Privacy Policy (Política de Tratamiento de Datos) Colombia
Ley 1581 de 2012 — Decreto 1377 de 2013 — SIC
POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES
Ley 1581 de 2012 — Decreto 1377 de 2013 — Superintendencia de Industria y Comercio (SIC)
1. RESPONSABLE DEL TRATAMIENTO
[Nombre Empresa], identificada con NIT [NIT], con domicilio en [Domicilio], correo electrónico de privacidad: [Correo Privacidad], teléfono de atención: [Teléfono Atención].
2. MARCO LEGAL
La presente política se expide en cumplimiento de la Ley Estatutaria 1581 de 2012 (por la cual se dictan disposiciones generales para la protección de datos personales), el Decreto Reglamentario 1377 de 2013, el Decreto Único Reglamentario 1074 de 2015 (Libro 2, Parte 2, Título 3), y las instrucciones de la Superintendencia de Industria y Comercio (SIC) como autoridad de protección de datos en Colombia.
3. DATOS PERSONALES TRATADOS Y FINALIDADES
Categorías de datos tratados: [Categorías Datos]
Finalidades del tratamiento: [Finalidades]
4. DERECHOS DE LOS TITULARES
De conformidad con la Ley 1581 de 2012, los titulares de datos personales tienen los siguientes derechos: (i) conocer, actualizar y rectificar sus datos; (ii) solicitar prueba de la autorización otorgada; (iii) ser informados sobre el uso de sus datos; (iv) presentar quejas ante la SIC; (v) revocar la autorización y/o solicitar la supresión de sus datos; y (vi) acceder gratuitamente a sus datos.
Procedimiento para ejercer derechos: [Procedimiento Derechos]
5. TRANSFERENCIAS Y TRANSMISIONES
Terceros destinatarios de datos: [Terceros Destinatarios]
6. MEDIDAS DE SEGURIDAD
[Nombre Empresa] implementa medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los datos personales y evitar su adulteración, pérdida, consulta, uso o acceso no autorizado, conforme al Artículo 17 literal e) de la Ley 1581 de 2012.
7. VIGENCIA
La presente política rige a partir del [Fecha Vigencia] y corresponde a la [Versión]. Cualquier modificación sustancial será informada a los titulares con al menos diez (10) días hábiles de antelación.
Expedida en [Ciudad], el [Fecha Vigencia].
[Nombre Empresa]
NIT: [NIT]
Representante Legal (Legal Representative)
________________
Signature
What Is a Privacy Policy (Política de Tratamiento de Datos) Colombia?
A Privacy Policy (Política de Tratamiento de Datos Personales) in Colombia is the mandatory legal document required by Law 1581 of 2012 (Personal Data Protection Statute) through which the Data Controller informs data subjects about: processing purposes, legal basis, retention periods, recipients, data subject rights, and mechanisms to exercise them. Mandatory for any person or entity that collects, stores, uses, circulates, or deletes personal data of Colombian residents, whether the controller is domiciled in Colombia or abroad. Law 1581/2012 establishes eight governing principles (article 4): legality, purpose limitation, freedom (prior consent required), accuracy, transparency, restricted access and circulation, security, and confidentiality. The SIC (Superintendencia de Industria y Comercio) supervises compliance and can impose fines up to 2,000 SMMLV. The National Database Registry (RNBD) requires registration by controllers processing data from more than 5,000 holders.
The legal framework governing the Privacy Policy (Política de Tratamiento de Datos) Colombia in Colombia draws on several key statutes and regulatory bodies. Under the Constitucion Politica de 1991, Colombian administrative law governs government procedures. The DIAN administers tax declarations (RUT, IVA, Renta, Retencion). The Codigo de Procedimiento Administrativo (CPACA, Ley 1437 de 2011) governs administrative proceedings. The Accion de Tutela (art. 86) protects fundamental rights through the Corte Constitucional. The Defensoria del Pueblo assists citizens. Parties executing a Privacy Policy (Política de Tratamiento de Datos) Colombia in Colombia should confirm the document reflects current law, including any amendments enacted since the original drafting date. The Ley 1581/2012; Decreto 1377/2013 sets the foundational requirements.
When Do You Need a Privacy Policy (Política de Tratamiento de Datos) Colombia?
