Los cinco cambios clave que traería la reforma de datos

Imagina que tu empresa recibe una sanción millonaria por videovigilancia sin aviso adecuado, o que un colegio es demandado por tratar datos de niños sin autorización. Estas pesadillas regulatorias están más cerca de lo que crees si no estás preparado para la nueva realidad legal. En Colombia, la Ley 1581 de 2012 ya no basta para afrontar los retos tecnológicos: el Gobierno radicó recientemente un proyecto de reforma para actualizar el régimen de protección de datos personales, incorporando conceptos modernos como perfiles, responsabilidad demostrada y extraterritorialidad.

En este artículo te mostraré los cinco cambios más relevantes que esta reforma propondría —y cómo pueden afectar a tu empresa, conjunto residencial o emprendimiento—. También haré comparaciones con GDPR (UE), CCPA (California) y la LGPD de Brasil para que veas el panorama global. 

👉 LEE NUESTRO BLOG, te va a sorprender.

El diagnóstico que muchas empresas no se atreven a mirar

Cuando asesoro a conjuntos residenciales, comercios, entidades públicas o emprendimientos digitales, me encuentro con un patrón: políticas de tratamiento de datos desactualizadas, avisos de cámaras mal ubicados, falta de consentimiento informado, ausencia de análisis de riesgo, bases de datos sin registro o con registros descuidados. Hay quienes piensan: “esto es una formalidad”, hasta que la SIC visita, impone sanciones o la opinión pública exige responsabilidades.

Un ejemplo viene del sector educativo: colegios que recopilan fotos, datos de salud o correos de estudiantes sin consentimiento explícito ni medios claros de revocación han sido objeto de denuncias; otro ámbito vulnerable es el de la videovigilancia mal señalizada o sin protocolo de retención. En estos escenarios, la falta de cultura, bajo presupuesto o desconocimiento generan fugas de datos e impactos reputacionales difíciles de revertir. Tú, como gerente multitarea o administrador de un edificio, no puedes dejar que el cumplimiento sea una ocurrencia: es una obligación estratégica.

Para ilustrar este momento decisivo, piensa que las tecnologías emergentes (IA, análisis de comportamiento, perfiles predictivos) exigen reglas claras. Y la realidad es que la norma actual ha quedado corta. Por eso el Gobierno radicó un proyecto de reforma. 

Normativa colombiana: actualidad y a qué reformas te ajustas

Estado actual: Ley 1581/2012 y su desarrollo

Desde su promulgación, la Ley 1581 de 2012 ha sido la piedra angular del régimen de protección de datos en Colombia.

Su decreto reglamentario 1377 de 2013 y normas complementarias han definido cómo operan los derechos de acceso, rectificación, supresión y oposición (ARCO), así como obligaciones para responsables y encargados de tratamiento. La Superintendencia de Industria y Comercio (SIC) es la autoridad de control.

Sin embargo, este régimen fue diseñado en un contexto tecnológico muy diferente al actual. Los vacíos normativos han llevado a debates jurisprudenciales y casos límite. La Corte Constitucional ha insistido en que el régimen debe garantizar el derecho fundamental al habeas data (arts. 15 y 20 de la Constitución).

Iniciativa de reforma: lo que propone el proyecto radicado

En agosto de 2025, el Gobierno nacional radicó un proyecto para modificar parcialmente la Ley Estatutaria 1581 de 2012.  La intención no es reemplazar por completo, sino adaptar el régimen a los desafíos digitales actuales. Entre los cambios más destacados ya identificados están:

• Ampliación del ámbito de aplicación extraterritorial: la reforma buscaría que la norma aplique cuando el tratamiento se realice en Colombia, incluso si el responsable está fuera del país. 

• Incorporación de tecnologías emergentes: se incluirían las nociones de tratamiento automatizado, elaboración de perfiles y decisiones basadas en datos. 

• Principios fortalecidos: el proyecto pone especial énfasis en responsabilidad demostrada y transparencia.

