Lo que su empresa debe cumplir con la Ley de Datos Personales
Una guía práctica y directa sobre cada obligación que tiene su empresa frente a la Ley 1581 de 2012 — cuáles aplican, cuándo y qué pasa si no las cumple.
En Colombia, toda empresa que recopile, almacene o use datos personales está obligada a cumplir con la Ley 1581 de 2012. Si trabaja con Fibek, usted es el responsable de esos datos — y eso tiene implicaciones legales concretas que no puede ignorar.
La buena noticia es que cumplir no es tan complejo como parece. A continuación le explicamos exactamente qué necesita tener en orden.
¿Qué obligaciones tiene su empresa?
Sin importar el tamaño de su empresa, si trata datos personales de clientes, empleados o cualquier persona, estas son las obligaciones que le aplican:
Una política de tratamiento de datos
Es el documento donde usted explica qué datos recopila, para qué los usa, cómo los protege y cuánto tiempo los conserva. Debe estar disponible para sus clientes — en su sitio web, en contratos o en cualquier punto de contacto — y escrita en un lenguaje que cualquier persona pueda entender.
Autorización expresa de sus clientes
Antes de usar los datos de alguien, necesita su permiso. Ese permiso debe indicar claramente para qué van a ser usados sus datos. Puede ser un formulario, una casilla de verificación o un documento firmado. Lo fundamental es que sea demostrable y que la persona haya entendido a qué está autorizando.
Un aviso de privacidad
Es un mensaje corto que le muestra al cliente, en el momento en que le pide sus datos, cómo va a tratarlos y dónde puede consultar la política completa. Puede estar en un formulario, una app o un correo electrónico de bienvenida.
Un canal para que sus clientes ejerzan sus derechos
Sus clientes tienen derecho a saber qué datos tiene de ellos, pedir que los corrija o los elimine, y retirar su autorización cuando quieran. Usted debe tener un correo electrónico o formulario visible para recibir esas solicitudes y responderlas a tiempo: consultas en máximo 10 días hábiles y reclamos en máximo 15 días hábiles.
Un responsable interno de protección de datos
Debe designar a una persona o área dentro de su empresa que atienda los temas relacionados con datos personales. Esta persona también debe ser reportada ante la Superintendencia de Industria y Comercio (SIC) como Oficial de Protección de Datos.
Medidas de seguridad para proteger los datos
Debe implementar controles técnicos y organizativos para evitar pérdidas, robos o accesos no autorizados: contraseñas seguras, control de acceso por roles, capacitación al equipo y procedimientos documentados de respuesta ante incidentes.
Notificar incidentes de seguridad
Si ocurre una fuga, robo o acceso no autorizado a datos de sus clientes, tiene la obligación de informarlo a la SIC y a las personas afectadas. No reportar estos incidentes es una infracción grave por sí sola.
Registro ante la SIC Solo si aplica
Si su empresa tiene activos o ingresos totales superiores a 100.000 UVT — equivalente a COP $5.237.400.000 en 2026 — o si es una entidad pública, debe registrar sus bases de datos ante el Registro Nacional de Bases de Datos (RNBD) de la SIC y mantenerlo actualizado cada año.
Fechas clave para 2026
Para las empresas obligadas a registrarse ante la SIC, estas son las obligaciones periódicas que deben cumplirse durante el año:
Calendario de obligaciones · RNBD
Registro Nacional de Bases de Datos · 2026
Actualizar cambios no sustanciales en el RNBD
Actualice en el sistema de la SIC cualquier cambio menor en sus bases de datos registradas: nombre, descripción o finalidades.
Reportar quejas y reclamos del 2.° semestre 2025
Informe a la SIC cuántas solicitudes de titulares recibió entre julio y diciembre de 2025.
Reportar quejas y reclamos del 1.° semestre 2026
Informe a la SIC cuántas solicitudes de titulares recibió entre enero y junio de 2026, o confirme que no hubo novedades.
Reportar cambios sustanciales
Cambios importantes en el uso o tipo de datos: repórtelos dentro de los primeros 10 días hábiles del mes siguiente a su implementación.
Registrar nuevas bases de datos
Cada vez que cree una nueva base de datos con información personal, tiene máximo 2 meses para registrarla ante la SIC desde que empiece a usarla.
¿Qué pasa si no cumple?
La Superintendencia de Industria y Comercio aumentó sus sanciones un 22% en 2024 y gestionó más de 10.000 reclamaciones en materia de datos. Estas son las consecuencias vigentes:
$2.900M
En multas — hasta 2.000 SMMLV vigentes en 2026
6 meses
De suspensión de actividades de tratamiento de datos
Cierre total
De operaciones en casos de incumplimiento grave
Existe un proyecto de ley en curso que propone elevar las multas hasta el 5% de los ingresos anuales, alineándose con estándares como el GDPR europeo.
Cumplir con la ley de datos no es solo evitar sanciones — es demostrarle a sus clientes que cuida su información. En un entorno donde la confianza digital es cada vez más escasa, eso se convierte en una ventaja competitiva real.
Nos ponemos de su lado.
Juntos lo resolvemos.
Sabemos que detrás de cada empresa hay un equipo que tiene mucho en qué enfocarse. Por eso en Fibek no solo le entregamos una herramienta — lo acompañamos. Nuestro equipo legal puede revisar en qué punto está su empresa, decirle exactamente qué necesita y caminar el proceso junto a usted.
Escoja el horario que más le convenga. Estamos para usted.