Employee Data Protection Policy Colombia (Política de Protección de Datos de Empleados)
POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE EMPLEADOS
Conforme a la Ley Estatutaria 1581 de 2012 y el Decreto 1377 de 2013
1. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO
Razón Social: [Controller Name]
NIT: [Controller NIT]
Domicilio: [Controller Address]
Correo de contacto para protección de datos: [Controller Email]
Responsable interno: [DPO Name]
2. MARCO LEGAL
La presente política se adopta en cumplimiento de: (a) Artículo 15 de la Constitución Política de 1991, que consagra el derecho fundamental a la intimidad y al habeas data. (b) Ley Estatutaria 1581 de 2012 (Ley de Protección de Datos Personales). (c) Decreto 1377 de 2013, reglamentario de la Ley 1581 de 2012. (d) Ley 1266 de 2008 (habeas data financiero). (e) Circular Externa 002 de 2015 de la Superintendencia de Industria y Comercio (SIC) sobre el Registro Nacional de Bases de Datos (RNBD). (f) Código Sustantivo del Trabajo (CST), Ley 100 de 1993, y Decreto 1072 de 2015 en materia de obligaciones laborales y de seguridad social.
3. ALCANCE
La presente política aplica al tratamiento de datos personales de todos los trabajadores vinculados a [Controller Name], sin distinción de tipo de contrato (término indefinido, término fijo, obra o labor, aprendizaje), así como a aspirantes, practicantes, contratistas independientes y exempleados cuyos datos se conserven dentro de los períodos legales de retención.
4. PRINCIPIOS DEL TRATAMIENTO DE DATOS (Art. 4 Ley 1581/2012)
a) Finalidad: Los datos personales se recolectan con un propósito legítimo, específico y previamente informado al titular.
b) Libertad: El tratamiento requiere el consentimiento previo, expreso e informado del titular, salvo las excepciones legales.
c) Veracidad: Los datos deben ser verídicos, completos, exactos, actualizados y comprobables.
d) Transparencia: El titular tiene derecho a conocer en todo momento la existencia y finalidad del tratamiento.
e) Acceso y circulación restringida: El acceso a los datos se limita al personal autorizado con necesidad legítima de conocerlos.
f) Seguridad: Se implementan medidas técnicas, humanas y administrativas para proteger los datos contra acceso no autorizado.
g) Confidencialidad: Toda persona que intervenga en el tratamiento está obligada a guardar reserva.
5. CATEGORÍAS DE DATOS TRATADOS
5.1 Datos Generales:
[General Data Types]
5.2 Datos Sensibles (Art. 5 Ley 1581/2012):
[Sensitive Data Types]
5.3 Finalidades del Tratamiento:
[Processing Purposes]
PARÁGRAFO. — El tratamiento de datos sensibles se realizará únicamente con autorización explícita del titular, conforme al Artículo 6 de la Ley 1581 de 2012, y se limitará a las finalidades estrictamente necesarias para el cumplimiento de las obligaciones laborales, de seguridad social, y de seguridad y salud en el trabajo.
6. AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS
Conforme al Artículo 9 de la Ley 1581 de 2012 y el Artículo 12 del Decreto 1377 de 2013, [Controller Name] obtendrá la autorización previa, expresa e informada de cada trabajador antes de iniciar el tratamiento de sus datos personales. La autorización informará: (a) la identidad del responsable del tratamiento, (b) las finalidades específicas del tratamiento, (c) los tipos de datos recolectados, (d) los derechos del titular conforme al Artículo 8 de la Ley 1581 de 2012, y (e) los canales para ejercer dichos derechos.
La autorización se obtendrá por escrito al momento del ingreso del trabajador, quedando archivo de la evidencia. El titular podrá revocar su autorización en cualquier momento conforme al Artículo 8, numeral 5, de la Ley 1581 de 2012, sin efecto retroactivo, dirigiendo comunicación escrita a [Controller Email].
7. DERECHOS DEL TITULAR (Art. 8 Ley 1581/2012)
Los trabajadores, como titulares de datos personales, tienen los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales.
b) Solicitar prueba de la autorización otorgada.
c) Ser informado del uso que se ha dado a sus datos.
d) Presentar quejas ante la Superintendencia de Industria y Comercio (SIC).
e) Revocar la autorización y/o solicitar la supresión de sus datos.
f) Acceder de forma gratuita a sus datos personales.
