Protección de datos personales en Colombia habeas data

La protección de datos personales en Colombia se rige por la Ley 1581 de 2012, la Ley 1266 de 2008 y la Ley 1273 de 2009. Frente al crecimiento de ciberataques en 2026, conocer tus derechos (habeas data) y las obligaciones de las empresas que tratan datos es esencial. Esta guía explica qué hacer si tus datos son vulnerados, dónde denunciar, las sanciones que enfrentan las empresas y la indemnización que puedes reclamar.

Tiempo de lectura: 9 minutos. Última actualización: 13 de mayo de 2026.

El Derecho al Habeas Data

El habeas data es el derecho fundamental que tiene toda persona a conocer, actualizar, rectificar y suprimir los datos personales que estén en bases de datos públicas o privadas (Art. 15 de la Constitución y Ley 1581 de 2012).

Implica:

  • Derecho a conocer: qué datos tienen sobre ti, quién los recolectó y para qué.
  • Derecho a actualizar: corregir datos desactualizados.
  • Derecho a rectificar: corregir datos inexactos.
  • Derecho a suprimir: pedir la eliminación de datos cuando ya no son necesarios o se obtuvieron sin autorización.
  • Derecho de oposición: negarte a tratamientos específicos.
  • Derecho a la portabilidad: trasladar tus datos a otro responsable.

Categorías de Datos Personales

  • Datos públicos: nombres, profesión, oficio (libres de tratamiento).
  • Datos semiprivados: información financiera, crediticia, tributaria.
  • Datos privados: información de propiedad, hábitos de consumo.
  • Datos sensibles: salud, orientación sexual, biometría, opinión política, religión. Requieren consentimiento expreso y reforzado.
  • Datos de menores de edad: protección especial. Solo se tratan con consentimiento de representante legal.

Obligaciones de las Empresas (Responsables y Encargados)

  • Solicitar autorización expresa antes de recolectar datos.
  • Informar la finalidad del tratamiento.
  • Adoptar políticas de privacidad y manuales internos.
  • Implementar medidas de seguridad físicas, lógicas y administrativas.
  • Designar oficial de protección de datos en empresas grandes.
  • Registrar bases de datos en el Registro Nacional de Bases de Datos (RNBD) cuando aplique.
  • Notificar incidentes de seguridad a la SIC y a los titulares dentro de 15 días hábiles.
  • Atender peticiones, quejas y reclamos en plazos legales.

Ciberataques: Tipos Más Comunes en Colombia

  • Phishing: correos o mensajes falsos para robar credenciales.
  • Ransomware: secuestro de información con exigencia de rescate.
  • Suplantación de identidad: uso indebido de datos para obtener crédito o realizar trámites.
  • Robo de datos en bases vulneradas: filtraciones masivas que circulan en la deep web.
  • Fraude electrónico: transacciones no autorizadas en cuentas y tarjetas.
  • Hackeo de redes sociales y correo: con fines de extorsión, suplantación o sabotaje.

Qué Hacer Si Tus Datos Fueron Vulnerados

  1. Cambia tus contraseñas inmediatamente (correo, banco, redes sociales).
  2. Activa doble factor de autenticación donde sea posible.
  3. Bloquea tus tarjetas y reporta movimientos no reconocidos al banco.
  4. Verifica tus reportes en centrales de riesgo (DataCrédito, TransUnion, ProCrédito).
  5. Denuncia ante la Fiscalía: delitos informáticos (CAI Virtual, CTI).
  6. Reporta a la SIC: si hay tratamiento indebido de datos por parte de una empresa.
  7. Notifica a la Superintendencia Financiera: si involucra entidades del sector financiero.
  8. Conserva pruebas: capturas de pantalla, correos, registros bancarios.

Autoridades Competentes para Denunciar

  • Superintendencia de Industria y Comercio (SIC): protección de datos personales (sic.gov.co).
  • Superintendencia Financiera: fraudes en entidades financieras.
  • Fiscalía General: delitos informáticos (Ley 1273 de 2009).
  • CAI Virtual: denuncia inicial (caivirtual.policia.gov.co).
  • Centro Cibernético Policial: investigación técnica.
  • SuperServicios y SuperSolidaria: en empresas de servicios públicos y solidarias.

