La protección de datos personales: Un Activo Estratégico

Protección de datos personales en Colombia manejo de información empresarial | Russell Bedford.
  • Tiempo de lectura: 6 minutos
  • Palabras clave de éste artículo: Protección de datos personales - Obligaciones habeas data empresas - Registro nacional de bases de datos RNBD

  1. El derecho al Habeas Data en Colombia

En la economía digital, los datos personales se han convertido en el recurso más valioso de cualquier negocio. Cada formulario diligenciado, cada compra registrada, cada correo captado representa información que pertenece a una persona denominada titular de la información. Esta información recolectada fue prevista por el legislador colombiano como un derecho de especial protección constitucional.

El artículo 15 de la Constitución Política de Colombia prevé como derecho fundamental el tratamiento de datos personales, mejor conocido como habeas data.

Este derecho puede ser cobijado bajo la acción de tutela para garantizar su pleno cumplimiento, sin perjuicio de otros mecanismos como los reclamos de los titulares de la información ante los responsables o encargados del tratamiento, sin obviar las investigaciones administrativas adelantadas por la Superintendencia de Industria y Comercio, las cuales pueden derivar en sanciones administrativas y económicas.

La Corte Constitucional, mediante la sentencia C-406 de 2022, expresó que el derecho de habeas data se introdujo al ordenamiento colombiano con la finalidad de equilibrar el poder entre un titular de la información y aquel sujeto que tiene la facultad de recopilar los datos; por lo tanto, este derecho siempre estará orientado al reconocimiento y protección de la esfera privada del individuo frente a intromisiones indebidas o injustificadas por parte de actores públicos o privados.

En ese sentido, la Sentencia SU 139 de 2021 de la Corte Constitucional establece los derechos que tienen los titulares de la información:

“1) el derecho de las personas a conocer (acceder) a la información que sobre ellas está recogida en las bases de datos;

2) el derecho a incluir nuevos datos con el fin de que se provea una imagen completa del titular;

3) el derecho a actualizar la información;

4) el derecho a que la información contenida en las bases de datos sea corregida; y,

5) el derecho a excluir información de una base de datos”.

En general, el titular de la información podrá en cualquier momento conocer, actualizar, rectificar y solicitar la supresión de sus datos personales, así como revocar la autorización otorgada para su tratamiento.

En caso de que el titular realice una reclamación y la empresa responsable del tratamiento no resuelva esta solicitud, podría derivar en un incumplimiento que acarrearía investigaciones administrativas y multas por parte de la Superintendencia de Industria y Comercio, además de una posible responsabilidad civil contractual o extracontractual, actos de competencia desleal y el delito de violación de datos personales contemplado en el artículo 269F del Código Penal.

  1. Las obligaciones del responsable del tratamiento

El régimen de protección de datos incorpora dos tipos de responsabilidades principales a las empresas. Establece, en primer lugar, que las empresas deben manejar los datos responsablemente, que deriva del principio de accountability o responsabilidad demostrada, que requiere la implementación de medidas o políticas internas que garanticen el manejo de los datos para cumplir con un adecuado ciclo de vida del mismo, y con ello garantizar la transparencia frente a los titulares de la información.

Tales medidas podrán ser la incorporación de una política de tratamiento de datos y de seguridad de la información.

ciclo de vida del dato personal en Colombia proteccion de datos personales empresas | Russell Bedford.
Ciclo de vida del dato personal y derechos del titular en el marco de la protección de datos personales en Colombia | Russell Bedford.

En el diagrama se presenta el ciclo de vida del dato personal. Se observa al titular de la información en el centro como el eje y el sujeto de especial protección frente al responsable de la información, y se identifica cada una de las etapas donde el titular podrá ejercer sus derechos.

Por otro lado, está la obligación en cabeza del responsable del tratamiento de la información de realizar el reporte de las bases de datos en el Registro Nacional de Bases de Datos (RNBD), esto siempre que el responsable sea una sociedad o entidad sin ánimo de lucro que tenga activos totales superiores a 100.000 UVT (para el 2025, corresponde a COP $4.979.900.000). Esta obligación fue incorporada mediante el Artículo 2.2.2.26.1.2 del Decreto Único 1074 de 2015.

