Volver al blog
Privacidad & Habeas Data

¿Qué es Habeas Data en Colombia? Ley 1581 de 2012 explicada

Habeas Data es el derecho a controlar tus datos personales. La Ley 1581 de 2012 regula cómo empresas colombianas deben tratarlos. Aprende obligaciones, multas y la Circular SIC 002/2024.

Publicado 8 de abril de 20268 min de lecturaActualizado 27 de jun de 2026

Si tu empresa recoge cualquier dato de clientes, empleados o proveedores en Colombia, estás obligada a cumplir la Ley 1581 de 2012. Aquí te explicamos qué es el Habeas Data, qué te exige la SIC y cómo evitar multas que pueden superar los USD 500.000.

Habeas Data en una frase

El Habeas Data es el derecho constitucional (Artículo 15 de la Constitución) que tiene toda persona a conocer, actualizar y rectificar los datos personales que sobre ella estén almacenados en bases de datos públicas o privadas. La Ley 1581 de 2012 (Ley General de Protección de Datos) reglamenta cómo las empresas y entidades pueden recolectar, usar, almacenar y transferir esos datos.

¿Qué se considera "dato personal"?

Cualquier información asociada a una persona identificable: nombre, cédula, email, teléfono, dirección, foto, IP, biometría, ubicación GPS, historial de compras, calificación crediticia. La Ley distingue tres niveles:

  • Datos públicos — disponibles libremente (RUT empresarial, profesión).
  • Datos privados — sujetos a consentimiento (email, teléfono personal).
  • Datos sensibles — exigen consentimiento explícito y reforzado (origen racial, orientación política, salud, biometría, datos de menores).

Marco normativo: del 1581 a la SIC Circular 002/2024

El ecosistema regulatorio del Habeas Data tiene varios pilares:

  • Ley 1581 de 2012 — el régimen general.
  • Decreto 1377 de 2013 — reglamenta cómo obtener autorización y cómo proceder con datos de menores.
  • Decreto 886 de 2014 — registro de bases de datos (RNBD) ante la SIC.
  • Ley 1266 de 2008 — Habeas Data financiero, regulado por SFC para centrales de riesgo.
  • Circular Externa 002 de 2024 de la SIC — actualizó lineamientos sobre transferencias internacionales, cookies, IA y biometría.

Los 8 principios obligatorios del Habeas Data

  1. Legalidad — todo tratamiento debe ajustarse a la Ley.
  2. Finalidad — los datos se recolectan para un fin específico, comunicado al titular.
  3. Libertad — el tratamiento requiere autorización previa, expresa e informada del titular.
  4. Veracidad o calidad — la información debe ser cierta, completa, exacta y actualizada.
  5. Transparencia — el titular puede saber qué datos hay sobre él.
  6. Acceso y circulación restringida — solo personal autorizado y bajo finalidad legítima.
  7. Seguridad — el responsable adopta medidas técnicas y administrativas (encriptación, control de acceso, audit trail).
  8. Confidencialidad — el personal con acceso firma compromiso de reserva.

Obligaciones de la empresa que trata datos

Si tu empresa es responsable o encargada del tratamiento debes:

  • Tener una Política de Tratamiento de Datos Personales publicada.
  • Capturar autorización informada antes de recolectar datos.
  • Registrar las bases de datos en el RNBD (Registro Nacional de Bases de Datos) si manejas datos de más de 100.000 titulares.
  • Designar un Oficial de Protección de Datos (DPO) si manejas datos sensibles a gran escala.
  • Responder consultas y reclamos de titulares en plazo máximo de 10 + 5 días hábiles.
  • Reportar incidentes de seguridad a la SIC en 15 días.
  • Conservar registro de autorizaciones con evidencia probatoria.

Sanciones por incumplir el Habeas Data

La SIC puede imponer:

  • Multas hasta 2.000 SMMLV (~USD 700.000 para 2026) por infracción.
  • Suspensión de actividades relacionadas con tratamiento hasta por 6 meses.
  • Cierre temporal o definitivo de la empresa.
  • Inhabilidad de 5 años para representantes legales.

El caso más sonado fue la sanción a EPM por USD 200.000 por filtración de datos en 2021. Los reguladores priorizan multas a empresas grandes para sentar precedente.

Cookies, IA y biometría — lo nuevo en SIC Circular 002/2024

La actualización de la SIC en marzo 2024 endureció exigencias en tres frentes:

  • Cookies — banner explícito con opciones granulares (no más "aceptar todo" forzado).
  • IA y decisiones automatizadas — derecho del titular a explicación humana de decisiones algorítmicas que lo afecten (ej. denegación de crédito).
  • Biometría — categorizada como dato sensible "reforzado", exige evaluación de impacto + autorización separada.

Transferencias internacionales: el reto del cloud

Si tu CRM, ERP o herramientas SaaS guardan datos en servidores fuera de Colombia (AWS US, Azure Europe, GCP), debes:

  • Verificar que el país destino tenga nivel adecuado de protección (lista publicada por la SIC).
  • Si no lo tiene, exigir cláusulas contractuales tipo al proveedor.
  • Notificar la transferencia al titular.

Errores comunes con el Habeas Data

  • Autorizaciones en letra chica que un juez tumba por falta de consentimiento informado.
  • Política copiada de otra empresa sin ajustar a la realidad operacional.
  • Falta de registro RNBD cuando aplica — multa automática.
  • No tener canal claro para reclamos de titulares — la SIC sanciona por demoras de respuesta.
  • Marketing por WhatsApp sin opt-in — caso típico de reclamo.

¿Cómo te ayuda GRC Software con Habeas Data?

  • Generación automática de Política de Tratamiento basada en tu sector y operación.
  • Componente Habeas Data Legal Design para formularios públicos — consentimiento informado con todas las garantías legales.
  • Registro probatorio de autorizaciones con timestamp, hash e IP.
  • Workflow de respuesta a consultas/reclamos con SLA automático.
  • Análisis de tus políticas contra Ley 1581 + Circular SIC 002/2024 usando IA.

Próximos pasos

Si tu empresa aún no tiene Política de Tratamiento publicada, o si dudás sobre tu cumplimiento:

  1. Hacé el diagnóstico Habeas Data gratuito.
  2. Leé también ¿Qué es SARLAFT? si gestionas datos financieros.
  3. Empezá gratis: crear cuenta.

¿Listo para dejar de luchar con Excel?

Probá GRC Software gratis. Sin tarjeta. Activo en 5 minutos.