top of page
Buscar

Multas millonarias por incumplimiento en la protección de datos sensibles: Un enfoque desde la protección de datos y el derecho societario

  • Foto del escritor: www.riskgroupinternational.com
    www.riskgroupinternational.com
  • 9 jul
  • 4 Min. de lectura


1. Introducción


En la era digital, los datos personales han adquirido un valor incalculable para las organizaciones, convirtiéndose en uno de los activos más estratégicos. Dentro de ellos, los datos sensibles —aquellos que pueden generar discriminación o afectación a la intimidad del titular— requieren una protección reforzada por su especial naturaleza y el riesgo que implica su tratamiento indebido. En Colombia, la Ley 1581 de 2012 y su normativa complementaria establecen un marco jurídico robusto, pero su desconocimiento o inobservancia por parte de las empresas ha derivado en sanciones de altísimo impacto económico y reputacional.


Este artículo explora desde una perspectiva práctica y jurídica las sanciones impuestas por el incumplimiento del régimen de protección de datos sensibles, y cómo estos hechos comprometen no solo la responsabilidad administrativa sino también la responsabilidad societaria de los administradores. Así mismo, se presentarán casos reales sancionados por la Superintendencia de Industria y Comercio (SIC), y se ofrecerán lineamientos para la adecuada gestión del cumplimiento normativo en esta materia.


2. Marco conceptual: Datos personales vs. datos sensibles


La Ley 1581 de 2012, en su artículo 3 literal c), define los datos sensibles como aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar discriminación. Entre ellos se encuentran los datos sobre:


  • Origen racial o étnico

  • Orientación política

  • Convicciones religiosas o filosóficas

  • Pertenencia a sindicatos

  • Salud

  • Vida sexual

  • Datos biométricos (huella, rostro, iris, voz, entre otros)


A diferencia de los datos personales comunes, los datos sensibles gozan de una protección reforzada: su tratamiento está prohibido, salvo que se cuente con el consentimiento explícito, previo e informado del titular, o se configure alguna de las excepciones taxativamente señaladas por la ley (e.g., por razones de salud pública, o cuando sea necesario para el cumplimiento de obligaciones legales del responsable del tratamiento).


El tratamiento indebido de estos datos implica una vulneración directa al derecho fundamental al habeas data, consagrado en el artículo 15 de la Constitución Política, y puede dar lugar a responsabilidades administrativas, civiles e incluso penales.


3. Marco normativo y sancionatorio en Colombia


3.1. Ley 1581 de 2012 y su régimen reglamentario


Esta ley establece las condiciones para el tratamiento legítimo de la información personal y sensible. El Decreto 1377 de 2013 desarrolla aspectos procedimentales del régimen de protección de datos, especialmente en cuanto a la autorización, la política de tratamiento, y el ejercicio de los derechos del titular.


Las empresas, como responsables o encargadas del tratamiento, deben:

  • Obtener el consentimiento previo, expreso e informado del titular.

  • Implementar medidas técnicas, humanas y administrativas para garantizar la seguridad de la información.

  • Permitir el ejercicio de derechos de acceso, corrección, supresión y revocatoria.

  • Mantener registros actualizados y notificar incidentes de seguridad.


3.2. Sanciones administrativas de la SIC


La Superintendencia de Industria y Comercio ha hecho uso de las sanciones contempladas en el artículo 23 de la Ley 1581 de 2012:


  • Multas hasta por 2.000 SMLMV, equivalentes a más de 2.600 millones de pesos en 2025.

  • Suspensión de actividades de tratamiento de datos personales.

  • Cierre temporal o definitivo de operaciones de tratamiento.

  • Orden de eliminación de datos.

  • Publicación de la decisión sancionatoria en medios.


Estas sanciones se aplican en procesos sancionatorios en los que se verifica la violación de principios, derechos o deberes legales relacionados con la protección de datos.


3.3. Régimen penal complementario


El Código Penal Colombiano tipifica en su artículo 269F el delito de violación de datos personales, con penas de 48 a 96 meses de prisión y multas de hasta 1.500 salarios mínimos. Se configura cuando se suministra, intercambia, extrae, retiene o modifica sin autorización bases de datos personales o se vulneran medidas de seguridad para acceder a ellas.


4. Impacto en el derecho societario


La protección de datos personales no solo involucra el cumplimiento administrativo. También tiene implicaciones en el gobierno corporativo y la responsabilidad societaria de los administradores.


4.1. Deber de diligencia y lealtad


La Ley 222 de 1995, en su artículo 23, establece que los administradores deben actuar con diligencia, lealtad y buena fe. En consecuencia, el diseño, implementación y supervisión de los mecanismos para la protección de datos sensibles se convierte en una obligación fiduciaria.


Si se omite esta responsabilidad, los administradores pueden ser responsables patrimonialmente por los perjuicios causados a la sociedad o a terceros.


4.2. Riesgos reputacionales y financieros


Una sanción de la SIC o una filtración de datos sensibles puede afectar:


  • El valor comercial de la empresa (afectando su reputación ante clientes y aliados).

  • Procesos de fusión, adquisición o inversión, al impactar negativamente en la debida diligencia.

  • Confianza de los socios e inversionistas, quienes pueden perder interés en una empresa con antecedentes de incumplimiento.


4.3. Acciones sociales y derivadas


Los socios podrían iniciar acciones de responsabilidad contra administradores que hayan incurrido en omisión grave o negligencia en la implementación de sistemas de protección de datos, especialmente si ello ha derivado en sanciones económicas o pérdidas reputacionales para la compañía.


5. Buenas prácticas para evitar sanciones


Una empresa que trata datos personales, y especialmente sensibles, debe adoptar un enfoque preventivo de cumplimiento. Las siguientes prácticas son esenciales:


  • Consentimiento explícito documentado, especialmente en entornos laborales y de salud.

  • Evaluaciones de impacto a la privacidad (PIA o DPIA) para identificar y mitigar riesgos en proyectos que involucren datos sensibles.

  • Diseño de políticas internas claras sobre tratamiento y custodia de la información.

  • Implementación de un Sistema de Gestión de Protección de Datos Personales (SGPDP), alineado con normas internacionales (ISO/IEC 27001 y 27701).

  • Capacitación regular al personal en temas de privacidad y seguridad.

  • Registro y actualización en el RNBD conforme lo exige la SIC.

  • Gestión de proveedores con cláusulas contractuales específicas sobre protección de datos.

  • Auditorías internas periódicas para monitorear el cumplimiento.


Estas medidas no solo previenen sanciones, sino que fortalecen la gobernanza organizacional y la confianza del mercado.


6. Conclusión


El tratamiento inadecuado de datos sensibles representa un riesgo jurídico, financiero y reputacional para cualquier organización. Las sanciones impuestas por la SIC, que pueden superar los 2.000 millones de pesos, son apenas una expresión del costo que puede implicar una mala gestión de la privacidad.


Más allá de las multas, se encuentra comprometida la responsabilidad de los administradores, quienes deben actuar con diligencia y previsión, especialmente en un entorno donde la protección de datos personales se convierte en un indicador de madurez corporativa.


Gestionar correctamente los datos sensibles, a través de políticas, sistemas de gestión, auditoría y cultura organizacional, no solo es una obligación legal sino una condición de sostenibilidad y ética empresarial.

Comentarios

Obtuvo 0 de 5 estrellas.
Aún no hay calificaciones
Agrega una calificación
bottom of page