Personal Data Processing Consent Colombia (Autorización de Tratamiento de Datos Personales)
Ley 1581 de 2012 y Decreto 1377 de 2013
AUTORIZACIÓN DE TRATAMIENTO DE DATOS PERSONALES
Conforme a la Ley 1581 de 2012 (Ley Estatutaria de Protección de Datos Personales) y el Decreto 1377 de 2013
I. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO
Nombre / Razón Social: [Responsable Name]
NIT / Cédula: [Responsable NIT]
Domicilio: [Responsable Address]
Contacto para solicitudes de hábeas data: [Responsable Email]
II. IDENTIFICACIÓN DEL TITULAR
Nombre completo: [Titular Name]
Cédula de ciudadanía / Cédula de extranjería: [Titular CC]
Correo electrónico: [Titular Email]
Teléfono: [Titular Phone]
III. AUTORIZACIÓN
Yo, [Titular Name], identificado/a con cédula de ciudadanía / cédula de extranjería No. [Titular CC], en pleno uso de mis facultades y de manera libre, voluntaria, previa, expresa, inequívoca e informada, conforme al Artículo 9 de la Ley 1581 de 2012 y el Artículo 5 del Decreto 1377 de 2013, autorizo a [Responsable Name] (NIT: [Responsable NIT]), con domicilio en [Responsable Address], en su calidad de Responsable del Tratamiento, para que recopile, almacene, use, circule, actualice, corrija, elimine y/o transfiera mis datos personales, bajo los siguientes términos:
IV. CATEGORÍAS DE DATOS PERSONALES A TRATAR
[Data Categories]
V. FINALIDADES DEL TRATAMIENTO
El tratamiento de mis datos personales se realizará para las siguientes finalidades específicas:
[Processing Purposes]
Período de conservación: [Retention Period]
VI. TRANSFERENCIA Y TRANSMISIÓN A TERCEROS
¿Se compartirán datos con terceros o se realizarán transferencias internacionales? [Third Party Sharing]
[Third Party Details]
Datos sensibles incluidos: [Sensitive Data]. El titular declara que la provisión de datos sensibles, si aplica, es de carácter facultativo conforme al Artículo 6 de la Ley 1581 de 2012.
VII. DERECHOS DEL TITULAR (HÁBEAS DATA)
De conformidad con el Artículo 8 de la Ley 1581 de 2012, el Titular tiene los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales.
b) Solicitar prueba de la presente autorización.
c) Ser informado del uso dado a sus datos personales.
d) Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la ley.
e) Revocar la presente autorización y/o solicitar la supresión de sus datos cuando proceda.
Para ejercer sus derechos, el titular podrá dirigirse al correo electrónico: [Responsable Email]
VIII. FIRMA
En [City], a los [Date].
TITULAR AUTORIZANTE:
[Titular Name]
C.C. / C.E.: [Titular CC]
Firma: _________________________
RESPONSABLE DEL TRATAMIENTO:
[Responsable Name]
NIT: [Responsable NIT]
Firma representante: _________________________
Cargo: _________________________
Titular (Data Subject)
________________
Signature
Responsable del Tratamiento (Data Controller)
________________
Signature
What Is a Personal Data Processing Consent Colombia (Autorización de Tratamiento de Datos Personales)?
A Personal Data Processing Consent Colombia (Autorización de Tratamiento de Datos Personales) is the formal written document through which a titular (data subject — the natural person whose data is being processed) grants voluntary, specific, informed, and unambiguous authorisation to a responsable del tratamiento (data controller) and/or an encargado del tratamiento (data processor) to collect, store, use, circulate, update, correct, delete, or transfer their personal data for specified purposes, in compliance with Ley 1581 de 2012 (Ley Estatutaria de Protección de Datos Personales) — Colombia's primary data protection law — and its regulatory Decree, Decreto 1377 de 2013.
