Política de Protección de Datos de Empleados — Colombia

El Registro Nacional de Bases de Datos (RNBD) es el registro público administrado por la Superintendencia de Industria y Comercio (SIC) conforme al artículo 25 de la Ley 1581 de 2012, en el que todos los responsables del tratamiento y encargados del tratamiento de datos personales en Colombia deben inscribir sus bases de datos. La Circular Externa 002 de 2015 de la SIC estableció el marco operativo del RNBD, exigiendo el registro a través de la plataforma electrónica de la SIC.

Los empleadores colombianos deben registrar todas las bases de datos que contengan datos personales de sus trabajadores: bases de datos de nómina, sistemas de gestión de recursos humanos, expedientes de salud ocupacional, sistemas de control de acceso y biometría, y bases de datos de candidatos en procesos de selección. El registro debe incluir la identificación del responsable del tratamiento, las finalidades de cada base de datos, las categorías de titulares y tipos de datos, las medidas de seguridad implementadas y los procedimientos para ejercer los derechos de los titulares.

Bajo el Decreto 886 de 2014, que reglamenta el RNBD, el registro debe actualizarse cada vez que se produzcan cambios significativos en la estructura de las bases de datos, las finalidades o las medidas de seguridad. El incumplimiento de la obligación de inscripción expone al empleador a sanciones administrativas de hasta 2.000 SMLMV según el artículo 23 de la Ley 1581 de 2012. La Delegatura para la Protección de Datos Personales de la SIC verifica el cumplimiento de la obligación de registro durante sus investigaciones administrativas.

Los empleadores colombianos pueden monitorear el uso de los sistemas corporativos de correo electrónico e información, pero deben cumplir el marco de protección de datos de la Ley 1581 de 2012 y el derecho constitucional a la intimidad del artículo 15 de la Constitución Política de 1991. La Corte Constitucional, en la Sentencia T-405 de 2007, estableció que la facultad de monitoreo del empleador sobre los sistemas corporativos debe equilibrarse con la expectativa razonable de privacidad del trabajador.

El monitoreo es lícito cuando el empleador ha establecido una Política de Uso de Tecnología que informa a los trabajadores que los sistemas corporativos se proveen para fines laborales y están sujetos a monitoreo, ha obtenido la autorización previa del trabajador bajo el artículo 9 de la Ley 1581 de 2012, ha limitado el monitoreo a las comunicaciones laborales en los sistemas corporativos y ha implementado medidas de monitoreo proporcionales que no se extienden a comunicaciones personales ni a dispositivos personales.

La SIC, mediante el Concepto 15-155768, confirmó que el monitoreo del correo electrónico corporativo constituye tratamiento de datos bajo la Ley 1581 de 2012, requiriendo cumplimiento de los principios de finalidad, proporcionalidad y transparencia. Los empleadores deben documentar sus prácticas de monitoreo en la Política de Protección de Datos de Empleados y en el Reglamento Interno de Trabajo para garantizar su ejecutabilidad bajo el artículo 108 del CST, pues los jueces laborales del circuito exigen evidencia de divulgación previa y autorización para admitir como prueba el material obtenido mediante monitoreo.

La Superintendencia de Industria y Comercio (SIC), como autoridad nacional de protección de datos bajo el artículo 19 de la Ley 1581 de 2012, tiene facultad para imponer sanciones administrativas graduadas a los empleadores que incumplan las obligaciones de protección de datos. El artículo 23 de la Ley 1581 de 2012 contempla las siguientes sanciones: multas de hasta 2.000 SMLMV — equivalentes a aproximadamente COP$2.847 millones para 2025 con base en el SMLMV de COP$1.423.500 —; suspensión de las actividades de tratamiento de datos por hasta seis meses; cierre temporal de las operaciones de tratamiento; y cierre definitivo de operaciones que involucren datos sensibles.

La SIC aplica un análisis de proporcionalidad que considera la gravedad y duración de la infracción, el número de titulares afectados, la capacidad económica del responsable del tratamiento, la cooperación del responsable durante la investigación y si se implementaron medidas correctivas. Bajo el artículo 22 del Decreto 1377 de 2013, la SIC tramita investigaciones a través de su Delegatura para la Protección de Datos Personales, que recibe quejas de los titulares y puede iniciar investigaciones de oficio.

La SIC ha aplicado activamente los requisitos de protección de datos contra empleadores, imponiendo sanciones por: recolectar datos sin autorización, no responder solicitudes de acceso dentro de los plazos legales, tratar datos sensibles sin consentimiento explícito, no registrar bases de datos en el RNBD y transferir datos internacionalmente sin cumplir los requisitos del artículo 26 de la Ley 1581 de 2012. Los trabajadores afectados también pueden interponer acción de tutela ante la Corte Constitucional para protección inmediata de su derecho fundamental al habeas data.

El artículo 26 de la Ley 1581 de 2012 establece el régimen para las transferencias internacionales de datos personales desde Colombia a terceros países. La regla general prohíbe las transferencias a países que no ofrezcan niveles adecuados de protección de datos, según criterio de la SIC. La SIC no ha publicado una lista formal de adecuación, pero el artículo 24 del Decreto 1377 de 2013 autoriza las transferencias cuando: el país receptor ofrece un nivel adecuado de protección basado en estándares internacionales; el titular ha dado autorización expresa e inequívoca; la transferencia es necesaria para ejecutar un contrato entre el titular y el responsable del tratamiento; la transferencia es legalmente exigida para salvaguardar un interés público; o la transferencia es necesaria para el reconocimiento, ejercicio o defensa de un derecho en actuaciones judiciales.