Las consultas se responderán dentro de los diez (10) días hábiles siguientes a la recepción (Decreto 1377/2013, Art. 15). Los reclamos se resolverán dentro de los quince (15) días hábiles siguientes (Decreto 1377/2013, Art. 16). El canal de atención es: [Controller Email].
8. MEDIDAS DE SEGURIDAD (Art. 17 Ley 1581/2012)
8.1 Medidas Técnicas:
[Technical Measures]
8.2 Medidas Administrativas:
[Administrative Measures]
8.3 Período de Conservación:
[Retention Period]
Transcurrido el período de conservación, los datos personales serán eliminados o anonimizados de forma segura, conforme al principio de temporalidad del Artículo 4 de la Ley 1581 de 2012.
9. ENCARGADOS DEL TRATAMIENTO Y TRANSFERENCIAS
9.1 Encargados del Tratamiento (Art. 18 Ley 1581/2012):
[Processor Categories]
[Controller Name] celebrará contratos de transmisión de datos con cada encargado del tratamiento, garantizando que el encargado cumpla con los principios y obligaciones de la Ley 1581 de 2012.
9.2 Transferencias Internacionales:
[International Transfers]
10. REGISTRO NACIONAL DE BASES DE DATOS (RNBD)
[Controller Name] registrará las bases de datos que contengan datos personales de empleados en el Registro Nacional de Bases de Datos (RNBD) administrado por la Superintendencia de Industria y Comercio (SIC), conforme a la Circular Externa 002 de 2015 y el Decreto 886 de 2014.
CONSTANCIA DE ADOPCIÓN
Adoptada en [Adoption City], a los [Adoption Date].
[Controller Name]
NIT: [Controller NIT]
Aprobado por: [Approved By]
Firma: _________________________
Legal Representative / Data Protection Officer (Representante Legal / Responsable de Datos)
________________
Signature
What Is a Employee Data Protection Policy Colombia (Política de Protección de Datos de Empleados)?
An Employee Data Protection Policy Colombia (Política de Protección de Datos de Empleados) is a formal internal document that establishes the employer's framework for collecting, storing, using, processing, and protecting the personal data of workers, governed by Ley Estatutaria 1581 de 2012 (Ley de Protección de Datos Personales) and its regulatory Decreto 1377 de 2013. Article 15 of Ley 1581 de 2012 requires every data controller (responsable del tratamiento) and data processor (encargado del tratamiento) to adopt internal policies that comply with the constitutional principles and legal requirements governing personal data processing in Colombia.
The constitutional foundation for data protection in Colombia derives from Article 15 of the Constitución Política de 1991, which guarantees every person the fundamental right to intimacy (derecho a la intimidad), good name (buen nombre), and the power to know, update, and rectify information collected about them in databases — the habeas data right. The Corte Constitucional has developed extensive jurisprudence on data protection, notably through Sentencia C-748 de 2011, which conducted the constitutional review of Ley 1581 de 2012 and established the interpretive framework for applying data protection principles in the employment context.
The Superintendencia de Industria y Comercio (SIC) serves as the national data protection authority under Article 19 of Ley 1581 de 2012, with the power to investigate complaints, conduct inspections, and impose administrative sanctions of up to 2,000 SMLMV (salarios mínimos legales mensuales vigentes) on organizations that fail to comply with data protection obligations. Under Decreto 1377 de 2013 Article 13, every data controller must adopt a manual interno de políticas y procedimientos (internal policies and procedures manual) that confirms effective compliance with the principles and obligations established in Ley 1581 de 2012.
In the employment context, employers process extensive categories of personal data throughout the employment lifecycle — from recruitment (solicitud de empleo) through onboarding, payroll administration through the Planilla Integrada de Liquidación de Aportes (PILA), performance management, disciplinary proceedings, and eventual termination or resignation. The data categories include identification data (cédula de ciudadanía, NIT), contact information, financial data (bank accounts for salary deposits, tax withholding under the Estatuto Tributario), health data (occupational medical examinations under Decreto 1072 de 2015 and Resolución 2346 de 2007), biometric data (where used for attendance systems), and disciplinary records.
