Protección de Datos personale...

Protección de datos personales

Protección de Datos personales, suplantación y la Ley 1581 de 2012: 

Ayer 28 de enero de 2026, en el Día de la Protección de Datos Personales, la Superintendencia de Industria y Comercio (SIC) reunió a expertos para conversar sobre los desafíos que hoy enfrentamos en materia de seguridad digital y protección de la identidad. Fue una jornada de intercambio de ideas y aprendizajes que puso sobre la mesa temas clave: primero, la necesidad de que las organizaciones adopten políticas efectivas de protección de datos, segundo, las medidas que deben tomarse frente a un caso de suplantación de identidad y por último, el debate sobre la reforma a la Ley 1581 de 2012.

Este espacio contó con la intervención de la Doctora Stella Vanegas, socia de ECIJA, directora de ADAPRI y profesora de la Pontificia Universidad Javeriana. Ella hizo referencia a la protección de datos desde la perspectiva de las organizaciones. Señalando que:

“Los datos personales dejaron de ser simplemente un asunto de cumplimiento normativo o, en muchos casos, un costo operativo. Al inicio, cuando surgió la necesidad de contar con información más precisa internamente, se veía como un tema netamente regulatorio. Sin embargo, con el tiempo entendimos las grandes oportunidades que trae conocer qué tipo de datos tiene mi organización, cómo los manejamos, para qué los usamos, quiénes tienen acceso, a quién los compartimos, por cuánto tiempo y con qué finalidades.”

La doctora Stella, indicó que así fue como en su organización comprendieron que la protección de datos personales no es solo un activo estratégico, sino también un impulsor de la actividad de la organización. Y claro, esto les permitió ver lo positivo de generar un programa adecuado de protección de datos, descubriendo que genera confianza.

Comentó que, hoy, cuando un consumidor o usuario se acerca a un negocio o a una plataforma digital para obtener un servicio o producto, encuentra muchas opciones similares. La diferencia está en cómo se procesan los datos: en el orden interno y en la responsabilidad sobre el manejo de la información personal. 

Y es que resulta indispensable el correcto procesamiento de los datos, porque al final un consumidor siempre se inclina por la empresa que le inspire confianza. Saber que su información está bien cuidada, que no habrá un mal uso y que detrás hay una organización responsable. 

El primer panel fue moderado por Carlos Uribe, quien inició con una pregunta muy interesante a las primeras expositoras: cómo se les da importancia a los datos dentro de las organizaciones, cómo se genera sensibilidad interna frente a ellos y cómo lograr que los datos sean realmente un activo ético que viva dentro de la organización.

En respuesta, Patricia Piedraita, Oficial de Protección de Datos, señaló que: 

“Los datos son tan importantes que no se reducen únicamente a un tema normativo u operativo, sino que se han convertido en un activo fundamental dentro de la organización. Por eso, hoy han decidido llevarlos a la planeación estratégica, convirtiéndolos en un objetivo principal.

Patricia explicó que de esa planeación depende que los pacientes reciban una atención humanizada, un propósito que la organización viene trabajando para que el trato no se limite a la enfermedad, sino que también incluya a las familias. En ese sentido, el tratamiento de datos está directamente involucrado: cómo se lleva la información, cómo se atiende, cómo se conserva la historia clínica y cómo se protege”.

Patricia también reconoció que la protección de datos desde su organización es un reto importante, ya que alrededor de los datos existen múltiples grupos de interés: desde lo normativo, el derecho laboral y la gestión de la información de los colaboradores, hasta los desafíos que plantea la inteligencia artificial, que cada vez exige más claridad sobre cómo se van a manejar los datos.

La Oficial de Protección de Datos Ziomara Jaimes, destacó la importancia de crear una cultura sólida alrededor de los datos personales. Para ella, la respuesta a cómo dar relevancia a los datos dentro de una organización está en la cultura: vivir los datos personales, trabajar en un ambiente donde tengan un papel central y comprender que su protección es fundamental, no solo para los responsables dentro de la organización, sino también para cada persona.