Lo anterior implica que la empresa, en cumplimiento del principio de responsabilidad demostrada, debió haber implementado ya una política de tratamiento de datos que le permitiera identificar cuáles son sus bases de datos y quiénes son sus titulares.

Solo a partir de ese ejercicio previo, que abarca las principales relaciones comerciales de la organización, como proveedores, clientes y empleados, es que el responsable del tratamiento puede cumplir con la obligación de registro ante el RNBD.

  1. Casos que pusieron en jaque la confianza de los titulares de la información

En Colombia, la Corte Constitucional, mediante la Sentencia T-402 de 2024, resolvió un caso que evidencia los riesgos del tratamiento indebido de datos sensibles en el sector salud.

En este caso, una mujer asiste a una IPS para realizarse de manera voluntaria la interrupción de un embarazo y es contactada por una fundación provida, cuyos datos fueron obtenidos presuntamente por un funcionario de la misma institución.

Posteriormente, la fundación en mención no solo contactó a la paciente directamente, sino también a sus familiares con el objeto de evitar que se realizara el procedimiento de interrupción del embarazo, afectando así el derecho fundamental del habeas data.

Como se puede observar, se presenta una falta de controles robustos y el tratamiento indebido de datos. Esta situación (y otras más que puedan presentarse) no solo puede derivar en investigaciones administrativas y sanciones, sino también en la configuración de responsabilidades civiles y, en algunos casos, hasta penales.

  1. Datos sensibles: Una Responsabilidad Reforzada

El tratamiento de los datos sensibles a los que se refiere el artículo 5 de la Ley 1581 de 2012, como la información relacionada con la salud, la orientación sexual, las convicciones religiosas, los datos biométricos o cualquier información que pueda afectar la intimidad del titular, exige a las organizaciones cumplir no solo con las obligaciones legales previstas en el artículo 15 de la Constitución y en la Ley 1581 de 2012, sino también desarrollar una cultura interna de responsabilidad y cuidado.

La protección de datos no es un asunto meramente tecnológico ni se limita a la nube. El cumplimiento comienza dentro de la organización, desde la capacitación del equipo y la comprensión clara de qué información se gestiona, cómo se clasifica y cuáles son los límites en su uso.

Una política sólida de protección de datos fracasa si el personal no entiende que los datos sensibles requieren un estándar reforzado de seguridad. La norma, el programa de tratamiento de datos o de seguridad de la información no protege por su misma naturaleza, sino que el personal plenamente capacitado será el encargado de preservar una cultura responsable del tratamiento de la información.

  1. La primera línea de defensa: Tu Equipo

La primera línea de defensa no es un software, ni un servidor, ni un antivirus; es el propio talento humano. Por ello, es importante que los colaboradores sepan identificar los flujos de información para adoptar protocolos de acceso restringido y garantizar que cada miembro del equipo actúe bajo los principios de necesidad, finalidad y proporcionalidad, como paso indispensable para prevenir incidentes que puedan comprometer la privacidad de los titulares y la reputación de la organización.

Para entender cómo opera esta responsabilidad en la práctica, los siguientes principios orientan cada decisión que una organización toma frente a los datos de sus titulares:

Principio

Aplicación práctica

Finalidad

 Los datos pueden usarse solamente para el propósito informado al titular en el momento de recolectarlos. Usarlos para otro fin, aunque sea interno, constituye una vulneración.
Necesidad

Se recopila únicamente la información estrictamente indispensable. Si un dato no es necesario para cumplir el propósito declarado, no debe pedirse ni almacenarse.
Proporcionalidad

El tratamiento debe ser adecuado y equilibrado frente al propósito. Recopilar más datos de los necesarios, aunque sea posible, no siempre es permitido.
Responsabilidad demostrada

No basta con cumplir; la organización debe estar en capacidad de demostrar en cualquier momento que cumple con la normatividad de datos. Esto incluye tener documentación, políticas y registros que lo acrediten.

