¿Es obligatoria una Política de Privacidad para todas las empresas colombianas?

Sí, prácticamente hablando. La Ley 1581 de 2012 aplica a cualquier persona natural o jurídica que recolecte, almacene, use, circule o procese datos personales de individuos en Colombia. Esto cubre prácticamente a toda empresa que tenga clientes, empleados, proveedores o visitantes de su sitio web. Las únicas excepciones establecidas en el artículo 2 de la Ley 1581/2012 son: bases de datos mantenidas exclusivamente para uso personal o doméstico; bases de datos mantenidas exclusivamente para seguridad y defensa nacional; y bases de datos mantenidas por agencias de inteligencia. Toda otra organización que maneje datos personales de residentes colombianos debe tener una política formal de tratamiento de datos, implementar sus requisitos (obtener consentimiento previo, habilitar ejercicio de derechos, registrar bases de datos de 5.000+ titulares en el RNBD de la SIC), y poder demostrar cumplimiento si es auditada por la Superintendencia de Industria y Comercio.

¿Cuáles son los derechos de los titulares bajo la ley colombiana de protección de datos?

Conforme al artículo 8 de la Ley 1581 de 2012, los titulares de datos en Colombia tienen los siguientes derechos: (1) Derecho de acceso — conocer qué datos personales suyos están siendo tratados, de forma gratuita al menos una vez al mes; (2) Derecho de rectificación — solicitar la corrección de datos inexactos, incompletos o desactualizados; (3) Derecho de supresión — solicitar la eliminación de datos que ya no son necesarios para el fin original, fueron recolectados sin consentimiento válido, o cuyo tratamiento viola la Ley 1581/2012, salvo que exista obligación legal de conservación; (4) Derecho a prueba de la autorización — recibir evidencia de que su autorización fue debidamente obtenida; (5) Derecho de queja — ante la Superintendencia de Industria y Comercio (SIC) si consideran que sus derechos han sido violados; (6) Derecho de revocación del consentimiento — retirar su autorización para el tratamiento de datos en cualquier momento, sujeto a limitaciones contractuales y legales. Plazos de respuesta: 15 días hábiles para consultas, 15 días hábiles para reclamos formales (prorrogables por 8 días hábiles adicionales con aviso).

¿Qué es el Registro Nacional de Bases de Datos (RNBD) y quién debe inscribirse en Colombia?

El Registro Nacional de Bases de Datos (RNBD) es un registro público administrado por la Superintendencia de Industria y Comercio (SIC) bajo el artículo 25 de la Ley 1581 de 2012 y el Decreto 1074 de 2015 (artículos 2.2.2.25.1 a 2.2.2.25.10). Las organizaciones (responsables del tratamiento de datos personales) que administren bases de datos con 5.000 o más titulares deben inscribir cada base de datos en el RNBD, proporcionando información sobre: la naturaleza de los datos tratados, las finalidades del tratamiento, las medidas de seguridad implementadas, la base legal del tratamiento, si se tratan datos sensibles y la información de transferencias internacionales. La inscripción se realiza a través del portal en línea del RNBD en rnbd.sic.gov.co. No inscribirse cuando se está obligado constituye una infracción sujeta a multas de la SIC. El registro debe actualizarse cuando haya cambios significativos en las condiciones de tratamiento de la base de datos. Las organizaciones con menos de 5.000 titulares no están obligadas a inscribirse, pero deben cumplir con todas las demás obligaciones de la Ley 1581/2012.

¿Qué sanciones puede imponer la SIC por violaciones a la protección de datos en Colombia?

La Superintendencia de Industria y Comercio (SIC) tiene amplias facultades sancionatorias bajo los artículos 22 y 23 de la Ley 1581 de 2012. Las sanciones disponibles incluyen: (1) Multas institucionales de hasta 2.000 SMMLV (aproximadamente COP $2.600 millones a tasas de 2024, o aproximadamente USD $640.000); (2) Multas personales contra los representantes legales, directores u oficiales responsables de la infracción, de hasta 200 SMMLV; (3) Suspensión temporal de las actividades de tratamiento por hasta 6 meses; (4) Suspensión definitiva del tratamiento de bases de datos específicas; (5) Amonestaciones públicas con publicación obligatoria de la sanción en el sitio web de la SIC. La SIC ha usado activamente estos poderes contra importantes empresas colombianas y multinacionales. La SIC también puede ordenar la eliminación inmediata de datos tratados ilegalmente y exigir que se notifique a los afectados. Las sanciones se publican en el informe anual de la Delegatura para la Protección de Datos Personales de la SIC.