Ziomara Jaimes, explicó que esa cultura se ha ido construyendo poco a poco y que puede entenderse en tres etapas. En esta primera etapa Ziomara hace referencia a la “Etapa del cumplimiento”: que coincide con la expedición de la Ley 1581 de 2012. En ese entonces, lo fundamental era atender lo que la norma pedía: redactar políticas de tratamiento de datos, obtener autorizaciones y ajustarse estrictamente a lo que la ley establecía. Como segunda está la “Etapa de la responsabilidad demostrada”: Con el paso del tiempo, los datos empezaron a reconocerse como un activo valioso. Esto llevó a que las organizaciones asumieran una protección más consciente, incorporando principios de transparencia y ética empresarial, además de la creación del Registro Nacional de Bases de Datos. Fue en este punto cuando se empezó a dimensionar la verdadera importancia de la información personal. Y como último la “Etapa ética y de corresponsabilidad”: Actualmente, los datos tienen tanta relevancia que ya no se ven como algo que protege únicamente un responsable, sino como una responsabilidad compartida. Todos debemos proteger nuestra información. En este contexto, el oficial de protección de datos adquiere un papel clave: se convierte en un aliado que brinda respaldo ético y genera confianza para depositar nuestra información.

Este panel dejó claro que la verdadera transformación ocurre cuando las organizaciones entienden que los datos no son un simple requisito administrativo, sino un reflejo de su ética y de la confianza que generan en quienes los rodean. Las expositoras coincidieron en que los datos personales han dejado de ser un asunto meramente normativo para convertirse en un verdadero activo estratégico y ético dentro de las organizaciones.

Tratar los datos de los consumidores con responsabilidad es entender que no solo se protege información, sino que se protege a las personas detrás de ella. Es reconocer que cada registro representa una historia, una identidad y una expectativa de respeto. 

¿Qué hacer en caso de suplantación?

El segundo panel estuvo a cargo del Dr. Carlos Salazar, director de Habeas Data en la SIC. Él abrió la conversación con una reflexión: “El protagonista del Día de la Protección de los Datos Personales es el titular del dato, el ciudadano. Somos nosotros, porque todos podemos estar en riesgo de ser suplantados o ya lo hemos sido en algún momento. Este panel busca llegar directamente al ciudadano.” 

En este espacio participaron Viviana Jiménez Valencia, Gerente de gestión de PQRS en Claro; Juliana Camacho, Gerente de defensa legal y administrativa en Experian; y Armando Colmenares, Director especializado contra delitos informáticos de la Fiscalía General de la Nación.

Viviana Jiménez Valencia explicó qué hacer en caso de suplantación:

Señalando que: “Primero, tener presente que los datos personales son muy valiosos y por eso debemos conservarlos, cuidarlos y custodiarlos. Hoy, debido a la llamada “reingeniería social”, los defraudadores pueden acceder a información personal que publicamos en redes sociales o que entregamos por engaños. Con datos como el número de documento, la ciudad donde vivimos o nuestra dirección, generan ventas de bienes o servicios que terminan en casos de suplantación.”

Ante un escenario de suplantación, el usuario debe acudir al operador y radicar una PQR a través de los mecanismos habilitados.

  • Centros de atención física
  • Call center
  • Página web
  • Correo físico
  • Correo electrónico

Una vez radicada la PQR, allí se diligencia un formato donde se describe lo ocurrido: que fue víctima de suplantación, cuál fue la situación y qué elementos probatorios tiene para acreditarlo.

La doctora Viviana señaló que, además, es importante aportar el número de documento y, si es posible, copia de la cédula de ciudadanía. Con esta información, la empresa inicia las validaciones correspondientes.

Frente a la pregunta de si es necesario presentar la PQR por medio de un abogado, Viviana aclaró que no es obligatorio: cualquier persona puede radicar directamente por los canales habilitados, con la información que considere suficiente para detallar lo ocurrido.

Juliana Camacho respondió a la pregunta: ¿Qué canales puede utilizar un ciudadano para dirigirse a una central de riesgo? ¿Se necesita abogado para presentar una reclamación?