A Privacy Policy is mandatory in Colombia for every company, startup, independent professional, NGO, or public entity that collects, stores, uses, processes, or shares personal data of Colombian individuals. It is especially critical for: websites and mobile apps collecting Colombian user data (requiring prior explicit consent under Law 1581/2012); companies with databases of customers, suppliers, workers, or visitors (those with 5,000+ holders must register with the SIC's RNBD); e-commerce platforms processing financial and payment data; health, education, or insurance companies processing sensitive data (requiring reinforced protection under art. 6 of Law 1581/2012); companies transferring data internationally (article 26 of Law 1581/2012 requires specific guarantees); and employers managing candidate and employee data under SIC guidelines for employment data processing.
Parties in Colombia should prepare a Privacy Policy (Política de Tratamiento de Datos) Colombia proactively rather than waiting for a dispute to arise. Courts interpret agreements based on the written terms rather than oral representations. Under the Constitucion Politica de 1991, Colombian administrative law governs government procedures. The DIAN administers tax declarations (RUT, IVA, Renta, Retencion). The Codigo de Procedimiento Administrativo (CPACA, Ley 1437 de 2011) governs administrative proceedings. The Accion de Tutela (art. 86) protects fundamental rights through the Corte Constitucional. The Defensoria del Pueblo assists citizens. Where the transaction involves regulated activities, prior approval from the relevant authority may be required before execution.
What to Include in Your Privacy Policy (Política de Tratamiento de Datos) Colombia
A valid Colombian Privacy Policy compliant with Law 1581/2012 and Decree 1377/2013 must include: complete Data Controller identification with NIT, physical address, and dedicated Habeas Data contact email; exhaustive list of specific processing purposes; categories of personal data collected including sensitive data with reinforced protection under art. 6 of Law 1581/2012; lawful basis for each processing purpose (consent, legal obligation, contract, vital interest, legitimate interest); data subject rights and exercise procedures (15-business-day response deadlines under art. 22); consent collection mechanism (prior, express, and informed); third-party sharing and international transfer safeguards under art. 26 of Law 1581/2012; security measures (technical, organizational, legal); retention periods aligned with legal obligations; policy update procedure; and effective date and version number. The forms-legal.com Privacy Policy (Política de Tratamiento de Datos) Colombia template covers the mandatory elements under Ley 1581/2012; Decreto 1377/2013.
Additional compliance elements for a Privacy Policy (Política de Tratamiento de Datos) Colombia used in Colombia include: Under the Constitucion Politica de 1991, Colombian administrative law governs government procedures. The DIAN administers tax declarations (RUT, IVA, Renta, Retencion). The Codigo de Procedimiento Administrativo (CPACA, Ley 1437 de 2011) governs administrative proceedings. The Accion de Tutela (art. 86) protects fundamental rights through the Corte Constitucional. The Defensoria del Pueblo assists citizens. Forms-legal.com provides this template as a starting point for Colombia-compliant documentation.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Privacy Policy (Política de Tratamiento de Datos) Colombia (Colombia) [Legal document template]. Forms Legal. https://forms-legal.com/colombia/government/declarations/privacy-policy-data-protection-colombia
"Privacy Policy (Política de Tratamiento de Datos) Colombia (Colombia)." Forms Legal, 2026, https://forms-legal.com/colombia/government/declarations/privacy-policy-data-protection-colombia.
@misc{formslegal-privacy-policy-data-protection-colombia,
author = {{Forms Legal}},
title = {Privacy Policy (Política de Tratamiento de Datos) Colombia (Colombia)},
year = {2026},
howpublished = {\url{https://forms-legal.com/colombia/government/declarations/privacy-policy-data-protection-colombia}},
note = {Free legal document template}
}Also available for these jurisdictions:
Frequently Asked Questions
Sí, prácticamente hablando. La Ley 1581 de 2012 aplica a cualquier persona natural o jurídica que recolecte, almacene, use, circule o procese datos personales de individuos en Colombia. Esto cubre prácticamente a toda empresa que tenga clientes, empleados, proveedores o visitantes de su sitio web. Las únicas excepciones establecidas en el artículo 2 de la Ley 1581/2012 son: bases de datos mantenidas exclusivamente para uso personal o doméstico; bases de datos mantenidas exclusivamente para seguridad y defensa nacional; y bases de datos mantenidas por agencias de inteligencia. Toda otra organización que maneje datos personales de residentes colombianos debe tener una política formal de tratamiento de datos, implementar sus requisitos (obtener consentimiento previo, habilitar ejercicio de derechos, registrar bases de datos de 5.000+ titulares en el RNBD de la SIC), y poder demostrar cumplimiento si es auditada por la Superintendencia de Industria y Comercio.
