Compliance · Protección de datos personales en Colombia

Ley 1581 de 2012 (Habeas Data) explicada: guía completa para empresas en Colombia.

La Ley 1581 de 2012 es la norma central de protección de datos personales en Colombia. Esta guía cubre qué es, a quién aplica, qué autorización debe obtenerse del titular, los derechos garantizados, las sanciones que puede imponer la SIC y cómo aplicarla específicamente en procesos de verificación de antecedentes, KYC y debida diligencia empresarial.

En esta guía

  1. Qué es la Ley 1581 de 2012 y a quién aplica
  2. Tipos de datos personales según la ley
  3. La autorización: previa, expresa, informada
  4. Los 5 derechos del titular
  5. Registro Nacional de Bases de Datos (RNBD)
  6. Sanciones de la SIC y responsabilidad
  7. Aplicación en verificación de antecedentes

Qué es la Ley 1581 de 2012 y a quién aplica

La Ley 1581 de 2012, reglamentada por el Decreto 1377 de 2013, es la ley colombiana de Protección de Datos Personales, comúnmente conocida como "Habeas Data" (literalmente, "tengas los datos"). Establece el marco normativo para el tratamiento de datos personales por parte de personas naturales o jurídicas, públicas o privadas en territorio colombiano.

Aplica a cualquier organización en Colombia que realice tratamiento de datos personales: empresas privadas, entidades públicas, fundaciones, profesionales independientes, plataformas digitales y, prácticamente, cualquier actor que recolecte información identificable de personas naturales. La autoridad competente para vigilancia y sanción es la Superintendencia de Industria y Comercio (SIC).

El "tratamiento" de datos personales incluye: recolección, almacenamiento, uso, circulación, transferencia, transmisión o supresión. Es decir, casi cualquier acción que toque información personal cae bajo la ley.

Tipos de datos personales según la ley

La Ley 1581 distingue cuatro categorías de datos según su grado de sensibilidad, lo que determina las exigencias para su tratamiento:

  1. Datos públicos: accesibles libremente por su naturaleza (sentencias judiciales firmes, datos del Registro Mercantil, datos de servidores públicos en SIGEP). No requieren autorización para su consulta cuando ya son públicos.
  2. Datos semiprivados: interesan a un grupo determinado (datos financieros, historial crediticio en DataCrédito/Cifin). Requieren autorización del titular.
  3. Datos privados: solo interesan al titular (datos de correspondencia personal, ubicación). Tratamiento requiere autorización expresa.
  4. Datos sensibles: categoría especial: salud, biometría, orientación política o religiosa, vida sexual, datos de niños. Su tratamiento está prohibido por regla general, con excepciones taxativas.

Los antecedentes de una persona son típicamente datos privados o, en el caso de inhabilidades y antecedentes penales, datos públicos cuando ya están publicados oficialmente. Pero su consulta sistemática y su tratamiento por un tercero (empleador, banco) requiere autorización del titular.

La autorización: previa, expresa, informada

El concepto central de la Ley 1581 es la autorización del titular. Para que sea válida, debe cumplir tres requisitos simultáneos:

  • PREVIA: obtenida antes del tratamiento, no después. No vale recolectar primero y pedir autorización después.
  • EXPRESA: manifestada activamente por el titular. El silencio, la inacción o el aceptar términos sin leer no constituyen autorización válida.
  • INFORMADA: el titular debe saber qué datos se tratarán, para qué finalidad, quién es el responsable, qué derechos tiene y cómo ejercerlos.

En la práctica, la autorización válida puede constar por:

  • Documento físico firmado (contrato con cláusula de tratamiento, formato de aplicación al empleo).
  • Formulario digital con casilla de aceptación explícita (no marcada por defecto) y trazabilidad probatoria (timestamp, IP, hash).
  • Aceptación verbal grabada con consentimiento del titular sobre la grabación.
  • Cualquier mecanismo con valor probatorio equivalente.

El responsable del tratamiento debe poder demostrar que obtuvo la autorización si la SIC lo requiere o si el titular reclama. La carga probatoria recae en el responsable, no en el titular.

Los 5 derechos del titular

La Ley 1581 garantiza al titular cinco derechos principales sobre sus datos personales:

  1. Acceso: conocer qué datos personales suyos están siendo tratados por el responsable, con qué finalidad y por cuánto tiempo.
  2. Rectificación: corregir datos inexactos, incompletos o erróneos. El responsable debe rectificar en plazos razonables.
  3. Actualización: mantener los datos al día (cambios de domicilio, estado civil, etc.). El responsable debe actualizar al recibir la notificación.
  4. Supresión: solicitar la eliminación de los datos. Aplican excepciones: si los datos son necesarios para cumplir obligaciones legales o contractuales vigentes, no procede la supresión inmediata.
  5. Revocación de autorización: retirar el consentimiento en cualquier momento. Una vez revocado, el responsable debe cesar el tratamiento (salvo excepciones legales).