Explicó que cualquier ciudadano puede presentar las peticiones en nombre propio, sin necesidad de hacerlo a través de un abogado. Lo importante es que sea el titular del dato quien formule la solicitud.

Señaló que estas peticiones pueden hacerse por los diferentes canales que la entidad tiene dispuestos para este fin, los cuales están disponibles en la página web. Allí se puede acceder para conocer el historial de crédito —previa validación de identidad— y también para formular reclamos.

Además, indicó que en Bogotá existe una dirección física donde se reciben las peticiones, y que todos estos mecanismos están especificados en el código de conducta.

El representante de la Fiscalía General Armando Colmenares, explicó que cualquier persona puede presentar una denuncia por el delito de suplantación personal o, según el caso, por violación de datos personales. Esa denuncia puede hacerse por distintos canales:

  • De manera escrita, en cualquiera de los puntos de atención de la Fiscalía a nivel nacional. En la página web existe un directorio con todos los municipios donde la entidad tiene presencia y donde se reciben denuncias en horarios ordinarios y también extendidos, incluso sábados y domingos, las 24 horas.
  • De manera verbal, directamente en las instalaciones de la Fiscalía. Allí siempre hay un funcionario dispuesto a recibir la denuncia, transcribirla y dar inicio al procedimiento correspondiente.

Armando aclaró que la persona denunciante no necesita conocimientos jurídicos especializados. Basta con que exponga lo ocurrido y, en caso de no identificar con precisión el delito, la Fiscalía orienta y realiza la adecuación típica para darle el trámite correcto.

Consejos para no ser suplantados, un llamado por la doctora Viviana Jiménez: 

  • Cuidar y ser muy diligentes con la información que entregamos.
  • No diligenciar links sospechosos que llegan por redes sociales o mensajes, porque allí estamos entregando datos personales.
  • No abrir enlaces de transacciones desconocidas o sospechosas, ya que pueden ser un fraude.
  • Desconfiar de llamadas telefónicas en las que nos dicen que estamos haciendo una transacción o envío que nunca hemos generado.
  • Nunca suministrar contraseñas, códigos de verificación o códigos de vencimiento de tarjetas de crédito por teléfono o a terceros.
  • Ser conscientes del valor que tienen nuestros datos personales y muy cuidadosos al momento de entregarlos.

Este panel permitió comprender que la suplantación de identidad es un riesgo para cualquier ciudadano. Sin embargo, también dejó claro que la primera línea de defensa está en nuestras propias acciones: ser cuidadosos con la información que compartimos, mantenernos atentos frente a intentos de fraude y actuar con diligencia cuando se presentan situaciones sospechosas.

Fue una muy buena y enriquecedora discusión, los 3 expertos nos ofrecieron una guía práctica sobre cómo proceder en caso de ser víctimas y, al mismo tiempo, subrayando la importancia de la prevención.

El tercer panel fue moderado por el doctor Juan Carlos Upegui, Superintendente delegado para la protección de datos personales de la SIC, y contó con la participación de Nelson Remolina, profesor de la Universidad de los Andes; Heidy Balanta, directora ejecutiva de la Escuela de Privacidad; y Lucía Camacho, coordinadora de políticas públicas en Derechos Digitales

Juan Carlos, empezó preguntando al Dr. Nelson Remolina ¿Cuál debería ser la estrategia colombiana para modernizar el régimen de protección de datos personales? ¿Conviene alinearse con Europa, mirar la experiencia de América Latina como el caso de Brasil o explorar modelos de Estados Unidos? 

El Dr. Remolina respondió que: “lo primero es no modernizar por modernizar, sino actualizar lo que realmente sea necesario. Señaló que antes de impulsar nuevas iniciativas regulatorias, es fundamental hacer un balance de lo que ya existe: identificar qué ha funcionado y qué no en la Ley 1581 de 2012. Modernizar no debe ser un fin en sí mismo, sino un proceso orientado a mejorar lo que realmente requiere ajustes”.

Agregó que los documentos de referencia de Europa y otras regiones deben ser considerados, pero siempre con una mirada crítica sobre qué es lo mejor para Colombia. Invitó, por ejemplo, a revisar el documento de la ONU de 2024, que propone una actualización de principios y puede aportar elementos positivos para el país.