Ley 1581 de 2012 Article 5 classifies personal data into general data and sensitive data (datos sensibles). Sensitive data includes information revealing racial or ethnic origin, political opinions, religious or philosophical convictions, trade union membership, health or sexual life data, and biometric data. Article 6 of Ley 1581 de 2012 prohibits the processing of sensitive data except where the data subject (titular) has given explicit authorization, where processing is necessary to protect a vital interest, where processing is carried out by a non-profit organization for its members, where the data relates to publicly available information, or where processing is necessary for the recognition, exercise, or defence of a right in judicial proceedings.
Under Decreto 1377 de 2013 Article 12, the employer must obtain prior, express, and informed authorization (autorización) from each worker before processing their personal data. The authorization must specify: the identity of the data controller, the specific purposes of processing, the types of data collected, the data subject's rights under Article 8 of Ley 1581 de 2012, and the mechanisms available to exercise those rights. The Circular Externa 002 de 2015 of the SIC requires data controllers to register their databases in the Registro Nacional de Bases de Datos (RNBD) administered by the SIC, including all employee databases.
When Do You Need a Employee Data Protection Policy Colombia (Política de Protección de Datos de Empleados)?
An Employee Data Protection Policy Colombia is needed whenever a Colombian employer processes personal data of workers in the course of the employment relationship. Ley Estatutaria 1581 de 2012 Article 15 and Decreto 1377 de 2013 Article 13 require every data controller (responsable del tratamiento) to adopt internal policies and procedures confirming compliance with data protection obligations — the Employee Data Protection Policy fulfils this mandatory requirement for the employment context.
The policy is required when the employer collects personal data during the recruitment process through job application forms (solicitudes de empleo), conducts pre-employment background checks through centrales de riesgo under Ley 1266 de 2008, verifies academic credentials through the Ministerio de Educación Nacional's SNIES system, or processes criminal background checks through the Policía Nacional and Procuraduría General de la Nación certificate systems.
The document is needed when the employer processes payroll and social security data through the Planilla Integrada de Liquidación de Aportes (PILA) under Ley 100 de 1993 and Decreto 1406 de 1999, including the worker's EPS, AFP/Colpensiones, ARL, and Caja de Compensación Familiar affiliations. Under the Estatuto Tributario, employers must process tax withholding (retención en la fuente) data and issue annual income and withholding certificates (certificados de ingresos y retenciones) under Article 378 of the Estatuto Tributario.
A Data Protection Policy is needed when the employer uses biometric systems (fingerprint scanners, facial recognition) for attendance tracking, video surveillance (CCTV) in the workplace, GPS tracking of company vehicles, or monitoring of company email and information systems. The SIC through Concepto 15-212962 has established that biometric data constitutes sensitive data under Ley 1581 de 2012 Article 5, requiring explicit authorization and heightened protection measures.
The policy is required when the employer must respond to data subject access requests (peticiones) under Article 8 of Ley 1581 de 2012, which guarantees workers the rights to access, update, rectify, and delete their personal data. Under Decreto 1377 de 2013 Article 15, the data controller must respond to access requests within ten business days and to complaints within fifteen business days. The SIC may impose sanctions of up to 2,000 SMLMV for failure to respond within the statutory deadlines.
What to Include in Your Employee Data Protection Policy Colombia (Política de Protección de Datos de Empleados)
A valid Employee Data Protection Policy Colombia under Ley Estatutaria 1581 de 2012 and Decreto 1377 de 2013 must contain the following essential elements to satisfy the requirements of the Superintendencia de Industria y Comercio (SIC) and protect both employer and employee interests.
Data Controller Identification: Full legal name (razón social), NIT (Número de Identificación Tributaria assigned by the DIAN), registered address, and contact details of the employer as the responsable del tratamiento. Where the employer engages third-party data processors (encargados del tratamiento) — such as payroll outsourcing firms, cloud service providers, or occupational health providers — each processor must be identified along with the contractual safeguards required by Ley 1581 de 2012 Article 18.
Legal Basis and Scope: Reference to the constitutional foundation (Article 15 of the Constitución Política de 1991), the statutory framework (Ley 1581 de 2012 and Decreto 1377 de 2013), and the employment law obligations (Código Sustantivo del Trabajo, Ley 100 de 1993, Decreto 1072 de 2015) that require data processing. The policy must define its scope — all personal data of workers regardless of contract type (término indefinido, término fijo, obra o labor, aprendizaje under Ley 789 de 2002).