Ley 1581 de 2012 was enacted as a ley estatutaria (statutory law requiring approval by the Corte Constitucional before promulgation) — reflecting the fundamental rights nature of data protection in Colombia. The Corte Constitucional reviewed and approved the statute in Sentencia C-748 de 2011, noting that the right to habeas data — the constitutional right to know, update, and rectify information about oneself in databases — under Constitución Política Article 15 is the constitutional foundation of Colombia's data protection regime.
The SIC (Superintendencia de Industria y Comercio) — designated as Colombia's national data protection authority by Ley 1581 de 2012 Article 19 — administers the Registro Nacional de Bases de Datos (RNBD) where organisations processing personal data of Colombian citizens must register, enforces compliance through its Delegatura para la Protección de Datos Personales, and can impose administrative sanctions including fines of up to 2,000 SMMLV (salarios mínimos mensuales legales vigentes) under Ley 1581 de 2012 Article 23.
Ley 1581 de 2012 distinguishes between datos personales (personal data — any information that allows or could allow identifying a natural person) and datos sensibles (sensitive data — race/ethnicity, political opinions, religious beliefs, health data, sexual life, biometric data, and trade union membership). Under Ley 1581 de 2012 Article 6, processing of sensitive data requires: explicit and prior consent (consentimiento expreso y previo); it is optional — the data subject may refuse without negative consequences unless processing is required by law; and the purpose of the processing must be identified.
Ley 1266 de 2008 (Ley de Habeas Data Financiero) complements Ley 1581 de 2012 for financial data (datos financieros, crediticios, comerciales, and de servicios) — the credit reporting and financial database framework administered by credit bureaus (centrales de riesgo) such as DataCrédito Experian, TransUnion Colombia, and CIFIN (now Experian). Ley 1266 de 2008 grants Colombians the right to access, update, rectify, and — in limited circumstances — delete their credit information from these databases.
Colombia's data protection framework aligns broadly with the European Union's General Data Protection Regulation (GDPR) principles of purpose limitation, data minimisation, accuracy, storage limitation, integrity and confidentiality, and accountability. The SIC participates in the Global Privacy Assembly and has signed bilateral data sharing agreements with the EU's Article 93 Committee, facilitating international data transfers under adequacy frameworks. Decree 1074 de 2015 (Decreto Único Reglamentario del Sector Comercio, Industria y Turismo) consolidates data protection regulations including those from Decreto 1377 de 2013 within the unified regulatory framework.
When Do You Need a Personal Data Processing Consent Colombia (Autorización de Tratamiento de Datos Personales)?
A Personal Data Processing Consent Colombia is required whenever an organisation — company, NGO, government entity, or individual acting as a data controller — collects or processes the personal data of Colombian residents for any purpose beyond the purely personal or domestic. Ley 1581 de 2012 Article 9 requires prior, express, and informed authorisation from the titular before processing begins.
Customer databases and CRM systems: Every Colombian company that collects customer personal data — name, email, telephone, address, purchase history, preferences — for commercial communications, customer relationship management, or marketing purposes must obtain written authorisation from each customer. The SIC has taken enforcement action against companies conducting email marketing or SMS campaigns without documented customer consent.
Human resources and employment: Employers in Colombia must obtain written data processing authorisation from job applicants and employees for the processing of their personal data — including background check data, health information for occupational health purposes (salud ocupacional under Decreto 1072 de 2015), salary information, and performance records. The authorisation must be obtained before or at the time of data collection, not retroactively.
Financial services and credit: Banks, insurers, leasing companies, and cooperativas de ahorro supervised by the Superintendencia Financiera de Colombia (SFC) must obtain authorisation for collecting and reporting credit history to centrales de riesgo (credit bureaus) under Ley 1266 de 2008, including DataCrédito Experian and TransUnion Colombia.
Healthcare and clinical data: Healthcare institutions (IPS, hospitals, clínicas, centros médicos) must obtain authorisation for processing health data (datos de salud) as datos sensibles under Ley 1581 de 2012 Article 6, including the history of illnesses, treatments, medications, and clinical records maintained in the historia clínica. Under Resolución 1995 de 1999 of the Ministerio de Salud, the historia clínica is a protected personal data record retained for 20 years.