Desde su experiencia en la SIC, el Dr. Nelson, resaltó que el reto no es sólo normativo, sino práctico: lograr que las disposiciones se cumplan en la realidad. Colombia, dijo, tiene avances importantes para mostrar al mundo, pero también enfrenta obstáculos. Uno de ellos es la falta de voluntad de cumplimiento por parte de algunas entidades, que deciden ignorar la regulación nacional.

Y concluyó con que, más allá de adoptar modelos externos, Colombia debe construir su propio camino, tomando lo mejor de las experiencias internacionales, pero con un enfoque propio. Y subrayó que ninguna norma será suficiente si no existe compromiso, ética y acciones concretas para garantizar el debido tratamiento de los datos personales.

Ante la pregunta sobre cómo equilibrar la protección de los derechos fundamentales con los nuevos imperativos de innovación y competitividad, Lucía Camacho destacó que las regulaciones son necesarias porque generan seguridad jurídica, establecen reglas claras y transparentes tanto para los actores del mercado como para los usuarios que se benefician de los servicios.

Su intervención destacó que, más allá de ver la regulación como un obstáculo, debe entenderse como un marco que brinda confianza y estabilidad. Esa confianza es la que permite que la innovación se desarrolle en un entorno seguro, donde los derechos de las personas están protegidos y, al mismo tiempo, las empresas cuentan con condiciones claras para competir y crecer.

¿Qué lecciones podemos tomar para Colombia y para este momento regulatorio en el que estamos, dentro de este interesante proceso que han desatado las autoridades europeas al reflexionar y reestructurar el régimen de protección de datos personales? 

Para poner en contexto a la audiencia, Heidy Balanta explicó que el paquete de reformas en la Unión Europea no busca flexibilizar la normativa, sino más bien simplificar y armonizar los diferentes reglamentos y directivas. Este proceso surge de la falta de coherencia entre las normativas y de la carga administrativa que enfrentan especialmente las pequeñas y medianas empresas.

Señaló que Colombia se encuentra en un escenario ideal, ya que está en curso la reforma a la Ley 1581 de 2012. Permitiendo aprovechar el aprendizaje de Europa y observar qué ajustes están realizando. Entre los cambios también mencionó la redefinición del concepto de dato personal: bajo la nueva propuesta, los datos pseudonimizados que podrían dejar de considerarse datos personales, lo que introduce un criterio más subjetivo sobre cuándo aplica la protección.

La doctora Heidy mencionó que el proyecto de ley colombiano debe buscar elevar y estandarizar el marco regulatorio, evitando una “tropicalización” excesiva que lo aleje de los estándares internacionales. Dijo que Colombia ya está bastante alineada, aunque requiere de unos ajustes ligeros para responder a retos como la inteligencia artificial y los nuevos principios y derechos que se discuten a nivel global.

Finalmente, Heidy hace un llamado a que el objetivo no sea copiar y pegar modelos externos, sino ser equivalentes: apropiarse de las instituciones propias, asegurando al mismo tiempo que el país hable el mismo lenguaje legal y ético que el entorno internacional.

La protección de datos personales empieza en nuestras propias manos. Ser conscientes del valor de nuestra información, exigir transparencia a quienes la administran y adoptar buenas prácticas digitales son pasos esenciales para garantizar que nuestra información siga siendo nuestra.

Este no es un tema ajeno, ni exclusivo de especialistas: es una responsabilidad compartida entre ciudadanos, empresas y autoridades. Cada uno tiene un papel fundamental en este ecosistema.

Proteger los datos personales es proteger a las personas. Y en esa tarea, todos los individuos, organizaciones y autoridades debemos actuar con compromiso y corresponsabilidad.

Por: Luisa Caicedo

¿Se puede investigar sin vulnerar? RISKS INTERNATIONAL subraya el rol de los datos en la mitigación de riesgos LAFT

No Replies on Protección de Datos personales, suplantación y la Ley 1581 de 2012

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.