Data Processing Principles: The seven principles established in Article 4 of Ley 1581 de 2012: purpose limitation (finalidad — data collected only for specified, explicit, and legitimate purposes), freedom (libertad — processing requires prior, express, and informed consent), truthfulness (veracidad — data must be accurate and current), transparency (transparencia — the data subject must know how their data is processed), restricted access (acceso restringido — access limited to authorized personnel), security (seguridad — technical and organizational measures to prevent unauthorized access), and confidentiality (confidencialidad — obligation to maintain data confidentiality).
Categories of Data Processed: Detailed inventory of the types of personal data collected and processed, distinguishing between general data (identification, contact, financial, employment history) and sensitive data (health data from occupational medical examinations under Resolución 2346 de 2007, biometric data from attendance systems, union membership information). Under Ley 1581 de 2012 Article 6, sensitive data requires explicit authorization with a clear explanation of its sensitive nature and the specific purpose for processing.
Authorization Mechanisms: Procedures for obtaining prior, express, and informed authorization under Decreto 1377 de 2013 Article 12, including the format of the authorization form, the information to be provided to workers (identity of controller, purposes, rights, complaint channels), and the procedures for documenting and storing authorization evidence. Mechanisms for workers to revoke authorization under Article 8 numeral 5 of Ley 1581 de 2012.
Data Subject Rights: Thorough description of worker rights under Article 8 of Ley 1581 de 2012: access to personal data (derecho de acceso), correction of inaccurate or incomplete data (derecho de rectificación), deletion of data when processing is no longer justified (derecho de supresión), revocation of authorization (revocatoria del consentimiento), and the right to file complaints with the SIC. Response timelines: ten business days for access requests and fifteen business days for complaints under Decreto 1377 de 2013 Articles 15 and 16.
Security Measures: Technical, human, and administrative measures implemented to protect personal data against unauthorized access, loss, alteration, or destruction, as required by Ley 1581 de 2012 Article 17. Measures should address access controls, encryption, secure storage, backup procedures, incident response protocols, and the obligation to report security breaches to the SIC and affected data subjects.
Forms-legal.com provides this Employee Data Protection Policy Colombia template as a practical starting point for compliance with Ley 1581 de 2012. Employers should consult with a specialized abogado en protección de datos to confirm the policy addresses industry-specific requirements, cross-border data transfer obligations under Ley 1581 de 2012 Article 26, and the Registro Nacional de Bases de Datos (RNBD) registration requirements of Circular Externa 002 de 2015 of the SIC.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Employee Data Protection Policy Colombia (Política de Protección de Datos de Empleados) (Colombia) [Legal document template]. Forms Legal. https://forms-legal.com/colombia/employment/hr-forms/employee-data-protection-policy-colombia
"Employee Data Protection Policy Colombia (Política de Protección de Datos de Empleados) (Colombia)." Forms Legal, 2026, https://forms-legal.com/colombia/employment/hr-forms/employee-data-protection-policy-colombia.
@misc{formslegal-employee-data-protection-policy-colombia,
author = {{Forms Legal}},
title = {Employee Data Protection Policy Colombia (Política de Protección de Datos de Empleados) (Colombia)},
year = {2026},
howpublished = {\url{https://forms-legal.com/colombia/employment/hr-forms/employee-data-protection-policy-colombia}},
note = {Free legal document template}
}
Frequently Asked Questions
El Registro Nacional de Bases de Datos (RNBD) es el registro público administrado por la Superintendencia de Industria y Comercio (SIC) conforme al artículo 25 de la Ley 1581 de 2012, en el que todos los responsables del tratamiento y encargados del tratamiento de datos personales en Colombia deben inscribir sus bases de datos. La Circular Externa 002 de 2015 de la SIC estableció el marco operativo del RNBD, exigiendo el registro a través de la plataforma electrónica de la SIC.
Los empleadores colombianos deben registrar todas las bases de datos que contengan datos personales de sus trabajadores: bases de datos de nómina, sistemas de gestión de recursos humanos, expedientes de salud ocupacional, sistemas de control de acceso y biometría, y bases de datos de candidatos en procesos de selección. El registro debe incluir la identificación del responsable del tratamiento, las finalidades de cada base de datos, las categorías de titulares y tipos de datos, las medidas de seguridad implementadas y los procedimientos para ejercer los derechos de los titulares.