E-commerce and online services: Websites and mobile applications serving Colombian users must display a privacy policy (política de privacidad y tratamiento de datos personales) complying with Ley 1581 de 2012, and must obtain explicit consent before collecting cookies, registration data, or user behaviour data — particularly for commercial profiling.
Educational institutions: Schools, universities, and educational platforms (including e-learning platforms) must obtain parental or guardian consent for processing minor students' data under Ley 1098 de 2006 Article 7 and Ley 1581 de 2012 — given that minors' data is specially protected.
What to Include in Your Personal Data Processing Consent Colombia (Autorización de Tratamiento de Datos Personales)
A valid Personal Data Processing Consent Colombia under Ley 1581 de 2012 and Decreto 1377 de 2013 must contain the following essential elements to be legally effective and compliant with SIC requirements.
Identification of the Responsable del Tratamiento (Data Controller): Full legal name or razón social, NIT (company tax identification number), registered address (domicilio), and contact information — telephone, email, and data protection officer contact (delegado de protección de datos or contact person for habeas data requests). The responsable is the entity that determines the purposes and means of processing.
Identification of the Titular (Data Subject): Full name and identification number (cédula de ciudadanía, NIT, or cédula de extranjería) of the person providing consent. For minors, the parent or legal guardian's identification is required under Ley 1098 de 2006.
Data Categories to be Processed (Categorías de Datos a Tratar): Explicit listing of the categories of personal data to be collected and processed — contact data (datos de contacto: name, telephone, address, email); identification data (datos de identificación: cédula, NIT, passport); financial data (datos financieros: income, credit history, bank account); health data (datos de salud — classified as datos sensibles under Ley 1581 de 2012 Article 5); biometric data (datos biométricos — classified as datos sensibles — fingerprints, facial images); location data (datos de ubicación); and any other specific category. For datos sensibles, the form must explicitly identify them and note their voluntary nature.
Purposes of Processing (Finalidades del Tratamiento): Specific, explicit description of each purpose for which the data will be processed under Decreto 1377 de 2013 Article 5. General or vague purpose statements — "for company purposes" or "to improve our services" — are not compliant with Ley 1581 de 2012's specificity requirement. Examples of compliant specific purposes: (1) send commercial and promotional communications about the company's products and services; (2) process purchase orders and manage the commercial relationship; (3) report payment behaviour to credit bureaus (centrales de riesgo) under Ley 1266 de 2008; (4) comply with legal and regulatory obligations; (5) conduct market research and satisfaction surveys.
Data Sharing and International Transfers (Transferencia y Transmisión de Datos): If personal data will be shared with third parties (encargados del tratamiento) or transferred to recipients outside Colombia (transferencia internacional de datos), this must be explicitly disclosed. International transfers to countries without adequate data protection are subject to the SIC's authorisation requirement under Ley 1581 de 2012 Article 26, unless the recipient provides adequate protection through a data transfer agreement (cláusulas contractuales tipo).
Retention Period (Período de Conservación): The period for which personal data will be retained. Under Ley 1581 de 2012, data should be retained only for as long as necessary for the identified purposes — specific retention periods must be stated (for example: 5 years after the commercial relationship ends; for credit data, up to 4 years from payment of the obligation under Ley 1266 de 2008).
Habeas Data Rights (Derechos del Titular): Explicit notification of the titular's rights under Ley 1581 de 2012 Article 8: (a) access their personal data free of charge at any time; (b) update and correct inaccurate data; (c) request deletion of data that violates rights or is no longer necessary; (d) revoke consent at any time; (e) file complaints with the SIC; and (f) be informed of the use of their data. The contact channel for exercising these rights must be specified.
Voluntary Nature of Sensitive Data Consent: Explicit statement that providing sensitive data (datos sensibles — health, biometric, political, religious, racial, or sexual data) is voluntary and that refusal to provide it will not affect access to the company's products or services unless the data is legally required for the specific service.