La implementación de un programa óptimo de protección de datos tiene como horizonte el desarrollo y la sostenibilidad del negocio. Entre más confianza surja entre la empresa y sus usuarios, se genera un círculo virtuoso que consolida clientes frecuentes y fortalece la reputación de la organización.

Esta reputación no depende exclusivamente de la calidad del producto o servicio, sino también de la manera como la empresa salvaguarda la información de sus clientes. Las organizaciones que tratan los datos con transparencia y cuidado no solo evitan sanciones, sino que construyen una ventaja competitiva basada en algo que no se compra: la confianza.

  1. Conclusiones

La protección de datos personales no es un trámite administrativo ni una obligación que se cumple una sola vez. Es un proceso continuo que exige de las organizaciones una cultura interna de responsabilidad, transparencia y cuidado frente a la información de sus titulares.

Frente a este panorama, implementar una política de tratamiento de datos, capacitar al equipo y cumplir con las obligaciones de registro ante el RNBD no son opciones, son el piso mínimo desde el cual una organización puede construir una relación de confianza con sus clientes, proveedores y empleados.

En definitiva, las empresas que entienden la protección de datos como un activo estratégico y no como una carga regulatoria son las que están mejor preparadas para competir, crecer y sostenerse en el tiempo.

¿Tiene tu empresa conocimiento total de cómo trata los datos de quienes han depositado su confianza en ella?

 

Servicios legales para protección de datos personales en Colombia en empresas | Russell Bedford.
Servicios legales enfocados en la protección de datos personales y cumplimiento normativo empresarial | Russell Bedford.

 

La protección de datos personales en Colombia no solo es una exigencia legal, sino una decisión estratégica que impacta directamente la reputación y sostenibilidad de tu empresa.

Contar con políticas claras, procesos definidos y un equipo capacitado marca la diferencia entre el cumplimiento reactivo y una gestión responsable de la información.

En Russell Bedford, acompañamos a las organizaciones en la estructuración e implementación de modelos de cumplimiento en protección de datos, alineados con su realidad operativa y regulatoria.

Si quieres fortalecer la confianza de tus clientes y reducir riesgos legales, es el momento de actuar. ¡Contáctanos!

 

Escrito por: Ángel Felipe Santos. Asistente Junior Legal. Russell Bedford Bogotá

Ángel Felipe Santos Uribe.

Consultor Legal.

Russell Bedford Bogotá.

Comparte este boletín

Suscríbete al Flash News

Noticias Relacionadas

TRABAJEMOS JUNTOS

Asesoría y Consultoría

Nuestras soluciones integrales abarcan ampliamente cualquier sector del mercado actual. Lo acompañamos en la exploración de nuevos horizontes apoyándolo con talento humano de calidad y tecnología de punta que nos permiten llevarlo más allá de sus proyecciones.

CONTACTENOS

LÍDERES

Somos una de las 20 mejores firmas prestadoras de servicios de revisoría y consultoría empresarial a nivel mundial.

EXPERIENCIA

Más de 30 años proporcionando servicios de consultoría empresarial a los distintos sectores del mercado.

TECNOLOGÍA

Contamos con todos los recursos necesarios para optimizar la gestión de los requerimientos de nuestros clientes.

COBERTURA MUNDIAL

Tenemos presencia en más de 100 países alrededor del mundo, brindamos un servicio de alta calidad en toda ocasión.

APOYO INTEGRAL

Especialistas en la prestación de servicios de revisoría fiscal, auditoría, consultoría contable, tributaria, legal y financiera.

ATENCIÓN PERSONALIZADA

Nuestros profesionales le brindarán acompañamiento integral en cada uno sus procesos empresariales.

Suscríbete a nuestro boletín
Recibe directamente en tu correo todas las novedades y actualizaciones que tenemos para ti.
Llámanos
Háblanos
Alexandra Arbeláez CardonaSOCIA IMPUESTOS, LEGAL Y PRECIOS EN RUSSELL BEDFORD RBG

Profesional de la Contaduría Pública especializada en Derecho Tributario, con fortaleza en los temas de consultoría, precios de transferencia, auditoria y planeación tributaria producto de una experiencia profesional de más de 15 años. Se ha desempeñado como Consultora y Auditora de Impuestos así como de Revisora Fiscal en diferentes compañías de los sectores de: Sísmica, hotelero, hidrocarburos, Informático y Comunicaciones, Industrial, Inmobiliario, Comercial, Consultoría, Veterinario, Corporaciones sin ánimo de lucro, Entretenimiento entre otros.