Bajo el Decreto 886 de 2014, que reglamenta el RNBD, el registro debe actualizarse cada vez que se produzcan cambios significativos en la estructura de las bases de datos, las finalidades o las medidas de seguridad. El incumplimiento de la obligación de inscripción expone al empleador a sanciones administrativas de hasta 2.000 SMLMV según el artículo 23 de la Ley 1581 de 2012. La Delegatura para la Protección de Datos Personales de la SIC verifica el cumplimiento de la obligación de registro durante sus investigaciones administrativas.
Los empleadores colombianos pueden monitorear el uso de los sistemas corporativos de correo electrónico e información, pero deben cumplir el marco de protección de datos de la Ley 1581 de 2012 y el derecho constitucional a la intimidad del artículo 15 de la Constitución Política de 1991. La Corte Constitucional, en la Sentencia T-405 de 2007, estableció que la facultad de monitoreo del empleador sobre los sistemas corporativos debe equilibrarse con la expectativa razonable de privacidad del trabajador.
El monitoreo es lícito cuando el empleador ha establecido una Política de Uso de Tecnología que informa a los trabajadores que los sistemas corporativos se proveen para fines laborales y están sujetos a monitoreo, ha obtenido la autorización previa del trabajador bajo el artículo 9 de la Ley 1581 de 2012, ha limitado el monitoreo a las comunicaciones laborales en los sistemas corporativos y ha implementado medidas de monitoreo proporcionales que no se extienden a comunicaciones personales ni a dispositivos personales.
La SIC, mediante el Concepto 15-155768, confirmó que el monitoreo del correo electrónico corporativo constituye tratamiento de datos bajo la Ley 1581 de 2012, requiriendo cumplimiento de los principios de finalidad, proporcionalidad y transparencia. Los empleadores deben documentar sus prácticas de monitoreo en la Política de Protección de Datos de Empleados y en el Reglamento Interno de Trabajo para garantizar su ejecutabilidad bajo el artículo 108 del CST, pues los jueces laborales del circuito exigen evidencia de divulgación previa y autorización para admitir como prueba el material obtenido mediante monitoreo.
La Superintendencia de Industria y Comercio (SIC), como autoridad nacional de protección de datos bajo el artículo 19 de la Ley 1581 de 2012, tiene facultad para imponer sanciones administrativas graduadas a los empleadores que incumplan las obligaciones de protección de datos. El artículo 23 de la Ley 1581 de 2012 contempla las siguientes sanciones: multas de hasta 2.000 SMLMV — equivalentes a aproximadamente COP$2.847 millones para 2025 con base en el SMLMV de COP$1.423.500 —; suspensión de las actividades de tratamiento de datos por hasta seis meses; cierre temporal de las operaciones de tratamiento; y cierre definitivo de operaciones que involucren datos sensibles.
La SIC aplica un análisis de proporcionalidad que considera la gravedad y duración de la infracción, el número de titulares afectados, la capacidad económica del responsable del tratamiento, la cooperación del responsable durante la investigación y si se implementaron medidas correctivas. Bajo el artículo 22 del Decreto 1377 de 2013, la SIC tramita investigaciones a través de su Delegatura para la Protección de Datos Personales, que recibe quejas de los titulares y puede iniciar investigaciones de oficio.
La SIC ha aplicado activamente los requisitos de protección de datos contra empleadores, imponiendo sanciones por: recolectar datos sin autorización, no responder solicitudes de acceso dentro de los plazos legales, tratar datos sensibles sin consentimiento explícito, no registrar bases de datos en el RNBD y transferir datos internacionalmente sin cumplir los requisitos del artículo 26 de la Ley 1581 de 2012. Los trabajadores afectados también pueden interponer acción de tutela ante la Corte Constitucional para protección inmediata de su derecho fundamental al habeas data.