Signature and Date: Titular's signature (or digital acceptance for electronic consent) and date. For electronic or online consent, Ley 527 de 1999 (Ley de Comercio Electrónico) governs the legal validity of digital signatures and electronic consent mechanisms.
Forms-legal.com provides this Personal Data Processing Consent Colombia as a practical template. Every organisation processing personal data of Colombian residents must register their databases in the SIC's Registro Nacional de Bases de Datos (RNBD) at www.sic.gov.co, maintain a written data treatment policy (política de tratamiento de datos personales), and designate a data protection contact person for habeas data requests.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Personal Data Processing Consent Colombia (Autorización de Tratamiento de Datos Personales) (Colombia) [Legal document template]. Forms Legal. https://forms-legal.com/colombia/personal/consent/personal-data-processing-consent-colombia
"Personal Data Processing Consent Colombia (Autorización de Tratamiento de Datos Personales) (Colombia)." Forms Legal, 2026, https://forms-legal.com/colombia/personal/consent/personal-data-processing-consent-colombia.
@misc{formslegal-personal-data-processing-consent-colombia,
author = {{Forms Legal}},
title = {Personal Data Processing Consent Colombia (Autorización de Tratamiento de Datos Personales) (Colombia)},
year = {2026},
howpublished = {\url{https://forms-legal.com/colombia/personal/consent/personal-data-processing-consent-colombia}},
note = {Free legal document template}
}Frequently Asked Questions
El hábeas data es el derecho constitucional de Colombia a conocer, actualizar y rectificar la información personal sobre uno mismo que se mantiene en bases de datos y archivos — establecido por el Artículo 15 de la Constitución Política de 1991. El derecho constitucional de hábeas data fue desarrollado a través de legislación integral en la Ley 1266 de 2008 (para datos financieros, crediticios y comerciales) y la Ley 1581 de 2012 (para todos los demás datos personales). Bajo estos estatutos, los ciudadanos y residentes colombianos — titulares — tienen los siguientes derechos de hábeas data: conocer qué datos personales sobre ellos se mantienen en una base de datos (derecho de acceso o consulta) — este acceso debe proporcionarse de forma gratuita al menos una vez al mes; actualizar información desactualizada; corregir información inexacta o incompleta; solicitar la eliminación de datos que violen derechos, sean innecesarios o hayan sido tratados sin autorización (derecho de supresión o derecho al olvido); revocar el consentimiento en cualquier momento; y presentar quejas ante la SIC si el responsable del tratamiento no responde o no respeta las solicitudes de hábeas data. El procedimiento para ejercer los derechos de hábeas data: el titular presenta una petición escrita al responsable a través de los canales de contacto identificados en la política de tratamiento; el responsable tiene 15 días hábiles para responder a solicitudes de acceso y 15 días hábiles para solicitudes de corrección, actualización o eliminación.
Los datos sensibles son una categoría especialmente protegida de datos personales bajo el Artículo 5 de la Ley 1581 de 2012. El estatuto define los datos sensibles como aquellos que afectan la esfera íntima del titular o cuyo uso incorrecto podría generar discriminación o poner al titular en grave riesgo. Las categorías de datos sensibles bajo la Ley 1581 de 2012 son: origen racial o étnico; opiniones políticas; convicciones religiosas o filosóficas; pertenencia a sindicatos, organizaciones sociales, de derechos humanos o de partidos políticos; datos de salud; vida sexual y orientación sexual; y datos biométricos (huellas dactilares, reconocimiento facial, escaneos de iris, huellas de voz, perfiles de ADN). El tratamiento legal de los datos sensibles está sujeto a requisitos más estrictos que los datos personales ordinarios: el tratamiento requiere consentimiento explícito y previo del titular; al titular se le debe informar que proporcionar datos sensibles es de carácter facultativo; el tratamiento debe limitarse estrictamente al propósito especificado; y el responsable debe implementar medidas de seguridad técnicas y administrativas mejoradas bajo el Artículo 25 del Decreto 1377 de 2013.
