ABC Ley 1581 de 2012

Protección de Datos Personales

Generalidades
La ley de protección de datos personales – Ley 1581 de 2012 – es una ley que complementa la
regulación vigente para la protección del derecho fundamental que tienen todas las personas naturales
a autorizar la información personal que es almacenada en bases de datos o archivos, así como su
posterior actualización y rectificación. Esta ley se aplica a las bases de datos o archivos que contengan
datos personales de personas naturales.

Los antecedentes normativos

La información es el activo más importante en el mundo actual, es por ello que el 17 de octubre de
2012 el Gobierno Nacional expidió la Ley Estatutaria 1581 de 2012 mediante la cual se dictan
disposiciones generales para la protección de datos personales, en ella se regula el derecho
fundamental de hábeas data y se señala la importancia en el tratamiento del mismo tal como lo
corrobora la Sentencia de la Corte Constitucional C – 748 de 2011 donde se estableció el control de
constitucionalidad de la Ley en mención. La nueva ley busca proteger los datos personales registrados
en cualquier base de datos que permite realizar operaciones, tales como la recolección,
almacenamiento, uso, circulación o supresión (en adelante tratamiento) por parte de entidades de
naturaleza pública y privada.
Como Ley Estatutaria (ley de especial jerarquía), tiene como fin esencial salvaguardar los derechos y
deberes fundamentales, así como los procedimientos y recursos para su protección. La Jurisprudencia
Constitucional trató desde el inicio el derecho al hábeas data como una garantía del derecho a la
intimidad, de allí que se hablaba de la protección de los datos que pertenecen a la vida privada y
familiar, entendida como la esfera individual impenetrable en la que cada cual puede realizar su
proyecto de vida y en la que ni el Estado ni otros particulares pueden interferir. Actualmente el hábeas
data es un derecho autónomo, compuesto por la autodeterminación informática y la libertad (incluida
la libertad económica). Este derecho como fundamental autónomo, requiere para su efectiva
protección mecanismos que lo garanticen, los cuales no sólo han de depender pender de los jueces,
sino de una institucionalidad administrativa que además del control y vigilancia tanto para los sujetos
de derecho público como privado, aseguren la observancia efectiva de la protección de datos y, en
razón de su carácter técnico, tengan la capacidad de fijar políticas públicas en la materia, sin injerencias
de carácter político para el cumplimiento de esas decisiones.
Dentro de los contenidos mínimos que se desprenden del derecho de hábeas data se encuentra que las
personas tienen la facultad de conocer – acceso – la información que sobre ellas están recogidas en
bases de datos, lo que conlleva el acceso a las mismas donde se encuentra dicha información; tienen
además, el derecho a incluir nuevos datos con el fin de que se provea una imagen completa del titular;
derecho a actualizar la información, es decir, a poner al día el contenido de dichas bases de datos;

Marco Legal 2019 Protección de Datos 1 de 6

derecho a que la información contenida en bases de datos sea rectificada o corregida, de tal manera
que concuerde con la realidad; derecho a excluir información de una base de datos, bien porque se está
haciendo un uso indebido de ella, o por simple voluntad del titular – salvo las excepciones previstas en
la normativa –.
La Ley obliga a todas las entidades públicas y empresas privadas a revisar el uso de los datos personales
contenidos en sus sistemas de información y replantear sus políticas de manejo de información y
fortalecimiento de sus herramientas, como entidad responsable del tratamiento (persona natural o
jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el
tratamiento de los datos) deben definir los fines y medios esenciales para el tratamiento de los datos
de los usuarios y/o titulares, incluidos quienes fungen como fuente y usuario, y los deberes que se le
adscriben responden a los principios de la administración de datos y a los derechos –intimidad y hábeas
data – del titular del dato personal.
Luego de presentar los antecedentes jurídicos, es clave entender que la información hoy en día es el
activo más importante que se utiliza en todas las actividades cotidianas, como podemos evidenciar, el
flujo de información se ha multiplicado en los últimos años llevando a un crecimiento acelerado del
mismo, lo que implica que a mayor información circulando por el mundo globalizado en que nos
encontramos se deben proteger velozmente los datos personales.

¿En qué consiste la protección de datos?

Son todas las medidas que se toman, tanto a nivel técnico como jurídico, para garantizar que la
información de los usuarios de una compañía, entidad o de cualquier base de datos, esté segura de
cualquier ataque o intento de acceder a esta, por parte de personas no autorizadas.

