Nueva era del Habeas Data

¿Son los datos personales la nueva moneda? ¿Cómo proteger su valor en la era de la IA y la híper-regulación en Colombia?

En la era digital actual, los datos personales se han convertido, sin duda, en la nueva moneda. Desde startups hasta grandes corporaciones, la forma en que se gestiona la información personal puede definir el éxito o el fracaso de un negocio. No se trata solo de un activo valioso; es la base de la confianza del cliente.

Pero, a medida que el valor de los datos personales aumenta, también lo hace el escrutinio regulatorio. En Colombia, la Superintendencia de Industria y Comercio (SIC) ha intensificado su labor de vigilancia, emitiendo lineamientos que impactan directamente en los modelos de negocio más innovadores.

Ya no es suficiente con adoptar una Política de Privacidad o formatos de autorización; las empresas deben demostrar activamente el cumplimiento de la normativa de protección de datos personales y el Principio de Responsabilidad Demostrada (Accontability). En Legalnova, entendemos que este desafío es también una oportunidad para fortalecer la confianza y asegurar el futuro de su compañía.

El nuevo panorama regulatorio: Más allá del RNBD

Si bien muchas empresas se están preparando para el plazo de actualización del Registro Nacional de Bases de Datos (RNBD) (entre el 2 de enero y el 31 de marzo para empresas con activos superiores a 100.000 UVT), la SIC ha abierto dos nuevos frentes críticos:

1. La frontera de la IA: Circular Externa 002 de 2024

La adopción de sistemas de Inteligencia Artificial (IA) para el tratamiento de datos personales está empezando a ser regulada. La SIC, mediante su Circular Externa 002 de 2024, ha dejado claro que las leyes de protección de datos personales (1581 y 1266) son tecnológicamente neutrales y aplican plenamente al desarrollo y uso de la IA.

Puntos clave de esta circular:

  • Prohibido el Scraping sin autorización: El hecho de que un dato personal esté “accesible al público” en internet (como en redes sociales o páginas web) no lo convierte en un “dato público”. Las empresas no pueden recolectar esta información para entrenar modelos de IA sin la autorización previa, expresa e informada del titular. Esto establece una restricción contundente  con relación al entrenamiento de muchos sistemas de IA.
  • Privacidad desde el diseño y por defecto: Ya no es una sugerencia, es una exigencia. El debido tratamiento de la información debe ser un componente esencial desde la fase de diseño y puesta en marcha de cualquier proyecto de IA que involucre datos personales.
  • Evaluaciones de impacto: Antes de desarrollar o implementar un sistema de IA que pueda entrañar un “alto riesgo” para los titulares, es necesario efectuar y documentar un estudio de impacto de privacidad.
  • Explicabilidad: Quien implemente sistemas de IA para tratar datos personales debe estar en la capacidad de, a solicitud de los titulares, aportar información acerca del tratamiento de la información y los resultados del procesamiento.
2. El foco en las Fintechs: Circular Externa 001 de 2025

El sector Fintech (que incluye billeteras digitales, plataformas de crédito, procesadores de pago y otros servicios que faciliten la inclusión financiera digital) está bajo un microscopio particular. Con la entrada en vigor de la Circular Externa 001 de 2025, la SIC impone reglas que impactan el núcleo de la operación.

Esta circular exige medidas reforzadas y establece prohibiciones y obligaciones muy concretas:

  • Prohibición de prácticas invasivas: Se prohíbe explícitamente el acceso a la galería de imágenes o a la lista de contactos del usuario con fines de cobranza.

  • Reglas estrictas para datos biométricos: El uso de biometría (ej. reconocimiento facial para onboarding) ahora requiere:

    • Informar al usuario y justificar su necesidad.

    • Implementar medidas de seguridad reforzadas.

    • Prohibición de compartir estos datos con terceros o usarlos para alimentar bases de datos biométricas centralizadas.

    • La obligación de suprimir los datos biométricos una vez terminada la relación contractual.

  • Separación obligatoria de finalidades: Este es un cambio sustancial. Se debe diferenciar claramente en la autorización las finalidades que son necesarias para prestar el servicio de aquellas que son accesorias (como marketing, publicidad, etc.). El usuario debe poder rechazar las finalidades accesorias sin que esto afecte la prestación del servicio principal.

  • Derecho a la “explicabilidad”: Los usuarios adquieren el derecho a solicitar y recibir explicaciones claras y comprensibles sobre decisiones automatizadas que les resulten desfavorables (como la negación de un crédito por un algoritmo). Esta obligación debe reflejarse en las políticas de tratamiento y se conecta directamente con los lineamientos de la Circular 002 de 2024.

Principios clave para un cumplimiento robusto (y demostrable)

El cumplimiento debe ser proactivo, no reactivo. La regla de oro es la Responsabilidad Demostrada (Accountability). Los administradores de datos personales deben ser capaces de demostrar que han implementado medidas efectivas.

Para lograrlo, su estrategia debe basarse en estos pilares:

  • Transparencia

Ser transparente sobre cómo maneja los datos es una ventaja estratégica. Genera confianza, mejora la reputación y fomenta la lealtad.

Esto se traduce en políticas de privacidad claras y concisas (especialmente explicando el uso de IA y otros métodos de toma de decisiones automatizados), mecanismos fáciles para que los clientes accedan y rectifiquen sus datos, y una comunicación abierta.

  • Privacidad desde el Diseño y por Defecto

Como exige la nueva circular, la privacidad debe estar integrada en sus sistemas desde el primer boceto. 

Al planificar un nuevo proyecto, pregúntese: ¿Cómo minimizamos los datos que recolectamos? ¿Cómo los anonimizamos o pseudo-anonimizamos? ¿Cómo garantizamos los derechos del titular dentro de la nueva tecnología?

Navegar este complejo panorama regulatorio requiere más que un simple checklist. En Legalnova, convertimos el cumplimiento en una ventaja competitiva.

Nuestro portafolio de servicios está diseñado para blindar su operación y prepararla para el futuro:
  • Auditoría y diagnóstico de cumplimiento: Analizamos su estado actual frente a todas las regulaciones aplicables (incluyendo las nuevas circulares de IA y Fintech) y le entregamos una hoja de ruta clara.
  • Implementación y ajuste del PIGDP: Construimos o fortalecemos su Programa Integral de Gestión de Datos Personales, asegurando que sus políticas, autorizaciones, contratos y protocolos (como el de gestión de incidentes) cumplan con el principio de Accountability.
  • Asesoría en proyectos basados en datos (IA & Innovación): Lo guiamos en la estructuración legal de nuevos proyectos (especialmente aquellos con IA), realizando las Evaluaciones de Impacto de Privacidad (EIP) y garantizando la “Privacidad desde el Diseño”.
  • Gestión de obligaciones (RNBD): Nos encargamos del registro y actualización de sus bases de datos ante el RNBD, asegurando el cumplimiento del plazo del 31 de marzo.
  • Respuesta y defensa ante la SIC: Lo representamos y elaboramos las respuestas a requerimientos de la autoridad, y lo defendemos en procedimientos administrativos sancionatorios.
  • Capacitaciones y talleres: Entrenamos a sus equipos para que la protección de datos se convierta en parte de la cultura de su empresa.

 

Proteja sus activos digitales, genere confianza en sus clientes y asegure el futuro de su compañía.
Contáctanos
Cecilia Sierra 1

Escrito por:

Cecilia Sierra

Thinker Lawyer

 

Sanciones OFAC a Petro

Imponer retención a Bre-B es un error

,

Tax Talk – Septiembre: Claves y novedades tributarias