Didier Sánchez ReinosoSOCIO FUNDADOR / CEO RUSSELL BEDFORD DSA

Profesional de la Contaduría Pública con énfasis en auditoria. Especialización en revisoría fiscal y contraloría, certificado en auditoria internacional por el ACCA, NIIF Plenas y formación académica continua a través de diplomados, cursos y seminarios.

35 años de experiencia en diferentes sectores de la economía colombiana: comercial, educativo, construcción, eclesiástico, salud, industrial, servicios, corporaciones, fundaciones, ONG, PH, proyectos de cooperación internacional, entre otros. También ha sido consultor y asesor en más de 500 organizaciones en temas de implementación NIIF y auditorías internas y externas.

Carolina MontesSOCIA RUSSELL BEDFORD MCA

 

Certificada en NIIF y NICSP ante el Instituto de Contadores Públicos de Londres y Gales (ICAEW y ACCA), Certificada Internacionalmente en Normas Internacionales de Auditoría (NIAS).

Experiencia de más de 20 años en firmas multinacionales de Auditoría y Consultoría, amplia experiencia en los sectores: Manufacturero, Agroindustrial, Construcción, Salud, Financiero, Servicios y otros.

Docente Universitario en los programas de Especialización y Maestría de: Universidad ICESI, Universidad del Valle, Pontificia Universidad Javeriana, Universidad del Norte, Universidad Santo Tomas, Universidad Jorge Tadeo Lozano, entre otras.

Miembro de la Junta Directiva de ACOPI Valle del Cauca.

Miembro del Comité Técnico de NIIF del Instituto Colombiano de Contadores Públicos (INCP).

Gloria Stella Castaño ToroSOCIA FUNDADORA DE RUSSELL BEDFORD GCT

Encargada de la dirección de Russell Bedford GCT, encargada del seguimiento y ejecución de los proyectos de las diferentes áreas de la firma. Cuenta con una amplia experiencia en Auditoría e Impuestos. Contadora Pública de la Universidad Autónoma Latinoamericana, especialista en Revisoría Fiscal, con estudios complementarios en Impuestos, NIIF y NIAS, certificada internacional en NIIF Plenas por el ICAEW.

Rodrigo Augusto ValenciaSOCIO AUDITORÍA EN RUSSELL BEDFORD MCA

Contador público, MBA con énfasis en Finanzas, Certificación IFRS (NIIF) – ICAEW y ACCA, Certificación ISA (Normas Internacionales de Auditoría) – ACCA, 20 años de experiencia en firmas multinacionales de Auditoría y Consultoría, trayectoria internacional en revisiones de la práctica de auditoría, en países de Suramérica y el Caribe, sus principales áreas de competencia son: la auditoría de estados financieros, asesoría en implementación de IFRS, trabajos varios de aseguramiento y Due Diligence. Docente Universitario en los programas de Especialización y Maestría de Universidad ICESI y la Pontificia Universidad Javeriana de Cali.

Luis Carlos Robayo HigueraSOCIO DIRECTOR DE RUSSELL BEDFORD RBG

Miembro del comité de Russell Bedford Internacional. Profesional de la Contaduría Pública especialista en impuestos, con fortaleza en los temas de consultoría, auditoria y planeación tributaria producto de una experiencia profesional de más de 30 años, combinada con la práctica como docente de pre-grado y pos-grado en diferentes universidades de país, en temas como impuesto a la renta, retención en la fuente, planeación y auditoria tributaria. Con experiencia en planeación y dirección de proyectos de auditoria e implantación de sistemas de información financiera. Ha ejercido el cargo de Revisor Fiscal y consultor tributario en varias empresas del país.

