Habeas Data Colombia: Guía de Cumplimiento para Equipos de Datos

La Ley 1581 de 2012 —conocida como la ley de Habeas Data— regula la recolección, almacenamiento, uso y transferencia de datos personales en Colombia. La Superintendencia de Industria y Comercio (SIC) es la entidad encargada de su vigilancia y control. Las multas pueden alcanzar 2.000 salarios mínimos mensuales legales vigentes por infracción, y las infracciones reiteradas pueden derivar en órdenes de suspensión operativa.

Esta guía está dirigida a los ingenieros y analistas que construyen y operan pipelines de datos — no a los abogados, sino a quienes manejan tablas con información personal.

Read this article in English.

Qué Cuenta Como Dato Personal Bajo la Ley 1581

La ley distingue tres categorías:

Dato público: Nombre, profesión, títulos públicos. Sujeto a la ley pero con tratamiento más liviano.

Dato semiprivado y privado: Historial financiero, registros laborales, información de salud. Aplica consentimiento pleno y limitación de finalidad.

Dato sensible: Origen racial o étnico, opiniones políticas, convicciones religiosas, pertenencia a sindicatos, datos de salud, vida sexual y orientación sexual, datos biométricos. Su tratamiento está prohibido salvo excepciones específicas (consentimiento explícito, interés vital, interés público legítimo). El Artículo 6 de la Ley 1581 los enumera expresamente.

Cualquier tabla que contenga columnas de la categoría sensible requiere controles reforzados: cifrado en reposo, registro estricto de accesos y justificación documentada del tratamiento.

Requisitos del Consentimiento

El consentimiento válido bajo la Ley 1581 debe ser:

Previo: Obtenido antes de iniciar el tratamiento.
Explícito: No puede inferirse del silencio ni de términos generales de servicio.
Informado: Se debe informar la finalidad específica, la identidad del responsable del tratamiento y los derechos del titular.
Revocable: El titular debe poder revocar su consentimiento y solicitar la supresión de sus datos.

Para los equipos de datos, esto significa: si existe una columna en el data warehouse sin una base de consentimiento documentada, es un pasivo legal. La SIC ha sancionado a entidades por retener datos más allá de la finalidad consentida, incluso cuando la recolección inicial fue lícita.

El Rol de la Calidad de Datos en el Cumplimiento

El Artículo 4 de la Ley 1581 establece la calidad del dato como un principio explícito: los datos deben ser exactos, completos, actualizados, verificables y comprensibles. No es lenguaje aspiracional — es una obligación legal.

Los auditores de la SIC formulan preguntas concretas:

¿Puede demostrar que los registros de datos personales están completos y no han sido corrompidos?
¿Puede mostrar cuándo se validaron los datos por última vez y por quién?
¿Puede probar que los registros eliminados fueron efectivamente borrados (no solo marcados)?
¿Sus sistemas detectan y señalan datos personales inexactos antes de que se usen en decisiones?

Un scorecard de calidad de datos con ejecuciones con marca de tiempo, puntajes por dimensión e historial de reglas es evidencia directa del cumplimiento de las obligaciones del Artículo 4.

Lista de Verificación de Cumplimiento para Equipos de Datos (8 Puntos)

[ ] Inventariar todas las tablas con datos personales. Incluir esquema, propietario del dato y clasificación (público / privado / sensible).
[ ] Documentar la base de consentimiento de cada tabla con datos personales. La base legal debe corresponder a un Artículo específico de la Ley 1581 o del Decreto 1377/2013.
[ ] Aplicar controles de acceso a nivel de columna. Las columnas sensibles (salud, biometría, vida sexual) requieren restricciones por rol y registro de auditoría.
[ ] Ejecutar verificaciones automáticas de completitud y exactitud en tablas de datos personales. Generar evidencia con marca de tiempo para auditorías.
[ ] Implementar y probar flujos de eliminación de datos. Verificar que las solicitudes de supresión resulten en eliminación real, no solo en marcadores de borrado lógico.
[ ] Establecer límites de retención. Cada tabla de datos personales debe tener un período máximo de retención documentado, alineado con la finalidad consentida.
[ ] Registrar cada acceso a columnas de datos sensibles. Los registros deben conservarse por al menos cinco años (ventana de auditoría de la SIC).
[ ] Realizar revisiones anuales de calidad de datos. Documentar hallazgos y acciones de remediación para demostrar el cumplimiento continuo del Artículo 4.

Para la versión en inglés de esta guía, consulte Habeas Data Colombia Compliance (EN).

Consulte /pricing para los límites de los planes de DQ y /docs para la documentación de cumplimiento completa.

Preguntas Frecuentes

P: ¿La Ley 1581 aplica a empresas extranjeras que tratan datos de residentes colombianos? R: Sí. La SIC ha sostenido que la ley aplica cuando los titulares de los datos son residentes en Colombia, independientemente del país de constitución del responsable del tratamiento.

P: ¿Cuál es la diferencia entre la Ley 1581 y el Decreto 1377? R: La Ley 1581/2012 es la norma principal. El Decreto 1377/2013 es el reglamento de implementación que detalla los formularios de autorización, los requisitos del aviso de privacidad y el registro ante el Registro Nacional de Bases de Datos.

P: ¿Puede una herramienta de calidad de datos sustituir al asesor jurídico en materia de Habeas Data? R: No. DQ proporciona evidencia del cumplimiento del Artículo 4 (obligaciones de calidad del dato) y ayuda a inventariar y clasificar datos personales. Para los mecanismos de consentimiento, cláusulas contractuales y trámites ante la SIC, se requiere asesoría de un abogado colombiano.

Acerca de DQ. DQ es el motor de calidad de datos que perfila, valida y remedia sus tablas en 90 segundos. Desarrollado por K/20X Labs, Bogotá / NYC.