Delitos Informáticos: Ley 1273 de 2009

Estos son los principales tipos penales aplicables:

  • Acceso abusivo a sistema informático (Art. 269A): 48 a 96 meses de prisión.
  • Obstaculización de sistema o redes (Art. 269B): 48 a 96 meses.
  • Interceptación de datos informáticos (Art. 269C): 36 a 72 meses.
  • Daño informático (Art. 269D): 48 a 96 meses.
  • Uso de software malicioso (Art. 269E): 48 a 96 meses.
  • Violación de datos personales (Art. 269F): 48 a 96 meses.
  • Suplantación de sitios web (Art. 269G): 48 a 96 meses.
  • Hurto por medios informáticos (Art. 269I): 48 a 120 meses.
  • Transferencia no consentida de activos (Art. 269J): 48 a 120 meses.

Sanciones para Empresas Que Incumplen

La SIC puede imponer:

  • Multas hasta de 2.000 SMMLV (aproximadamente $2.847.000.000 en 2026).
  • Suspensión temporal o definitiva del tratamiento de datos.
  • Cierre de bases de datos.
  • Inhabilitación para realizar tratamientos.
  • Cierre temporal del establecimiento.

Las sanciones se imponen tras investigación, en la que la empresa puede defender la diligencia adoptada.

Indemnización por Daños

Si la vulneración de tus datos te causó perjuicios económicos o morales, puedes demandar civilmente para reclamar indemnización. El proceso es ante Juez Civil. Pruebas necesarias:

  • Acreditar el tratamiento indebido o vulneración.
  • Demostrar el daño (afectación financiera, reputacional, emocional).
  • Probar nexo causal entre el hecho y el daño.

La acción civil se ejerce independientemente de la sanción administrativa o penal.

Suplantación de Identidad: Pasos Adicionales

  • Denuncia inmediata ante la Fiscalía con copia a la SIC.
  • Reporta a las centrales de riesgo para bloquear nuevos reportes.
  • Solicita a las entidades financieras la marca de suplantación en tu reporte.
  • Reúne y conserva los soportes (denuncia, peritaje, comunicaciones).
  • Solicita corrección de reportes erróneos en bases crediticias.
  • Si te demandan por deudas que no contrajiste, propón excepción de suplantación con la denuncia.

Buenas Prácticas para Prevenir Incidentes

  • Usa contraseñas únicas y robustas para cada servicio.
  • Activa autenticación en dos pasos en todas tus cuentas críticas.
  • No respondas correos ni mensajes sospechosos pidiendo datos personales o financieros.
  • Verifica que las páginas web tengan candado (HTTPS) antes de ingresar datos.
  • Actualiza tus dispositivos y antivirus regularmente.
  • Revisa periódicamente tus movimientos bancarios y centrales de riesgo.
  • Evita compartir información sensible en redes sociales.

Obligaciones Frente al Empresariado

Si gestionas una empresa, garantiza el cumplimiento normativo:

  • Adopta política de privacidad y manual de tratamiento de datos.
  • Capacita al personal.
  • Inscribe tus bases de datos en el RNBD si superas el umbral legal.
  • Pacta contratos de transferencia y transmisión con encargados.
  • Documenta incidentes y reporta a la SIC.
  • Realiza auditorías periódicas de seguridad informática.

Conclusión y Asesoría

La protección de datos personales es derecho fundamental y deber empresarial. Ante incidentes, la respuesta temprana minimiza el daño y maximiza las posibilidades de sanción y resarcimiento. Contáctanos para asesoría en cumplimiento normativo o para acompañarte en la denuncia y reclamación cuando tus datos hayan sido vulnerados.

Lecturas relacionadas

Recommended Posts

Registro de marca en Colombia ante la SIC
Cómo Registrar tu Marca en Colombia 2026 — Pasos, Costos y Protección
Abogados en Toberín
Guía Legal: Cómo Disolver una Sociedad en Bogotá – Asesoría Profesional para tu Negocio
Cómo Responderle a la DIAN con Éxito
Guía Práctica: Cómo Responderle a la DIAN con Éxito – Asesoría Legal en Bogotá
Beneficios-de-la-Asesorya-Jurydica-Preventiva-para-Empresas-en-Colombia
Beneficios de la Asesoría Jurídica Preventiva para Empresas en Colombia