¿Cómo deben manejar las empresas colombianas las transferencias internacionales de datos personales?

Las transferencias internacionales de datos personales desde Colombia están reguladas por el artículo 26 de la Ley 1581 de 2012 y los artículos 24-27 del Decreto 1377 de 2013. La regla general es que los datos personales no pueden transferirse a países que no proporcionen niveles adecuados de protección de datos. Las excepciones que permiten la transferencia sin autorización previa de la SIC incluyen: (1) el titular ha dado consentimiento expreso a la transferencia; (2) la transferencia es necesaria para un contrato entre el titular y el responsable; (3) la transferencia es necesaria para proteger intereses vitales del titular; (4) la transferencia es requerida por cooperación internacional entre estados; y (5) la transferencia se hace a países reconocidos como adecuados por la SIC (actualmente los estados miembros de la UE/EEE bajo el marco del RGPD). Para transferencias a países no adecuados sin consentimiento explícito, las empresas deben: obtener autorización previa de la SIC, o implementar cláusulas contractuales tipo entre el responsable y el destinatario, o garantizar que el destinatario se adhiere a normas corporativas vinculantes (BCR) para grupos multinacionales. Los proveedores de servicios en la nube (AWS, Google Cloud, Azure) con sede fuera de Colombia crean obligaciones de cumplimiento de transferencia internacional para sus clientes colombianos.

¿Cómo deben los empleadores colombianos tratar los datos personales de sus empleados?

Los empleadores colombianos que traten datos personales de empleados deben cumplir con la Ley 1581 de 2012 y los lineamientos específicos de la SIC sobre datos laborales. Los requisitos clave incluyen: obtener una autorización específica e informada de los empleados (separada del contrato de trabajo) que cubra todas las finalidades del tratamiento (nómina, seguridad social, beneficios, registros disciplinarios, control de acceso biométrico); limitar la recolección de datos a lo estrictamente necesario para fines laborales (principio de minimización); mantener la confidencialidad de datos de salud, discapacidad, afiliación sindical y otros datos sensibles protegidos bajo el artículo 6 de la Ley 1581/2012; informar a los empleados de sus derechos sobre los datos y cómo ejercerlos; implementar medidas de seguridad proporcionales a la sensibilidad de los datos; y gestionar adecuadamente los datos de empleados al terminar la relación laboral (eliminación segura o anonimización de datos no requeridos legalmente). Para sistemas de asistencia biométrica (lectores de huella, reconocimiento facial), que procesan datos sensibles que requieren autorización explícita, la SIC exige medidas de seguridad reforzadas y ha emitido orientación específica a través de la Circular Externa SIC 003/2018.

¿Qué es el proceso de Habeas Data en Colombia y cómo funciona?

El Habeas Data en Colombia es tanto un derecho constitucional (artículo 15 de la Constitución Política, que protege el derecho a conocer, actualizar y rectificar información personal almacenada en bases de datos) como un derecho estatutario bajo la Ley 1581 de 2012. El proceso administrativo de Habeas Data bajo la Ley 1581/2012 funciona en dos etapas: Etapa 1 — solicitud directa al responsable del tratamiento: el titular presenta una solicitud formal (consulta o reclamo) al contacto de privacidad designado del responsable. El responsable debe responder dentro de los 15 días hábiles para consultas y 15 días hábiles para reclamos formales (prorrogables una vez por 8 días hábiles con aviso escrito). Etapa 2 — queja ante la SIC: si el responsable no responde, da una respuesta insatisfactoria, o el titular considera que hay una violación, puede presentar queja ante la Delegatura para la Protección de Datos Personales de la SIC. La SIC investiga y puede imponer sanciones. Adicionalmente, la acción constitucional de Habeas Data (tutela, artículo 86 de la Constitución) provee un recurso judicial expedito de 10 días cuando derechos fundamentales están amenazados inmediatamente, tramitado por cualquier juez en Colombia. El Habeas Data financiero (relacionado con datos de centrales de riesgo como Datacrédito/TransUnión y Cifin/Experian) está específicamente regulado por la Ley 1266 de 2008.

Política de Privacidad y Tratamiento de Datos Colombia

Política de Privacidad y Tratamiento de Datos Personales Colombia

Ley 1581 de 2012 — Decreto 1377 de 2013 — SIC

POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES

Ley 1581 de 2012 — Decreto 1377 de 2013 — Superintendencia de Industria y Comercio (SIC)

1. RESPONSABLE DEL TRATAMIENTO

[Nombre Empresa], identificada con NIT [NIT], con domicilio en [Domicilio], correo electrónico de privacidad: [Correo Privacidad], teléfono de atención: [Teléfono Atención].

