.000 y 10.000 SMMLV, según cuál de los dos textos prevalezca.
¿Puedo transferir datos personales desde Colombia hacia Estados Unidos?
Sí. Estados Unidos se encuentra entre los países que la SIC ha reconocido como garantes de una protección de datos adecuada, por lo que las transferencias de datos personales desde Colombia hacia destinatarios en Estados Unidos están permitidas sin necesidad de autorización adicional de la SIC. El responsable del tratamiento debe seguir cumpliendo con todos los demás requisitos de la Ley 1581, incluido el consentimiento válido para el tratamiento subyacente y las garantías contractuales u operativas de que el receptor en Estados Unidos mantiene medidas de seguridad adecuadas.
¿Qué son las cláusulas contractuales modelo de Colombia para las transferencias transfronterizas?
En diciembre de 2025, la SIC emitió la Circular Externa N.° 003 de 2025, que introdujo cláusulas contractuales modelo de carácter voluntario para las transferencias y transmisiones internacionales de datos personales hacia países que no figuran en la lista de adecuación de la SIC. El uso de las cláusulas es opcional, pero una vez adoptadas se vuelven vinculantes. El mecanismo es análogo a las cláusulas contractuales tipo de la UE y ofrece una vía de cumplimiento más predecible que el proceso de Declaración de Conformidad, que requiere una revisión caso por caso de la SIC.
¿Qué ocurrió con Worldcoin en Colombia?
El 3 de octubre de 2025, la SIC emitió la Resolución 78798, que ordenó el cierre inmediato y definitivo de todas las operaciones de tratamiento de datos de World Foundation y Tools for Humanity (Worldcoin) en Colombia. Tras una investigación de siete meses, la SIC determinó que Worldcoin había recolectado escaneos biométricos de iris de casi dos millones de colombianos sin un consentimiento plenamente informado ni libremente otorgado: no existía un anexo de privacidad específico para Colombia pese a que sí existían anexos para otras jurisdicciones, los incentivos económicos volvían coercitivo el consentimiento, y la empresa no divulgó el protocolo de Cómputo Multiparte Seguro utilizado para almacenar los códigos de iris junto con terceros. La SIC ordenó la eliminación de todos los datos biométricos recolectados en Colombia. World Foundation anunció que presentaría recursos legales.
¿Qué exige la circular colombiana de protección de datos en materia de IA?
La Circular 002 de la SIC, del 21 de agosto de 2024, se aplica a todos los responsables, encargados y usuarios que desarrollen o implementen sistemas de inteligencia artificial que utilicen datos personales. Exige: (1) un estudio de impacto en privacidad antes de iniciar cualquier recolección de datos basada en IA; (2) la adhesión a los principios de necesidad, idoneidad, razonabilidad y proporcionalidad; (3) entornos de tratamiento seguros que cumplan con la ley vigente antes de que comience la recolección; (4) la implementación de técnicas de privacidad diferencial cuando sea viable; y (5) transparencia con los titulares sobre el uso de la IA en las decisiones de tratamiento. El incumplimiento de las instrucciones de la circular puede constituir una infracción a la Ley 1581.
¿Qué nuevos derechos agregarían los proyectos de reforma de Colombia para los titulares de datos?
El proyecto de reforma combinado que consolida los Proyectos 214/2025 y 274/2025 fue aprobado por la Comisión Primera Constitucional de la Cámara de Representantes a fines de octubre de 2025 y se encuentra a la espera de nuevas rondas legislativas. Agregaría: el derecho a no ser objeto de decisiones exclusivamente automatizadas con efectos significativos; el derecho a la portabilidad de los datos; y el derecho a la limitación del tratamiento. Los proyectos también introducirían nuevas bases legales además del consentimiento, incluidas la ejecución de un contrato y el interés legítimo, acercando el marco colombiano de manera considerable al GDPR. No se ha confirmado una fecha de sanción al mes de mayo de 2026.
Fuentes y referencias
- Constitución Política de Colombia de 1991: Artículo 15 (Derecho a la Intimidad y Hábeas Data)(constituteproject.org)
- Función Pública: Ley 1581 de 2012 (Ley Estatutaria de Protección de Datos Personales)(funcionpublica.gov.co).gov
- Superintendencia de Industria y Comercio: Protección de Datos Personales (Ley 1581 de 2012 y Decreto 1377 de 2013)(sic.gov.co).gov
- SIC: Delegatura para la Protección de Datos Personales(sic.gov.co).gov
- SIC: Circular Externa N.° 002 de 2024, Lineamientos sobre el Tratamiento de Datos Personales en Sistemas de Inteligencia Artificial(sedeelectronica.sic.gov.co).gov
- SIC: Circular Externa N.° 001 de 2025, Lineamientos para el Tratamiento de Datos Personales en el Ecosistema Fintech(sedeelectronica.sic.gov.co).gov
- SIC: Sanciones de Protección de Datos Personales 2024(sic.gov.co).gov
- SIC: ABC del Proyecto de Ley de Protección de Datos Personales en Colombia(sedeelectronica.sic.gov.co).gov
- Baker McKenzie: actualización 2026 sobre el salario mínimo y los auxilios en Colombia(bakermckenzie.com)
- Baker McKenzie: requisitos de seguridad y notificación de incidentes en Colombia(resourcehub.bakermckenzie.com)
- Holland & Knight: protección de datos en Colombia, sanciones, nuevas reglas de la SIC y el impacto de la inteligencia artificial (2025)(hklaw.com)
- Holland & Knight: obligaciones del Registro Nacional de Bases de Datos Personales ante la SIC en Colombia para 2025(hklaw.com)
- IAPP: Colombia introduce nuevas cláusulas contractuales modelo (Circular Externa N.° 003 de 2025)(iapp.org)
- Allende & Brea: nuevos proyectos de ley para modificar la ley de protección de datos de Colombia, presentados en el Congreso (Proyectos 214/2025 y 274/2025)(allende.com)
- DataGuidance: Colombia, la Comisión de la Cámara aprueba el proyecto combinado de reforma(dataguidance.com)
- Biometric Update: Colombia ordena el cierre de World, citando fallas de cumplimiento en materia biométrica (Resolución 78798, 3 de octubre de 2025)(biometricupdate.com)
- DLA Piper: leyes de protección de datos del mundo, Colombia(dlapiperdataprotection.com)
- Privacy International: estado de la privacidad, Colombia(privacyinternational.org)