Wilmer A. Román SánchezSOCIO RUSSELL BEDFORD DSA

Profesional de la Contaduría Pública con énfasis en Derecho Tributario, candidato a título de Derecho con fortaleza en los temas de consultoría, planeación tributaria, banca de inversión en proyecciones financieras y derecho societario a través de una experiencia de diez años. Consultor de Impuestos y finanzas, asesor en temas mercantiles en diferentes compañías en los sectores: naval, industrial, hotelero, construcción, entidades sin ánimo de lucro, PH, Inmobiliario, Comercial, Consultoría.

Roger Román SánchezSOCIO RUSSELL BEDFORD DSA

Profesional de la contaduría Pública, candidato a título de Derecho, certificado en IFRS FULL e IFRS para Pymes por el ICAEW de Londres Inglaterra. Diez años de experiencia como consultor en materia tributaria de importantes empresas de la zona norte de Colombia, docente con más de 400 horas de experiencia como conferencista para entidades como Cámara de Comercio de Barranquilla, Cartagena, Fenalco Magdalena, Atlántico, Acopi, INCP, Universidades, proyectos de cooperación internacional, escritor para la firma Russell Bedford DSA®

Carlos A. Linares VargasSOCIO AUDITORIA EN RUSSELL BEDFORD RBG

Contador Público especialista en Auditoría y control. Cuenta con más de 20 años de experiencia en los procesos de aseguramiento financiero, se desempeña actualmente como socio en la práctica de auditoria en la firma Russell Bedford Colombia SAS., de igual forma ha trabajado en diferentes firmas multinacionales de auditoria como Crowe Horwath CO S.A, Price Water House Copers, Arthur Andersen y firmas nacionales como Auditar Ltda., auditando empresas y organizaciones en diferentes sectores económicos. Trabajó en la Superintendencia Financiera de Colombia en el área de riesgo crediticio supervisando los niveles de riesgo cartera del sector financiero, participando como jefe de visita principalmente en los bancos: BBVA, CitiBank, y entidades Cooperativas en la ciudad de Medellín.

Daniel Eduardo Sánchez CastellarSOCIO RUSSELL BEDFORD DSA

Profesional de la Contaduría Pública con énfasis en impuestos y candidato a título de Derecho. Se ha desempeñado como analista financiero, asesor y consultor en materia tributaría para personas naturales y jurídicas tanto nacionales como extranjeras con seis años de experiencia en diversos sectores.

Norela Jiménez M.SOCIA RUSSELL BEDFORD COLOMBIA S.A.S.

Contadora Pública, especialista en Gestión de Riesgos Financieros, con certificación IFRS (NIIF) – ICAEW y certificación NIAS – ISAS (Normas Internacionales de Auditoría)–ACCA.

Su actividad académica comprende sesiones de aprendizaje con clientes, en instituciones gremiales y diplomados en Universidades donde se destaca la Universidad del Pacífico en Lima.

Socia de la Firma Russell Bedford, con más de 25 años de experiencia internacional en firmas multinacionales de Auditoría y Consultoría (Big Four), con amplia experiencia en: Banca Central, Banca Comercial, Seguros, Fiducia, Banca Multilateral, Sectores de Manufactura, Farmacéutico, Agricultura y de Servicios en Colombia y en Perú. Líder de la Industria Financiera para Región Andina.

Miembro del Comité Técnico de Asobancaria y del Colegio de Contadores Públicos de Lima. Sus principales áreas de competencia son: La auditoría de estados financieros, consultoría contable, trabajos varios de aseguramiento y Due Diligence, Procedimientos acordados y trabajos especiales de consultoría sobre mejora en rentabilidad.

David López CastañoSOCIO DE RUSSELL BEDFORD GCT

Líder administrativo de Russell Bedford GCT y de los proyectos del área Financiera, Banca de Inversión y BPO de la firma. Amplia experiencia en el área de Finanzas Corporativas, Valoración de Empresas e Intangibles y Valoración de Proyectos. Contador Público y Administrador de Negocios de la Universidad EAFIT, especialista y magister en Gerencia de Proyectos con estudios complementarios en Gerencia Financiera, docente de Finanzas en la Universidad Autónoma Latinoamericana.