Sí — las organizaciones que tratan datos personales de residentes colombianos como responsables del tratamiento deben registrar sus bases de datos en el Registro Nacional de Bases de Datos (RNBD) administrado por la SIC, bajo el Artículo 25 de la Ley 1581 de 2012 y los Artículos 8-13 del Decreto 1377 de 2013. El requisito de registro en el RNBD aplica a todas las personas jurídicas — empresas, fundaciones, asociaciones, cooperativas — que mantienen bases de datos con datos personales de residentes colombianos; personas naturales que profesionalmente tratan datos personales de terceros como parte de su actividad comercial; y entidades públicas (excepto bases de datos clasificadas como reservadas o confidenciales, y las de uso personal o doméstico). El registro en el RNBD debe incluir: identificación del responsable del tratamiento; identificación de todas las bases de datos mantenidas (categorizadas por tipo de dato — clientes, empleados, proveedores, financieros, de salud, etc.); propósito de cada base de datos; políticas de seguridad; acuerdos de intercambio de datos; destinos de transferencia internacional; y contacto para solicitudes de hábeas data. El incumplimiento en registrar las bases de datos requeridas es una infracción sancionable bajo el Artículo 23 de la Ley 1581 de 2012 — la SIC puede iniciar investigaciones administrativas e imponer multas.
Las transferencias internacionales de datos personales desde Colombia a receptores en otros países están reguladas por el Artículo 26 de la Ley 1581 de 2012 y los Artículos 24-27 del Decreto 1377 de 2013. El punto de partida bajo la ley colombiana es la prohibición general de transferencias internacionales de datos a países que no proporcionen niveles adecuados de protección de datos comparables a los estándares propios de Colombia. Las transferencias internacionales de datos a países con protección adecuada se permiten sin requisitos adicionales más allá de la autorización estándar. Las transferencias a países sin protección adecuada requieren: autorización explícita del titular que incluya específicamente la transferencia internacional; o un acuerdo de transferencia de datos entre el responsable colombiano y el receptor extranjero, incorporando protecciones contractuales adecuadas (cláusulas contractuales tipo similares a las Cláusulas Contractuales Estándar de la UE); o autorización de la SIC. La transmisión de datos (tratamiento de datos por un tercero en nombre del responsable) a procesadores en el exterior sigue una vía separada bajo el Artículo 25 del Decreto 1377 de 2013 — requiriendo un contrato de transmisión de datos entre el responsable y el encargado en el exterior.
La SIC — la autoridad de aplicación de protección de datos de Colombia — tiene significativos poderes sancionatorios bajo el Artículo 23 de la Ley 1581 de 2012. Las sanciones administrativas disponibles para la SIC incluyen: multas administrativas de hasta 2.000 SMMLV (aproximadamente COP$2,5 billones o USD$600.000 en valores de 2024) para organizaciones, y hasta 300 SMMLV para individuos responsables de violaciones al tratamiento de datos; suspensión de las actividades de tratamiento de datos pendiente remediación; cierre temporal o definitivo de operaciones comerciales relacionadas con la violación en los casos más graves; y amonestación pública en el Registro Mercantil. La SIC ha investigado y sancionado empresas en servicios financieros, telecomunicaciones, retail, salud y sectores digitales por violaciones incluyendo: no registrar bases de datos en el RNBD; usar datos personales para propósitos no cubiertos por la autorización; no atender solicitudes de hábeas data; no mantener medidas adecuadas de seguridad de datos; y transferencias internacionales sin la autorización adecuada. La SIC de Colombia se ha convertido en una de las autoridades de aplicación de protección de datos más activas de América Latina, haciendo del cumplimiento genuino de la Ley 1581 de 2012 un imperativo comercial para todas las organizaciones que operan en el mercado colombiano.