Obligaciones particulares a partir del Decreto 1377 del 27 de junio de 2013

El Decreto tiene como objetivo facilitar la implementación y el cumplimiento de la ley 1581
reglamentando aspectos relacionados con la autorización del titular de la información para el
tratamiento de sus datos personales, las políticas de tratamiento de los responsables y encargados, el
ejercicio de los derechos de los titulares de la información, entre otros:
1. El anuncio como tal (y a los cinco días siguientes de la comunicación, enviar carta comunicándole al
respecto a la Superintendencia de Industria y Comercio).
2. Formato de autorización para que si lo desean lo diligencien los titulares de datos recolectados
previamente.
3. Determinación de canal electrónico y físico para recibir las autorizaciones.
4. Política de tratamiento de la información personal (pues esta se debe indicar en el anuncio).
5. Conducto regular y canales físicos y electrónicos definidos para que el titular ejerza sus derechos de
acceso, rectificación y supresión.
Para datos recolectados a partir de la expedición del Decreto 1377 se necesita:

Marco Legal 2019 Protección de Datos 2 de 6

1. Aviso de Privacidad (que se puede hacer estratégicamente en el mismo formato de autorización de
la captura).
2. Definir o crear un área o sujeto responsable de la protección de la información personal, según el
tamaño empresarial del cliente (es decir aquí opera el criterio de responsabilidad demostrada
consagrado en los arts. 26 y 27 del Decreto 1377).
3. Establecer cláusulas para transmisiones y transferencias de datos (si estas aplican).
4. Definir o conocer cuáles son los grupos de interés del cliente.
5. Definir las finalidades y los tratamientos genéricos en cada grupo de interés, pues esto se debe
indicar en la política de tratamiento y en el formato de autorización.

¿Qué es un dato personal?

Es cualquier información vinculada o que pueda asociarse a una o varias personas naturales que,
dependiendo de su grado de utilización y acercamiento con la intimidad de las personas podrá ser
pública, semiprivada o privada.

 DATO PERSONAL PÚBLICO: Son aquellos datos personales que las normas y la Constitución han
determinado expresamente como públicos y, para cuya recolección y tratamiento, no es necesaria
la autorización del titular de la información. (Ej. Dirección, teléfono, datos contenidos en sentencias
judiciales ejecutoriadas, datos sobre el estado civil de las personas, entre otros.).
 DATO PERSONAL SEMIPRIVADO: Son datos que no tienen una naturaleza íntima, reservada, ni
pública y cuyo conocimiento o divulgación puede interesar no solo a su titular, sino a un grupo de
personas o a la sociedad en general. Para su tratamiento se requiere la autorización expresa del
titular de la información. (Ej. Dato financiero y crediticio).
 DATO PERSONAL PRIVADO: Es un dato personal que por su naturaleza íntima o reservada solo
interesa a su titular y para su tratamiento requiere de su autorización expresa. (Ej. Nivel de
escolaridad).
 DATO PERSONAL SENSIBLE: Es aquel dato personal de especial protección, por cuanto afecta la
intimidad del titular y su tratamiento puede generar discriminación. NO puede ser objeto de
tratamiento a menos que sea requerido para salvaguardar un interés vital del titular o este se
encuentre incapacitado y su obtención haya sido autorizada expresamente. (Ej. Origen racial o
étnico, orientación política, convicciones religiosas, datos biométricos, relativos a la salud, entre
otros.).

¿Cuál es la importancia de los datos personales?

Su importancia radica en que la información personal puede ser utilizada para varios fines, como la
comercialización, la vida laboral, e incluso para cometer delitos, ya que su identidad puede ser
suplantada si es que se tiene acceso a la información adecuada.

¿A cuáles datos no se aplica la ley de protección de datos personales?

Marco Legal 2019 Protección de Datos 3 de 6

No aplica a bases de datos o archivos que contengan:

 Información de uso personal o doméstico.

 Información que tiene por finalidad la seguridad y defensa nacional
 Información que tiene por finalidad la prevención, detección, monitoreo y control del lavado de
activos y financiación del terrorismo.
 Información que tiene por finalidad de inteligencia y contrainteligencia.

¿Los datos personales de los niños, niñas y adolescentes tienen alguna protección
especial?
Si, los datos personales de los menores de edad tienen una especial protección y por lo tanto su
tratamiento podrá realizarse siempre y cuando no se vulnere o se ponga en peligro alguno de sus
derechos fundamentales y se busque la protección de sus intereses y su desarrollo armónico integral.

¿Quién es el titular de los datos personales?

Todas las personas naturales son titulares de sus datos personales. En el caso de los menores de edad,
sus representantes legales tendrán la facultad de autorizar o no el tratamiento de sus datos personales.

¿Cuáles son los derechos del titular de los datos personales?

 Conocer, actualizar y rectificar sus datos personales.
 Solicitar la prueba de su autorización para el tratamiento de sus datos personales.
 Ser informado respecto del uso que se le da a sus datos personales.
 Revocar la autorización y/o solicitar la supresión de sus datos personales de las bases de datos o
archivos cuando el titular lo considere.
 Presentar quejas ante la entidad administrativa encargada de la protección de los datos personales.