El artículo 26 de la Ley 1581 de 2012 establece el régimen para las transferencias internacionales de datos personales desde Colombia a terceros países. La regla general prohíbe las transferencias a países que no ofrezcan niveles adecuados de protección de datos, según criterio de la SIC. La SIC no ha publicado una lista formal de adecuación, pero el artículo 24 del Decreto 1377 de 2013 autoriza las transferencias cuando: el país receptor ofrece un nivel adecuado de protección basado en estándares internacionales; el titular ha dado autorización expresa e inequívoca; la transferencia es necesaria para ejecutar un contrato entre el titular y el responsable del tratamiento; la transferencia es legalmente exigida para salvaguardar un interés público; o la transferencia es necesaria para el reconocimiento, ejercicio o defensa de un derecho en actuaciones judiciales.
Los empleadores colombianos con operaciones multinacionales — como subsidiarias de empresas extranjeras o empleadores que usan sistemas de recursos humanos en la nube alojados en el exterior — deben implementar normas corporativas vinculantes (binding corporate rules) o cláusulas contractuales estándar que garanticen que el receptor extranjero aplique una protección equivalente a los estándares colombianos. Bajo el artículo 25 del Decreto 1377 de 2013, el responsable del tratamiento sigue siendo responsable de cualquier tratamiento de datos realizado por receptores extranjeros y debe incluir cláusulas contractuales que garanticen el cumplimiento de los principios de la Ley 1581 de 2012. El incumplimiento de las reglas de transferencia internacional expone al empleador a sanciones de la SIC y a responsabilidad civil frente a los trabajadores afectados.
El artículo 8 de la Ley Estatutaria 1581 de 2012 reconoce a los trabajadores un conjunto amplio de derechos como titulares de datos personales, aplicables en la relación laboral independientemente del tipo de contrato.
Derecho de acceso (derecho de acceso): El trabajador puede solicitar al empleador información sobre sus datos personales almacenados, incluyendo las finalidades del tratamiento, las categorías de datos y la identidad de los receptores. El empleador debe responder en diez días hábiles conforme al artículo 15 del Decreto 1377 de 2013.
Derecho de rectificación (derecho de rectificación): El trabajador puede corregir datos inexactos, incompletos o desactualizados. El empleador debe actualizar el dato en los quince días hábiles siguientes a la solicitud.
Derecho de supresión (derecho de supresión): El trabajador puede solicitar la eliminación de sus datos cuando la base jurídica del tratamiento haya cesado, aunque el empleador podrá conservar los datos necesarios para cumplir obligaciones legales bajo el CST, la Ley 100 de 1993 y el Estatuto Tributario.
Revocatoria del consentimiento: El trabajador puede retirar la autorización otorgada previamente conforme al numeral 5 del artículo 8 de la Ley 1581 de 2012. El empleador debe cesar el tratamiento en el plazo legal, conservando únicamente los datos exigidos por obligaciones normativas.
Derecho de queja ante la SIC: Los trabajadores pueden presentar quejas ante la Delegatura para la Protección de Datos Personales de la SIC cuando el empleador incumpla los plazos legales o rechace solicitudes legítimas. La Corte Constitucional ha reforzado estos derechos mediante la acción de tutela del artículo 86 de la Constitución Política, ofreciendo un mecanismo judicial expedito para los trabajadores cuya protección de datos sea vulnerada.
La Ley 1581 de 2012 y el Decreto 1377 de 2013 no exigen expresamente la designación de un Oficial de Protección de Datos (Data Protection Officer) en Colombia. Sin embargo, el artículo 13 del Decreto 1377 de 2013 obliga a todo responsable del tratamiento a designar una persona o área responsable de implementar las políticas y procedimientos internos de protección de datos y de atender las solicitudes y quejas de los titulares.
En la práctica, esta función suele asignarse al Departamento de Recursos Humanos, al Departamento Legal o a un coordinador de privacidad designado dentro de la organización. Bajo el artículo 12 del Decreto 1377 de 2013, el responsable del tratamiento debe proporcionar a los titulares un canal claro para ejercer sus derechos, lo que requiere identificar la persona o área responsable en el formulario de autorización y en el aviso de privacidad.