2. MARCO LEGAL

La presente política se expide en cumplimiento de la Ley Estatutaria 1581 de 2012 (por la cual se dictan disposiciones generales para la protección de datos personales), el Decreto Reglamentario 1377 de 2013, el Decreto Único Reglamentario 1074 de 2015 (Libro 2, Parte 2, Título 3), y las instrucciones de la Superintendencia de Industria y Comercio (SIC) como autoridad de protección de datos en Colombia.

3. DATOS PERSONALES TRATADOS Y FINALIDADES

Categorías de datos tratados: [Categorías Datos]

Finalidades del tratamiento: [Finalidades]

4. DERECHOS DE LOS TITULARES

De conformidad con la Ley 1581 de 2012, los titulares de datos personales tienen los siguientes derechos: (i) conocer, actualizar y rectificar sus datos; (ii) solicitar prueba de la autorización otorgada; (iii) ser informados sobre el uso de sus datos; (iv) presentar quejas ante la SIC; (v) revocar la autorización y/o solicitar la supresión de sus datos; y (vi) acceder gratuitamente a sus datos.

Procedimiento para ejercer derechos: [Procedimiento Derechos]

5. TRANSFERENCIAS Y TRANSMISIONES

Terceros destinatarios de datos: [Terceros Destinatarios]

6. MEDIDAS DE SEGURIDAD

[Nombre Empresa] implementa medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los datos personales y evitar su adulteración, pérdida, consulta, uso o acceso no autorizado, conforme al Artículo 17 literal e) de la Ley 1581 de 2012.

7. VIGENCIA

La presente política rige a partir del [Fecha Vigencia] y corresponde a la [Versión]. Cualquier modificación sustancial será informada a los titulares con al menos diez (10) días hábiles de antelación.

Expedida en [Ciudad], el [Fecha Vigencia].

[Nombre Empresa]

NIT: [NIT]

Representante Legal (Legal Representative)

________________

Signature

Mantenido por Vladislav Sergienko, Fundador·Plantilla modificada por última vez: 2026-06-23·Informar de un error

Qué es Política de Privacidad y Tratamiento de Datos Colombia

La Política de Privacidad y Tratamiento de Datos Colombia es el documento corporativo exigido por Ley 1581/2012 y Decreto 1377/2013 que fija las reglas internas de obligatorio cumplimiento para la organización en Colombia.

La Ley 1581 de 2012, reglamentada por el Decreto 1377 de 2013 (compilado en el Decreto Único Reglamentario 1074 de 2015) y las Circulares Externas de la Superintendencia de Industria y Comercio (SIC), establece en su artículo 4 los principios que rigen el tratamiento de datos personales en Colombia: legalidad (el tratamiento debe tener fundamento legal), finalidad (solo para fines determinados, explícitos y legítimos), libertad (requiere autorización previa del titular, salvo excepciones legales), veracidad (datos exactos y actualizados), transparencia (el titular puede conocer el tratamiento en todo momento), acceso y circulación restringida (solo personal autorizado), seguridad (medidas técnicas, humanas y administrativas), y confidencialidad (deber de reserva aun después de terminada la relación con el titular).

El artículo 5 de la Ley 1581/2012 define dato personal como 'cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables'. Colombia distingue entre datos públicos (sentencias judiciales ejecutoriadas, estado civil, profesión, calidad de comerciante), datos semiprivados (datos laborales, financieros básicos), datos privados (vida íntima, datos de salud, biométricos) y datos sensibles (origen racial o étnico, orientación sexual, convicciones políticas o religiosas, datos de salud, datos genéticos y biométricos), estos últimos sujetos a protección reforzada bajo el artículo 6 de la Ley 1581/2012.

La Superintendencia de Industria y Comercio (SIC), a través de su Delegatura para la Protección de Datos Personales, es la autoridad de control y vigilancia de la Ley 1581/2012 en Colombia. La SIC puede imponer sanciones de hasta 2.000 SMMLV (aproximadamente COP $2.600 millones a tasas de 2024) por violaciones graves, suspender temporal o definitivamente el tratamiento de datos no autorizado, y ordenar la supresión de datos personales tratados sin base legal. El Registro Nacional de Bases de Datos (RNBD), administrado por la SIC, obliga a los Responsables del Tratamiento que traten datos de más de 5.000 titulares a registrar sus bases de datos.

