Imagen tomada de Freepik

 

Se radicó proyecto de ley para actualizar normativa de protección de datos personales en Colombia

 

El proyecto busca fortalecer el régimen jurídico relacionado con protección de datos personales e incluye incrementar las sanciones a infractores hasta 10.000 SMMLV o, incluso, que equivalgan a 5% de sus ingresos

 

 

En un paso decisivo hacia la modernización del marco legal de protección de datos personales en Colombia, el 27 de agosto de 2025 fue radicado ante la Secretaría General de la Cámara de Representantes, el proyecto de ley que modifica parcialmente la Ley Estatutaria 1581 de 2012.

 

Luego de siete jornadas académicas lideradas por la SIC, en las que se reflexionó sobre el marco jurídico vigente, se construyeron las propuestas correspondientes a esta reforma. La reforma busca que Colombia cuente con un marco moderno y confiable, que combine protección de derechos con fomento a la innovación.

 

En ese sentido, la reforma no pretende crear un nuevo marco regulatorio, sino actualizarlo. “En algunos puntos, esta reforma se alinea con los mejores estándares internacionales como los contenidos en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y en la Ley General de Protección de Datos Personales de Brasil (LGPD). En otros puntos, la reforma es producto de los aprendizajes de la experiencia colombiana, de la prolija actividad de nuestra Corte Constitucional y de la experiencia de más de 10 años de la Autoridad de Protección de Datos Personales”, señala el texto.

 

 

¿Cuáles son los cambios más importantes?

 

  • Alcance: aplicará a empresas colombianas y extranjeras que traten datos personales en Colombia.
  • Definiciones claras: incluye conceptos como datos biométricos, datos genéticos, elaboración de perfiles y decisiones automatizadas. El proyecto reconoce que hoy en día la tecnología permite, entre otros, analizar, evaluar, predecir, clasificar o tomar decisiones con base en datos personales.
  • Principios reforzados: transparencia, responsabilidad demostrada y no discriminación. Esto significa que las organizaciones deben explicar cómo usan los datos, demostrar que cumplen la ley y evitar sesgos en sus sistemas.
  • Nuevos derechos para los ciudadanos: derecho a la supresión de datos (derecho al olvido) a no ser sometido a decisiones automatizadas sin intervención humana, a oponerse a ciertos tratamientos indebidos, y a la portabilidad de datos.
  • Protección a menores: Los menores de 18 años no podrán ser sujetos de perfilamiento ni de publicidad a la medida. Las plataformas deberán verificar que quienes usen sus servicios son mayores de 14 años. los mayores de 14 años podrán dar su consentimiento directo; en los demás casos, será necesario el aval de padres o tutores, siempre bajo el principio del interés superior del niño o niña.
  • Nuevas bases legales: además del consentimiento, se permitirá el tratamiento de datos para proteger la vida y la salud de las personas, o para cumplir obligaciones legales o contractuales.
  • Nuevos deberes para quienes realicen tratamiento de datos: deberán documentar actividades, notificar incidentes, se obligaría a los Responsables a realizar evaluaciones de impacto de privacidad antes de emprender operaciones de tratamiento de datos personales. Bajo ciertas circunstancias, los Responsables y Encargados deberían designar un/a Oficial de Protección de Datos Personales, además de que debería cumplir con determinadas funciones.
  • Instituciones más fuertes: la Autoridad de Datos de la Superintendencia de Industria y Comercio ganará en independencia y autonomía y podrá imponer mayores sanciones; la Procuraduría General de la Nación deberá crear una delegada para vigilar al sector público; y el Ministerio de Ciencia expedirá lineamientos para el uso de datos científicos y tecnologías emergentes. 
  • Sanciones más efectivas: se incrementan los topes de multas hasta 10.000 SMLMV, así como se incorpora un criterio alternativo o complementario para las sanciones, fijándolas en el 5 % de los ingresos operacionales del infractor.
  • Transferencias internacionales reguladas: se exige que los países receptores de datos personales ofrezcan niveles adecuados de protección o garantías adicionales. 

 

¿Qué impacto tendrá?

 

  1. En la ciudadanía: otorgará más herramientas de control sobre la información personal, fortaleciendo la confianza digital, más derechos y mejores garantías para su protección. 
  2. En el sector privado: dará mayor seguridad jurídica a las empresas colombianas y facilitará su entrada a mercados internacionales, en tanto hace compatible la regulación local con los más altos estándares internacionales y nos acercará a tener un nivel adecuado de protección de datos personales.
  3. En las mipymes: las obligaciones serán proporcionales a su tamaño y riesgo, con reglas claras y cargas administrativas más simples. 
  4. En la ciencia y la investigación: permitirá reutilizar datos anonimizados en proyectos de salud, biodiversidad, educación o cambio climático, alineando a Colombia con la ciencia abierta. 
  5. En la innovación: obligará a diseñar productos con protección de datos incorporada desde el diseño, generando confianza en usuarios e inversionistas.
  6. En la inteligencia artificial: exigirá algoritmos explicables, transparentes y sin sesgos, con intervención humana en decisiones significativas.
  7. En el sector público: la Procuraduría creará una delegada que garantizará la protección en el sector público, cerrando brechas de vigilancia entre públicos y privados, y fortaleciendo la confianza ciudadana.
  8. En el país: reforzará la confianza institucional, atraerá inversión extranjera y posicionará a Colombia como un socio confiable en la economía global de datos.

 

Con información de la SIC y del Ministerio de Comercio, Industria y Turismo

Facebook Twitter Whatsapp