La ley colombiana de proteccion de datos bajo la Ley 1581 de 2012 y la Ley 1266 de 2008 aplica plenamente al contexto laboral, creando obligaciones especificas para los empleadores que recopilan y procesan datos personales de candidatos y trabajadores. Para los candidatos laborales, los empleadores deben obtener autorizacion escrita previa antes de recopilar datos personales durante el proceso de seleccion, incluyendo: datos de identificacion, antecedentes educativos, historial laboral, referencias personales, y resultados de pruebas psicometricas. Las verificaciones de antecedentes realizadas a traves de la Policia Nacional, el Consejo Superior de la Judicatura para registros judiciales, la Procuraduria General de la Nacion para registros disciplinarios, o empresas privadas de verificacion de antecedentes, todas requieren autorizacion previa explicita del candidato bajo la Ley 1581 de 2012. Para los empleados, el empleador debe recopilar un formulario de autorizacion de datos firmado al momento de la contratacion, cubriendo: datos de nomina procesados a traves de la plataforma PILA para contribuciones a EPS, ARL, AFP, SENA, ICBF y Caja de Compensacion; datos de salud ocupacional recopilados para el SGSST bajo el Decreto 1072 de 2015; y registros de desempeno y disciplinarios. Los empleadores deben registrar sus bases de datos de empleados en el RNBD de la SIC. El incumplimiento en obtener autorizaciones adecuadas o en registrar las bases de datos de empleados expone al empleador a sanciones administrativas de la SIC bajo el Articulo 23 de la Ley 1581 de 2012.
La SIC (Superintendencia de Industria y Comercio) es la autoridad de proteccion de datos en Colombia bajo el Articulo 19 de la Ley 1581 de 2012, y tiene amplias facultades para sancionar a organizaciones que violen la ley. Las sanciones administrativas bajo el Articulo 23 incluyen: multas de hasta 2.000 SMMLV (aproximadamente COP 2,5 billones a valores de 2024) por infraccion; suspension de actividades de tratamiento de datos por hasta seis meses; y suspension definitiva de actividades que violen derechos de proteccion de datos. La SIC puede ordenar el bloqueo y eliminacion de datos tratados ilegalmente. Las sanciones aplican tanto a responsables como a encargados del tratamiento. Los factores agravantes incluyen: volumen de titulares afectados, sensibilidad de los datos, conducta dolosa o negligente, reincidencia, y falta de cooperacion con la investigacion. Acciones de enforcement destacadas de la SIC han sancionado empresas por enviar comunicaciones comerciales no solicitadas sin consentimiento, compartir datos de clientes con terceros sin autorizacion, no implementar medidas de seguridad adecuadas ante brechas de datos, y tratar datos de salud o financieros sin autorizacion. Las organizaciones deben notificar a la SIC las brechas de datos personales que puedan afectar a titulares segun la Circular Externa 02 de 2017. Los directores y representantes legales pueden ser responsables personalmente por ciertas infracciones.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Autorización de Uso de Imagen y Fotografía Colombia
Autorización de uso de imagen y fotografía en Colombia regulada por la Ley 1581 de 2012, la Ley 23 de 1982 (Derechos de Autor) y la Decisión Andina 351 de 1993. Autoriza el uso de la fotografía, video, voz o likeness de una persona para fines comerciales, editoriales o digitales especificados.
Formulario de Consentimiento Informado Médico Colombia
Formulario de consentimiento informado médico en Colombia regulado por la Ley 23 de 1981 (Ética Médica), la Resolución 13437 de 1991 (Derechos del Paciente) y la Resolución 2003 de 2014 del Ministerio de Salud. Documenta el acuerdo informado del paciente para un procedimiento médico, diagnóstico o tratamiento con divulgación completa de riesgos y alternativas.
Contrato de Prestación de Servicios Colombia — CC Arts. 2063-2069
Modelo de Contrato de Prestación de Servicios para Colombia conforme al Código Civil artículos 2063 a 2069 y el Código de Comercio, que establece condiciones para servicios independientes sin subordinación, con cláusulas sobre honorarios, retención en la fuente, seguridad social PILA y propiedad intelectual.