Foto: El Colombiano

Scotiabank Colpatria recibe sanción superior a $700 millones por fallas en la protección de datos

 

La SIC fundamentó la sanción en la vulneración de los deberes establecidos en la Ley 1581 de 2012 y el Decreto Único Reglamentario 1074 de 2015, normas que regulan la protección de datos personales en Colombia.

 

 

La Superintendencia de Industria y Comercio (SIC) impuso a Scotiabank Colpatria una sanción de más de $700.000.000 millones mediante la Resolución 70035 de 2025 del 12 de septiembre de 2025, tras un incidente de seguridad que comprometió la información personal de más de 791.000 titulares de la información.

 
 El caso fue descubierto gracias a una investigación de Incocrédito, la Asociación para la Investigación, Información y Control de los Sistemas de Tarjetas de Débito y Crédito, que alertó sobre posibles irregularidades en el manejo de datos de los usuarios


La SIC identificó que el incidente que motivó la sanción involucró a un funcionario de la entidad. El responsable fue el exdirector de Reportes Regulatorios de Scotiabank Colpatria, quien trabajó en el banco entre 2019 y 2022. Según la investigación, el funcionario habría realizado cerca de 413 envíos de información sensible a lo largo de esos tres años, utilizando una excepción del sistema de control que le permitía enviar archivos cifrados a su correo personal y comercializar bases de datos de clientes.

 

La entidad de control subrayó que, pese a haber recibido capacitaciones en protección de datos, seguridad y código de conducta, esta persona actuó “dolosamente y aprovechando la buena fe depositada en él por el banco”, incumpliendo las cláusulas de confidencialidad.

 

De manera individual, la Superintendencia también sancionó al funcionario implicado en el incidente, con una multa de $8.040.192, equivalentes a seis salarios mínimos legales mensuales vigentes para 2023 y a 696 unidades de valor básico para 2025. La resolución señala que el funcionario vulneró deberes específicos contemplados en la Ley 1581 de 2012 y en el Decreto Único Reglamentario 1074 de 2015, al acceder y transferir información sin autorización.

 

📌 Puntos clave de la resolución:

 

  • El incidente de seguridad fue clasificado con severidad alta: se comprometieron datos de identificación, ubicación y socioeconómicos.
  •  Aunque el banco argumentó ser víctima del dolo del empleado, la SIC determinó que, como responsable del tratamiento, debía garantizar medidas de seguridad idóneas.
  •  La SIC enfatizó que los privilegios de excepción mal gestionados representan un alto riesgo y requieren monitoreo y auditoría permanente.
  •  El caso demuestra que el dolo individual no exime la responsabilidad corporativa.
  •  Se reiteró la aplicación estricta de los principios de seguridad y confidencialidad de la Ley 1581 de 2012.

 

La lección para todas las organizaciones:

 

  • La responsabilidad por la protección de datos no se delega ni se comparte.
  •  Los incidentes internos son tan riesgosos como los ataques externos.
  •  La cultura organizacional, los controles de acceso y la gestión del talento humano son tan críticos como la tecnología.

 

Aunque Scotiabank Colpatria alegó que se trató de una acción individual de un exempleado que “se extralimitó en el desarrollo de sus funciones”, la SIC determinó que hubo una vulneración a las normas de protección de datos que afecta la confianza en el sistema financiero.

 

La resolución, firmada digitalmente por Carolina García, Directora de Investigaciones de Protección de Datos Personales, marca un precedente en la vigilancia y cumplimiento de la normativa sobre protección de datos en el sector financiero colombiano.

 

Facebook Twitter Whatsapp