Conforme al artículo 8 de la Ley 1581 de 2012, los titulares de datos en Colombia tienen los siguientes derechos: (1) Derecho de acceso — conocer qué datos personales suyos están siendo tratados, de forma gratuita al menos una vez al mes; (2) Derecho de rectificación — solicitar la corrección de datos inexactos, incompletos o desactualizados; (3) Derecho de supresión — solicitar la eliminación de datos que ya no son necesarios para el fin original, fueron recolectados sin consentimiento válido, o cuyo tratamiento viola la Ley 1581/2012, salvo que exista obligación legal de conservación; (4) Derecho a prueba de la autorización — recibir evidencia de que su autorización fue debidamente obtenida; (5) Derecho de queja — ante la Superintendencia de Industria y Comercio (SIC) si consideran que sus derechos han sido violados; (6) Derecho de revocación del consentimiento — retirar su autorización para el tratamiento de datos en cualquier momento, sujeto a limitaciones contractuales y legales. Plazos de respuesta: 15 días hábiles para consultas, 15 días hábiles para reclamos formales (prorrogables por 8 días hábiles adicionales con aviso).
El Registro Nacional de Bases de Datos (RNBD) es un registro público administrado por la Superintendencia de Industria y Comercio (SIC) bajo el artículo 25 de la Ley 1581 de 2012 y el Decreto 1074 de 2015 (artículos 2.2.2.25.1 a 2.2.2.25.10). Las organizaciones (responsables del tratamiento de datos personales) que administren bases de datos con 5.000 o más titulares deben inscribir cada base de datos en el RNBD, proporcionando información sobre: la naturaleza de los datos tratados, las finalidades del tratamiento, las medidas de seguridad implementadas, la base legal del tratamiento, si se tratan datos sensibles y la información de transferencias internacionales. La inscripción se realiza a través del portal en línea del RNBD en rnbd.sic.gov.co. No inscribirse cuando se está obligado constituye una infracción sujeta a multas de la SIC. El registro debe actualizarse cuando haya cambios significativos en las condiciones de tratamiento de la base de datos. Las organizaciones con menos de 5.000 titulares no están obligadas a inscribirse, pero deben cumplir con todas las demás obligaciones de la Ley 1581/2012.
La Superintendencia de Industria y Comercio (SIC) tiene amplias facultades sancionatorias bajo los artículos 22 y 23 de la Ley 1581 de 2012. Las sanciones disponibles incluyen: (1) Multas institucionales de hasta 2.000 SMMLV (aproximadamente COP $2.600 millones a tasas de 2024, o aproximadamente USD $640.000); (2) Multas personales contra los representantes legales, directores u oficiales responsables de la infracción, de hasta 200 SMMLV; (3) Suspensión temporal de las actividades de tratamiento por hasta 6 meses; (4) Suspensión definitiva del tratamiento de bases de datos específicas; (5) Amonestaciones públicas con publicación obligatoria de la sanción en el sitio web de la SIC. La SIC ha usado activamente estos poderes contra importantes empresas colombianas y multinacionales. La SIC también puede ordenar la eliminación inmediata de datos tratados ilegalmente y exigir que se notifique a los afectados. Las sanciones se publican en el informe anual de la Delegatura para la Protección de Datos Personales de la SIC.