¿Cómo debe ser la autorización del titular para el tratamiento de sus datos personales?
 Debe ser previa, informada y expresa. Debe especificar la finalidad para la cual se busca la obtención
de los datos personales.
 La autorización puede obtenerse por cualquier medio escrito, físico o electrónico, que permita su
consulta posterior.

¿En qué casos no se requiere autorización del titular?

 Cuando se trata de datos personales públicos.
 Cuando los datos personales son requeridos por una entidad pública en ejercicio de sus funciones.
 Cuando se está frente a casos de urgencia médica o sanitaria.

Marco Legal 2019 Protección de Datos 4 de 6

 Cuando son tratados para para fines históricos, estadísticos o científicos.
 Cuando el dato se relaciona con información contenida en el registro civil.
El texto de la Autorización para el tratamiento de los datos personales que lo requieren, debe estar
disponible y proporcionando formato de Autorización tratamiento de datos personales.

Responsables y encargados del tratamiento de los datos

El responsable del tratamiento de los datos personales es una persona natural o jurídica, pública o
privada, que por sí misma o en asocio con otros decida sobre la base de datos y/o el tratamiento de los
mismos. El Encargado es el que realice el tratamiento de los datos personales por cuenta del
responsable.

¿Qué medidas se deben tomar para una efectiva protección de datos?

Las medidas que se deben adoptar frente a la protección de datos dependen de la posición que se
ocupe frente a la información, ya que puede estar a cargo de una persona física titular de la
información; por otro lado, puede ser una persona natural o jurídica como encargada del tratamiento
de datos y/o responsable del mismo.

¿Qué información debe indicar el responsable y/o encargado del tratamiento de los
datos personales al titular?
 Debe indicar la finalidad con la que es recaudado el dato personal.
 Los derechos del titular.
 Los medios por los cuales el titular puede ejercer sus derechos.
 La No obligatoriedad de suministro de los datos personales que requieran autorización.

¿Cuáles son los deberes de los responsables y/o encargados del tratamiento de los
datos personales?
 Informar y garantizar el ejercicio de los derechos de los titulares de los datos personales.
 Tramitar las consultas, solicitudes y reclamos.
 Utilizar únicamente los datos personales que hayan sido obtenidos mediante autorización, a menos
que los mismos no la requieran.
 Respetar las condiciones de seguridad y privacidad de información del titular.
 Cumplir instrucciones y requerimientos impartidos por la autoridad administrativa competente.

¿Se pueden transferir datos personales a terceros países?

Sí, siempre y cuando los datos personales a transferir cumplan con los estándares fijados por la SIC.

Marco Legal 2019 Protección de Datos 5 de 6

En todo caso los datos personales podrán ser objeto de transferencia cuando:

 Su titular lo haya autorizado expresamente.

 La transferencia se haga por razones de interés médico.
 Se trate de operaciones bancarias o bursátiles conforme a la legislación que les resulte aplicable.
 La transferencia se encuentre enmarcada dentro de un Tratado Internacional en el cual Colombia
es parte.
 La transferencia se justifique en atención a la salvaguarda del interés público o a la defensa de un
proceso judicial.

¿Cuáles son las entidades administrativas de control a la aplicación de normas de

protección de datos personales?
La entidad administrativa encargada de velar por el cumplimiento de las normas sobre protección de
datos personales es la Superintendencia de Industria y Comercio (SIC), a través de la Delegatura para la
Protección de Datos Personales.
El registro nacional de bases de datos es el directorio público administrado por la SIC en donde
reposarán todas las bases de datos y archivos, con sus correspondientes Políticas de Tratamiento,
sujetas a la aplicación de las normas sobre protección de datos personales.

¿En qué consisten las sanciones?

Las sanciones para los encargados y los responsables del tratamiento de datos personales que pueden
ser la misma persona natural o jurídica de naturaleza privada están en cabeza de la Superintendencia
de Industria y Comercio, y van desde:

 Multas de carácter personal o institucional hasta por 2.000 Salarios Mínimos Mensuales Legales
Vigentes.
 Suspensión de las actividades relacionadas con el tratamiento hasta por seis meses.
 Cierre temporal de las operaciones relacionadas con el tratamiento.
 Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos.

Para tener en cuenta

La Ley 1581 del 17 de octubre de 2012, en su artículo 28 estableció un plazo de 6 meses para la
implementación y adaptación de políticas por parte de las empresas que hagan las veces de encargados
y/o responsables del tratamiento de datos.

Marco Legal 2019 Protección de Datos 6 de 6