El titular ejerce estos derechos directamente ante el responsable (mediante un canal definido) o, ante incumplimiento, mediante queja ante la SIC. La empresa debe tener canales claros publicados (correo, formulario web) para recibir estas solicitudes y debe responder en máximo 15 días hábiles.

Registro Nacional de Bases de Datos (RNBD)

El RNBD es el registro público que mantiene la SIC con todas las bases de datos personales tratadas en Colombia. Cualquier base con datos personales de más de 100 titulares debe estar inscrita.

El registro es gratuito y en línea, y requiere informar:

  • Identificación del responsable del tratamiento.
  • Identificación del encargado (si aplica).
  • Nombre y finalidad de cada base de datos.
  • Categorías de datos tratados (generales, sensibles, etc.).
  • Medidas de seguridad implementadas.
  • Política de tratamiento de datos personales publicada por la empresa.

Hay exenciones limitadas: datos del personal interno de la empresa, datos de la actividad económica habitual del responsable (clientes existentes con relación contractual activa), y datos exclusivamente domésticos. Estas exenciones son taxativas; ante duda, lo recomendable es registrar.

La omisión del registro es una infracción sancionable que la SIC ha venido aplicando con creciente rigor en los últimos años.

Sanciones de la SIC y responsabilidad

El régimen sancionatorio de la Ley 1581 es uno de los más severos de Latinoamérica. La SIC puede imponer:

  • Multas de hasta 2.000 SMMLV (~2.844 millones de COP en 2026) por infracciones graves. Las multas se aplican por incidente y pueden acumularse.
  • Suspensión temporal de actividades relacionadas con el tratamiento.
  • Cierre temporal de operaciones que vulneren la ley.
  • Cierre definitivo en casos de reincidencia grave.
  • Publicación de la sanción en medios de circulación nacional, con costo a cargo del sancionado.

Adicionalmente, hay responsabilidad civil por daños y perjuicios al titular (lucro cesante, daño moral, daño a la honra), y en casos graves responsabilidad penal bajo el artículo 269F del Código Penal ("Violación de datos personales"), con penas de 4 a 8 años de prisión.

Casos recientes de sanciones SIC visibles incluyen multas a entidades financieras, telecomunicaciones, plataformas digitales y empresas de servicios públicos por mal manejo de datos de clientes, falta de autorización válida, omisión del RNBD o brechas de seguridad no reportadas.

Aplicación en verificación de antecedentes y KYC

La verificación de antecedentes es uno de los casos de uso más relevantes de la Ley 1581 en el contexto empresarial colombiano. Implica tratamiento de datos personales (en algunos casos sensibles), provenientes de fuentes oficiales del Estado, con finalidad de evaluación de una persona por parte de un tercero (empleador, banco, arrendador).

El cumplimiento exige:

  1. Autorización previa, expresa e informada del titular antes de cualquier consulta. La autorización debe especificar las fuentes a consultar y la finalidad (proceso de selección, KYC, arrendamiento).
  2. Limitación de finalidad: los datos obtenidos en una verificación de antecedentes deben usarse solo para el fin autorizado. No pueden compartirse con terceros sin nueva autorización.
  3. Seguridad y confidencialidad: el responsable debe implementar medidas técnicas y organizativas para proteger los datos (cifrado, control de acceso, registros de auditoría).
  4. Conservación proporcional: los certificados de antecedentes deben conservarse durante el plazo necesario para la finalidad (relación laboral + periodo razonable post-terminación para defensa legal), no indefinidamente.
  5. Canales para ejercicio de derechos: el titular puede solicitar acceso, rectificación, supresión y revocación. La empresa debe tener procedimientos definidos para responder en máximo 15 días.
  6. Política de tratamiento publicada: es obligatorio publicar la Política de Tratamiento de Datos Personales en un canal accesible (típicamente, en el sitio web).

Simple Verify proporciona plantillas de autorización conformes con la SIC, registra cada consulta para trazabilidad probatoria, y deja la responsabilidad de obtener el consentimiento en quien realiza la verificación. La empresa empleadora (o arrendador, o fintech) es la responsable del tratamiento; Simple Verify actúa como encargado del tratamiento bajo contrato de transferencia de datos.

¿Necesitas iniciar verificaciones cumpliendo con la Ley 1581? Crea tu cuenta gratis. Incluimos plantilla de autorización conforme con la SIC.

FAQ

Preguntas frecuentes sobre la Ley 1581 de 2012 (Habeas Data).