El Decreto 1377 de 2013 estableció requisitos específicos para la obtención de la autorización del titular (consentimiento informado), el contenido mínimo de los avisos de privacidad, los procedimientos para atender solicitudes y reclamos de titulares (Habeas Data), y las condiciones para la transferencia internacional de datos personales. Colombia ha reconocido como 'adecuados' para transferencia de datos sin autorización adicional a los países miembros del Espacio Económico Europeo que cumplan el RGPD, conforme a las guías de la SIC alineadas con los estándares de la OCDE a la que Colombia accedió en 2020.

Cuándo necesitas Política de Privacidad y Tratamiento de Datos Colombia

Una Política de Tratamiento de Datos Personales es obligatoria en Colombia para toda empresa, emprendimiento, profesional independiente, ONG o entidad pública que recolecte, almacene, use, procese o comparta datos personales de personas naturales colombianas o residentes en Colombia.

Es especialmente crítico tenerla actualizada y publicada en los siguientes casos: (1) sitios web y aplicaciones móviles que recolecten datos de usuarios colombianos (nombre, correo electrónico, teléfono, datos de pago, geolocalización), pues la Ley 1581/2012 exige obtener autorización previa y expresa antes de recolectar cualquier dato personal; (2) empresas con bases de datos de clientes, proveedores, trabajadores o visitantes, especialmente aquellas con más de 5.000 titulares que deben inscribirse en el Registro Nacional de Bases de Datos (RNBD) de la SIC; (3) plataformas de comercio electrónico donde se procesan datos financieros y de pago; (4) empresas de salud, educación o seguros que tratan datos sensibles (datos de salud, biométricos, orientación sexual) que requieren autorización explícita y política reforzada bajo el artículo 6 de la Ley 1581/2012; (5) empresas que transfieran datos personales al exterior, pues el artículo 26 de la Ley 1581/2012 y el Decreto 1377/2013 exigen garantías específicas para la transferencia internacional; (6) empleadores que manejan datos de candidatos y empleados (historia laboral, datos bancarios, ARL, EPS), conforme a las guías de la SIC para tratamiento de datos en relaciones laborales.

La ausencia de una Política de Tratamiento de Datos debidamente implementada y publicada puede resultar en: sanciones de la SIC de hasta 2.000 SMMLV, acciones de Habeas Data por parte de los titulares ante la SIC, demandas civiles por violación de la intimidad bajo el artículo 15 de la Constitución Política de Colombia, y daño reputacional significativo.

Qué incluir en tu Política de Privacidad y Tratamiento de Datos Colombia

Una Política de Tratamiento de Datos Personales Colombia válida y conforme a la Ley 1581 de 2012 y el Decreto 1377 de 2013 debe contener los siguientes elementos mínimos establecidos por la SIC, más los elementos adicionales que exige el principio de responsabilidad demostrada del Decreto 1377 de 2013.

Identificación del Responsable del Tratamiento: Razón social completa, NIT, domicilio (dirección física y electrónica), datos del área de Habeas Data o Privacidad (correo electrónico dedicado, teléfono), y, si aplica, datos del Encargado del Tratamiento (data processor) cuando una empresa diferente procesa los datos por cuenta del responsable.

Finalidades del tratamiento: Lista exhaustiva y específica de todas las finalidades para las cuales se tratan los datos personales: gestión de clientes, envío de comunicaciones comerciales, cumplimiento de obligaciones legales, gestión de nómina, análisis estadístico, etc. Cada dato personal recolectado debe tener una finalidad lícita, específica y determinada conforme al principio de finalidad del artículo 4.b de la Ley 1581/2012.

Tipos de datos personales tratados: Descripción de las categorías de datos recolectados: datos de identificación (nombre, cédula, fecha de nacimiento), datos de contacto (teléfono, correo, dirección), datos financieros (información bancaria, historial crediticio ante centrales de riesgo como Datacrédito/TransUnión o Cifin/Experian), datos de navegación (cookies, IP, comportamiento en el sitio), y datos sensibles si aplica.

Base de legitimación: Para cada categoría de tratamiento, la base legal conforme al artículo 6 de la Ley 1581/2012: (a) autorización del titular (consentimiento informado, la regla general); (b) obligación legal (ej., reportar información a la DIAN); (c) contrato (ej., ejecutar un contrato con el titular); (d) interés vital (ej., emergencia médica); (e) interés legítimo (ej., prevención de fraude). Para datos sensibles, siempre se requiere autorización explícita.