Las transferencias internacionales de datos personales desde Colombia están reguladas por el artículo 26 de la Ley 1581 de 2012 y los artículos 24-27 del Decreto 1377 de 2013. La regla general es que los datos personales no pueden transferirse a países que no proporcionen niveles adecuados de protección de datos. Las excepciones que permiten la transferencia sin autorización previa de la SIC incluyen: (1) el titular ha dado consentimiento expreso a la transferencia; (2) la transferencia es necesaria para un contrato entre el titular y el responsable; (3) la transferencia es necesaria para proteger intereses vitales del titular; (4) la transferencia es requerida por cooperación internacional entre estados; y (5) la transferencia se hace a países reconocidos como adecuados por la SIC (actualmente los estados miembros de la UE/EEE bajo el marco del RGPD). Para transferencias a países no adecuados sin consentimiento explícito, las empresas deben: obtener autorización previa de la SIC, o implementar cláusulas contractuales tipo entre el responsable y el destinatario, o garantizar que el destinatario se adhiere a normas corporativas vinculantes (BCR) para grupos multinacionales. Los proveedores de servicios en la nube (AWS, Google Cloud, Azure) con sede fuera de Colombia crean obligaciones de cumplimiento de transferencia internacional para sus clientes colombianos.
Los empleadores colombianos que traten datos personales de empleados deben cumplir con la Ley 1581 de 2012 y los lineamientos específicos de la SIC sobre datos laborales. Los requisitos clave incluyen: obtener una autorización específica e informada de los empleados (separada del contrato de trabajo) que cubra todas las finalidades del tratamiento (nómina, seguridad social, beneficios, registros disciplinarios, control de acceso biométrico); limitar la recolección de datos a lo estrictamente necesario para fines laborales (principio de minimización); mantener la confidencialidad de datos de salud, discapacidad, afiliación sindical y otros datos sensibles protegidos bajo el artículo 6 de la Ley 1581/2012; informar a los empleados de sus derechos sobre los datos y cómo ejercerlos; implementar medidas de seguridad proporcionales a la sensibilidad de los datos; y gestionar adecuadamente los datos de empleados al terminar la relación laboral (eliminación segura o anonimización de datos no requeridos legalmente). Para sistemas de asistencia biométrica (lectores de huella, reconocimiento facial), que procesan datos sensibles que requieren autorización explícita, la SIC exige medidas de seguridad reforzadas y ha emitido orientación específica a través de la Circular Externa SIC 003/2018.
El Habeas Data en Colombia es tanto un derecho constitucional (artículo 15 de la Constitución Política, que protege el derecho a conocer, actualizar y rectificar información personal almacenada en bases de datos) como un derecho estatutario bajo la Ley 1581 de 2012. El proceso administrativo de Habeas Data bajo la Ley 1581/2012 funciona en dos etapas: Etapa 1 — solicitud directa al responsable del tratamiento: el titular presenta una solicitud formal (consulta o reclamo) al contacto de privacidad designado del responsable. El responsable debe responder dentro de los 15 días hábiles para consultas y 15 días hábiles para reclamos formales (prorrogables una vez por 8 días hábiles con aviso escrito). Etapa 2 — queja ante la SIC: si el responsable no responde, da una respuesta insatisfactoria, o el titular considera que hay una violación, puede presentar queja ante la Delegatura para la Protección de Datos Personales de la SIC. La SIC investiga y puede imponer sanciones. Adicionalmente, la acción constitucional de Habeas Data (tutela, artículo 86 de la Constitución) provee un recurso judicial expedito de 10 días cuando derechos fundamentales están amenazados inmediatamente, tramitado por cualquier juez en Colombia. El Habeas Data financiero (relacionado con datos de centrales de riesgo como Datacrédito/TransUnión y Cifin/Experian) está específicamente regulado por la Ley 1266 de 2008.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Términos y Condiciones del Sitio Web Colombia
Modelo de Términos y Condiciones de Sitio Web para Colombia conforme a la Ley 527 de 1999, la Ley 1480 de 2011 (disposiciones de comercio electrónico), la Ley 1581 de 2012 y la Resolución CRC 5111 de 2017, con cláusulas sobre obligaciones del usuario, propiedad intelectual, limitaciones de responsabilidad, usos prohibidos, ley aplicable y resolución de controversias para sitios web, aplicaciones y plataformas digitales operadas en Colombia o dirigidas a usuarios colombianos.
Contrato de Desarrollo de Software Colombia
Modelo de Contrato de Desarrollo de Software para Colombia conforme a la Ley 23 de 1982, la Decisión 351 de 1993 de la Comunidad Andina, la Ley 1273 de 2009 y el artículo 1602 del Código Civil, con cláusulas sobre alcance del proyecto, entregables, propiedad intelectual, hitos de pago, confidencialidad, garantía y resolución de controversias.