La SIC, mediante su práctica de supervisión, ha subrayado que la persona o área designada debe tener suficiente autoridad y recursos para gestionar eficazmente el cumplimiento de la protección de datos, responder a las solicitudes de acceso en diez días hábiles, resolver las quejas en quince días hábiles y coordinar con la SIC durante las investigaciones. Las organizaciones que traten grandes volúmenes de datos sensibles — como empleadores con sistemas biométricos de asistencia o programas completos de salud ocupacional bajo el Decreto 1072 de 2015 — deberían considerar la designación de un profesional dedicado a la privacidad con cualificaciones técnicas y jurídicas apropiadas.
Los expedientes de salud ocupacional en Colombia — incluyendo los exámenes médicos preocupacionales, periódicos y de retiro realizados bajo el artículo 2.2.4.6.24 del Decreto 1072 de 2015 y la Resolución 2346 de 2007 — contienen datos sensibles de salud (datos sensibles de salud) protegidos por el artículo 5 de la Ley 1581 de 2012. La Política de Protección de Datos de Empleados debe establecer protocolos específicos para el manejo de estos expedientes, distinguiendo entre la necesidad legítima del empleador de conocer la aptitud laboral del trabajador y el derecho de este a la confidencialidad médica.
Bajo el artículo 16 de la Resolución 2346 de 2007, el médico ocupacional solo puede entregar al empleador un concepto de aptitud laboral — indicando si el trabajador es apto, apto con restricciones o no apto para el cargo específico — sin revelar el diagnóstico subyacente ni los detalles clínicos. La historia clínica ocupacional completa debe ser conservada por el prestador de salud ocupacional en condiciones de estricta confidencialidad bajo el artículo 34 de la Ley 23 de 1981 (Código de Ética Médica) y la Resolución 1995 de 1999 sobre gestión de historias clínicas.
El empleador no puede acceder a la historia clínica completa del trabajador sin autorización escrita explícita de este. Bajo el Decreto 1072 de 2015, el empleador debe conservar los registros de salud ocupacional durante el período mínimo de veinte años establecido para los registros de exposición ocupacional, garantizando las medidas de seguridad exigidas por el artículo 17 de la Ley 1581 de 2012 y coordinando con la ARL (Administradora de Riesgos Laborales) el manejo de los expedientes de accidentes laborales y enfermedades profesionales.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Contrato de Trabajo a Término Indefinido Colombia — CST Art. 45
Contrato de Trabajo a Término Indefinido para Colombia conforme al artículo 45 del Código Sustantivo del Trabajo (CST), que establece una relación laboral sin fecha de terminación predeterminada, con cobertura obligatoria de EPS, aportes a AFP o Colpensiones, seguro ARL, depósitos de cesantías y todas las prestaciones sociales del derecho laboral colombiano.
Solicitud de Empleo Colombia
Formato de Solicitud de Empleo para Colombia conforme al artículo 57 del Código Sustantivo del Trabajo (CST) y la Ley Estatutaria 1581 de 2012 sobre protección de datos personales, utilizado por los empleadores para recopilar información estandarizada del candidato incluyendo formación académica, historial laboral, referencias personales y situación militar (libreta militar) para la evaluación de contratación conforme al derecho laboral colombiano.
Reglamento Interno de Trabajo Colombia
Reglamento Interno de Trabajo para Colombia conforme al Código Sustantivo del Trabajo (CST) artículos 104 a 125, con normas de jornada laboral según la Ley 2101 de 2021, procedimientos disciplinarios, obligaciones de seguridad y salud en el trabajo bajo el Decreto 1072 de 2015, y derechos de los trabajadores para empresas con diez o más trabajadores permanentes.
Política de Uso de Tecnología — Colombia
A Technology Use Policy (Política de Uso de Tecnología) for Colombia governed by the Código Sustantivo del Trabajo (CST) Article 104 and Ley 1273 de 2009 on cybercrimes, establishing rules for the use of company-provided information systems, email, internet, software, and electronic devices, with data protection compliance under Ley 1581 de 2012 and monitoring protocols balanced against employee privacy rights.
Acuerdo de Confidencialidad Colombia — Decisión Andina 486/2000 / CC Art. 1602
A Non-Disclosure Agreement (Acuerdo de Confidencialidad) for Colombia governed by the Código Civil Article 1602 (principle of contractual autonomy), the Código de Comercio, Ley 1581 de 2012 (personal data protection), and the Decisión Andina 486 de 2000 (trade secrets). Protects confidential information, trade secrets, and proprietary data in business relationships between companies or individuals.