Los empleadores colombianos con operaciones multinacionales — como subsidiarias de empresas extranjeras o empleadores que usan sistemas de recursos humanos en la nube alojados en el exterior — deben implementar normas corporativas vinculantes (binding corporate rules) o cláusulas contractuales estándar que garanticen que el receptor extranjero aplique una protección equivalente a los estándares colombianos. Bajo el artículo 25 del Decreto 1377 de 2013, el responsable del tratamiento sigue siendo responsable de cualquier tratamiento de datos realizado por receptores extranjeros y debe incluir cláusulas contractuales que garanticen el cumplimiento de los principios de la Ley 1581 de 2012. El incumplimiento de las reglas de transferencia internacional expone al empleador a sanciones de la SIC y a responsabilidad civil frente a los trabajadores afectados.

El artículo 8 de la Ley Estatutaria 1581 de 2012 reconoce a los trabajadores un conjunto amplio de derechos como titulares de datos personales, aplicables en la relación laboral independientemente del tipo de contrato.

Derecho de acceso (derecho de acceso): El trabajador puede solicitar al empleador información sobre sus datos personales almacenados, incluyendo las finalidades del tratamiento, las categorías de datos y la identidad de los receptores. El empleador debe responder en diez días hábiles conforme al artículo 15 del Decreto 1377 de 2013.

Derecho de rectificación (derecho de rectificación): El trabajador puede corregir datos inexactos, incompletos o desactualizados. El empleador debe actualizar el dato en los quince días hábiles siguientes a la solicitud.

Derecho de supresión (derecho de supresión): El trabajador puede solicitar la eliminación de sus datos cuando la base jurídica del tratamiento haya cesado, aunque el empleador podrá conservar los datos necesarios para cumplir obligaciones legales bajo el CST, la Ley 100 de 1993 y el Estatuto Tributario.

Revocatoria del consentimiento: El trabajador puede retirar la autorización otorgada previamente conforme al numeral 5 del artículo 8 de la Ley 1581 de 2012. El empleador debe cesar el tratamiento en el plazo legal, conservando únicamente los datos exigidos por obligaciones normativas.

Derecho de queja ante la SIC: Los trabajadores pueden presentar quejas ante la Delegatura para la Protección de Datos Personales de la SIC cuando el empleador incumpla los plazos legales o rechace solicitudes legítimas. La Corte Constitucional ha reforzado estos derechos mediante la acción de tutela del artículo 86 de la Constitución Política, ofreciendo un mecanismo judicial expedito para los trabajadores cuya protección de datos sea vulnerada.

La Ley 1581 de 2012 y el Decreto 1377 de 2013 no exigen expresamente la designación de un Oficial de Protección de Datos (Data Protection Officer) en Colombia. Sin embargo, el artículo 13 del Decreto 1377 de 2013 obliga a todo responsable del tratamiento a designar una persona o área responsable de implementar las políticas y procedimientos internos de protección de datos y de atender las solicitudes y quejas de los titulares.

En la práctica, esta función suele asignarse al Departamento de Recursos Humanos, al Departamento Legal o a un coordinador de privacidad designado dentro de la organización. Bajo el artículo 12 del Decreto 1377 de 2013, el responsable del tratamiento debe proporcionar a los titulares un canal claro para ejercer sus derechos, lo que requiere identificar la persona o área responsable en el formulario de autorización y en el aviso de privacidad.

La SIC, mediante su práctica de supervisión, ha subrayado que la persona o área designada debe tener suficiente autoridad y recursos para gestionar eficazmente el cumplimiento de la protección de datos, responder a las solicitudes de acceso en diez días hábiles, resolver las quejas en quince días hábiles y coordinar con la SIC durante las investigaciones. Las organizaciones que traten grandes volúmenes de datos sensibles — como empleadores con sistemas biométricos de asistencia o programas completos de salud ocupacional bajo el Decreto 1072 de 2015 — deberían considerar la designación de un profesional dedicado a la privacidad con cualificaciones técnicas y jurídicas apropiadas.

Los expedientes de salud ocupacional en Colombia — incluyendo los exámenes médicos preocupacionales, periódicos y de retiro realizados bajo el artículo 2.2.4.6.24 del Decreto 1072 de 2015 y la Resolución 2346 de 2007 — contienen datos sensibles de salud (datos sensibles de salud) protegidos por el artículo 5 de la Ley 1581 de 2012. La Política de Protección de Datos de Empleados debe establecer protocolos específicos para el manejo de estos expedientes, distinguiendo entre la necesidad legítima del empleador de conocer la aptitud laboral del trabajador y el derecho de este a la confidencialidad médica.

Bajo el artículo 16 de la Resolución 2346 de 2007, el médico ocupacional solo puede entregar al empleador un concepto de aptitud laboral — indicando si el trabajador es apto, apto con restricciones o no apto para el cargo específico — sin revelar el diagnóstico subyacente ni los detalles clínicos. La historia clínica ocupacional completa debe ser conservada por el prestador de salud ocupacional en condiciones de estricta confidencialidad bajo el artículo 34 de la Ley 23 de 1981 (Código de Ética Médica) y la Resolución 1995 de 1999 sobre gestión de historias clínicas.

El empleador no puede acceder a la historia clínica completa del trabajador sin autorización escrita explícita de este. Bajo el Decreto 1072 de 2015, el empleador debe conservar los registros de salud ocupacional durante el período mínimo de veinte años establecido para los registros de exposición ocupacional, garantizando las medidas de seguridad exigidas por el artículo 17 de la Ley 1581 de 2012 y coordinando con la ARL (Administradora de Riesgos Laborales) el manejo de los expedientes de accidentes laborales y enfermedades profesionales.