¿Qué es la Ley 1581 de 2012 y a quién aplica?

La Ley 1581 de 2012 es la ley colombiana de Protección de Datos Personales, comúnmente conocida como "Habeas Data". Establece las reglas para el tratamiento de datos personales por parte de personas naturales o jurídicas, públicas o privadas. Aplica a cualquier organización en Colombia que recolecte, almacene, use o transfiera datos personales: empresas, fundaciones, entidades públicas, profesionales independientes y plataformas digitales.

¿Qué se considera un dato personal según la Ley 1581?

Un dato personal es cualquier información que permita identificar o hacer identificable a una persona natural. Incluye: nombre, número de cédula, dirección, teléfono, correo electrónico, biometría (huella, rostro), datos financieros, datos de ubicación, historial laboral, antecedentes y cualquier información que combinada permita identificar al titular. La ley distingue entre datos personales generales, semiprivados (financieros), privados (correspondencia) y sensibles (salud, biometría, orientación política o sexual).

¿Qué es la autorización previa, expresa e informada que exige la Ley 1581?

Es el consentimiento que el titular del dato debe dar antes de que su información sea tratada. Debe cumplir tres requisitos: PREVIA (antes del tratamiento, no después), EXPRESA (no se presume del silencio o la inacción) e INFORMADA (el titular sabe qué datos, para qué finalidad, quién es el responsable y qué derechos tiene). En la práctica, esta autorización se obtiene mediante cláusulas firmadas en contratos, formularios web con casillas explícitas, o mecanismos digitales con trazabilidad probatoria.

¿Qué derechos tiene el titular del dato según la Ley 1581?

El titular tiene cinco derechos principales: 1) ACCESO: conocer qué datos personales suyos están siendo tratados. 2) RECTIFICACIÓN: corregir datos inexactos o incompletos. 3) ACTUALIZACIÓN: mantener sus datos al día. 4) SUPRESIÓN: solicitar la eliminación de sus datos (con excepciones legales). 5) REVOCACIÓN: retirar la autorización de tratamiento en cualquier momento. Adicionalmente puede presentar quejas ante la SIC (Superintendencia de Industria y Comercio) si considera vulnerados sus derechos.

¿Qué sanciones impone la Ley 1581 por incumplimiento?

La SIC puede imponer sanciones de hasta 2.000 SMMLV (~2.844 millones de COP en 2026) por infracciones graves, además de suspensión de actividades de tratamiento de datos, cierre temporal o definitivo de operaciones relacionadas, y publicación de la sanción. También hay responsabilidad civil por daños y perjuicios al titular, y en casos graves, responsabilidad penal por violación de habeas data (art. 269F Código Penal). Las multas se aplican por incidente y pueden acumularse.

¿Cómo aplica la Ley 1581 a la verificación de antecedentes?

La verificación de antecedentes implica tratamiento de datos personales sensibles, por lo tanto está plenamente bajo el alcance de la Ley 1581. Antes de consultar antecedentes de cualquier persona (candidato, empleado, arrendatario, cliente fintech), la empresa debe: 1) obtener autorización expresa, previa e informada del titular, 2) limitar el uso de los datos a la finalidad autorizada, 3) garantizar confidencialidad y seguridad de la información, 4) permitir al titular ejercer sus derechos. Simple Verify proporciona plantillas de autorización conformes con la SIC.

¿Existen excepciones para tratar datos sin autorización?

Sí, la Ley 1581 establece excepciones específicas: 1) cuando el tratamiento es necesario en el marco de un contrato (ej. nómina), 2) cuando lo exige una norma legal o judicial (ej. requerimiento de fiscalía), 3) cuando es de naturaleza pública (datos en bases públicas oficiales), 4) en caso de urgencia médica o sanitaria, 5) para fines históricos, estadísticos o científicos con anonimización, 6) cuando la consulta proviene de una entidad obligada por SARLAFT a hacer KYC. Las excepciones son taxativas: si el caso no está expresamente listado, se requiere autorización.

¿Hay que registrar las bases de datos ante la SIC?

Sí, cualquier base de datos con información personal de más de 100 titulares debe estar registrada en el Registro Nacional de Bases de Datos (RNBD) de la SIC. El registro es gratuito y se hace en línea. Quedan exentos solo casos muy específicos (datos personales del personal interno de la empresa, datos de la actividad económica habitual del responsable, datos exclusivamente domésticos). La omisión del registro es una infracción sancionable.

Lecturas relacionadas

Cumple con la Ley 1581 desde el primer día.

Plantillas de autorización conformes con la SIC incluidas. Primera consulta gratis al confirmar el correo.

Crear cuenta gratis