Derechos del titular y mecanismos de ejercicio: El titular tiene derecho a: (1) conocer, actualizar y rectificar sus datos; (2) solicitar prueba de la autorización otorgada; (3) ser informado sobre el uso de sus datos; (4) presentar quejas ante la SIC; (5) revocar la autorización y/o solicitar la supresión de sus datos cuando proceda; (6) acceder gratuitamente a sus datos al menos una vez al mes. El procedimiento para ejercer estos derechos (plazo de respuesta de 15 días hábiles para consultas y 15 días hábiles para reclamos prorrogables bajo el artículo 22 de la Ley 1581/2012) debe estar claramente descrito.

Autorización: Descripción del mecanismo de obtención del consentimiento del titular antes de recolectar sus datos: formulario en línea con casilla de verificación activa, autorización oral grabada, documento físico firmado, u otras formas admitidas. La autorización debe ser previa, expresa e informada, y debe indicar las finalidades.

Transferencias y transmisiones de datos: Si los datos se comparten con terceros (empresas del grupo, proveedores, anunciantes, autoridades), debe detallarse quiénes son los receptores, con qué finalidad reciben los datos, y qué garantías existen. Para transferencias internacionales a países no declarados como 'adecuados' por la SIC, debe obtenerse autorización del titular o firmarse cláusulas contractuales tipo conforme al artículo 26 de la Ley 1581/2012.

Medidas de seguridad: Descripción general de las medidas técnicas (cifrado, control de acceso, copias de seguridad, monitoreo de intrusiones), organizativas (capacitación del personal, políticas internas, acuerdos de confidencialidad) y jurídicas (contratos con encargados del tratamiento) implementadas para proteger los datos contra pérdida, alteración, acceso no autorizado o divulgación.

Períodos de retención: Tiempo durante el cual se conservarán los datos personales para cada finalidad, siguiendo el principio de minimización y las obligaciones legales de conservación (ej., registros contables por 10 años bajo el Decreto 2649/1993; datos de nómina por el período de prescripción laboral).

Actualización de la política: Procedimiento y frecuencia de revisión de la política, mecanismo de notificación a los titulares de cambios sustanciales. La SIC recomienda una revisión anual como mínimo.

Fecha de vigencia y versión: Toda política de privacidad en Colombia debe indicar su fecha de entrada en vigencia y el número de versión para facilitar el control de cambios. forms-legal.com pone a disposición el modelo de Política de Privacidad Colombia actualizado conforme a los lineamientos de la SIC y los estándares de la OCDE.

Citar esta página

Referencia esta plantilla gratuita en un artículo, programa de estudios o nota de investigación:

APA

Forms Legal. (2026). Política de Privacidad y Tratamiento de Datos Colombia (Colombia) [Legal document template]. Forms Legal. https://forms-legal.com/es/colombia/government/declarations/politica-privacidad-tratamiento-datos-colombia

MLA

"Política de Privacidad y Tratamiento de Datos Colombia (Colombia)." Forms Legal, 2026, https://forms-legal.com/es/colombia/government/declarations/politica-privacidad-tratamiento-datos-colombia.

BibTeX

@misc{formslegal-politica-privacidad-tratamiento-datos-colombia,
  author       = {{Forms Legal}},
  title        = {Política de Privacidad y Tratamiento de Datos Colombia (Colombia)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/es/colombia/government/declarations/politica-privacidad-tratamiento-datos-colombia}},
  note         = {Free legal document template}
}

También disponible para estas jurisdicciones:

Preguntas Frecuentes

Plantilla con referencias legales — Plantilla modificada por última vez en junio de 2026

Esta plantilla se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico. Las leyes varían según la jurisdicción y cambian con el tiempo. Consulte a un abogado cualificado para obtener asesoramiento específico para su situación.Aviso legal completo

¿Encontró un error? Avísenos

Documentos Relacionados

También puede encontrar útiles estos documentos:

Términos y Condiciones del Sitio Web Colombia

Modelo de Términos y Condiciones de Sitio Web para Colombia conforme a la Ley 527 de 1999, la Ley 1480 de 2011 (disposiciones de comercio electrónico), la Ley 1581 de 2012 y la Resolución CRC 5111 de 2017, con cláusulas sobre obligaciones del usuario, propiedad intelectual, limitaciones de responsabilidad, usos prohibidos, ley aplicable y resolución de controversias para sitios web, aplicaciones y plataformas digitales operadas en Colombia o dirigidas a usuarios colombianos.

Contrato de Desarrollo de Software Colombia

Modelo de Contrato de Desarrollo de Software para Colombia conforme a la Ley 23 de 1982, la Decisión 351 de 1993 de la Comunidad Andina, la Ley 1273 de 2009 y el artículo 1602 del Código Civil, con cláusulas sobre alcance del proyecto, entregables, propiedad intelectual, hitos de pago, confidencialidad, garantía y resolución de controversias.