• Bases legales más flexibles: más allá del consentimiento, se admitirían otras bases para el tratamiento. 

• Protección más robusta para menores: se propondría prohibir perfiles de menores de 18 años y restringir el tratamiento de datos personales de menores menores de cierta edad sin autorización. 

Adicionalmente, el proyecto sugiere aumentar las multas, redefinir criterios sancionatorios y fortalecer las competencias de la SIC. 

Reformas recientes en obligaciones del RNBD

Dentro del entorno normativo vigente, ya hay cambios prácticos: para 2025 se han fijado plazos para actualizar el Registro Nacional de Bases de Datos (RNBD).  Las entidades obligadas deben actualizar entre el 2 de febrero y el 31 de marzo, y reportar reclamaciones del semestre anterior.  Esto ya es un recordatorio de que el cumplimiento no puede demorarse.

Además, entes como la Supersociedades recuerdan la necesidad de avisos de videovigilancia visibles y registro de cámaras en manuales internos. 

Así que, ya no estamos en una era de espera: el cambio se está incubando, y muchas de las reformas tienen soportes concretos.

Los cinco cambios que traería la reforma — y por qué te conviene conocerlos

A continuación detallo los cinco cambios más relevantes que el proyecto de reforma propone y los riesgos que implican para tu negocio o tu conjunto residencial.

1. Extracción del ámbito territorial: alcance global obligatorio

Hasta hoy la ley aplica principalmente cuando el responsable está en Colombia o cuando el tratamiento se hace en territorio nacional. Con la reforma, incluso responsables o encargados fuera del país que traten datos de ciudadanos colombianos estarían sujetos al régimen. 

Riesgos: plataformas internacionales, proveedores cloud, herramientas SaaS o sistemas que operan con datos colombianos deberán adaptarse. Si no lo hacen, podrían ser multados o bloqueados.

2. Responsabilidad demostrada y nuevos principios: mayor exigencia de gobernanza

El principio de responsabilidad demostrada (accountability), pilar esencial en GDPR, sería fortalecido. Eso implica que deberás demostrar que cumpliste con obligaciones: registros de decisiones, evaluaciones de impacto, auditorías internas, trazabilidad de accesos, etc. 

Riesgos: si no generas evidencia documental del cumplimiento, cualquier incidente (fuga, queja, auditoría) puede volverse un costo regulatorio alto.

3. Nuevas bases legítimas de tratamiento

El consentimiento deja de ser la única ruta. La reforma propone que contratos, obligaciones legales, investigación legítima, protección de intereses vitales y otros fundamentos puedan ser bases válidas para tratar datos.

Riesgos: si tu tratamiento actual se apoya únicamente en consentimiento, tendrás que revisar si aplica alguna de las nuevas bases. Además, podrías necesitar reconfigurar formularios, contratos y sistemas.

4. Protección especial para menores de edad (NNA): límites y prohibiciones

Una de las propuestas más sensibles es la restricción total del perfilado de menores de 18 años con fines comerciales o conducta predicha, así como tratar datos de menores bajos ciertas edades solamente con autorización expresa. 

Riesgos: colegios, apps infantiles, comercios que usan datos de niños, comercios con programas de fidelización pueden tener que replantear sus procesos. Un error aquí puede generar sanciones y demandas colectivas.

5. Sanciones fortalecidas y criterios más exigentes

El proyecto contempla aumentar el valor inicial de la unidad móvil para multas (de $10.000 a $100.000), establecer criterios de gravedad más altos, y generar indemnizaciones por daños materiales o inmateriales.

Riesgos: una infracción leve puede escalar mucho más que hoy. Además, si hay daño reputacional, los costos extrajudiciales pueden superar lo administrativo.

---

Comparativo internacional: GDPR, CCPA y LGPD — lecciones para Colombia

GDPR (Unión Europea)

El Reglamento General de Protección de Datos (RGPD) estableció estándares elevados: accountability, derechos de acceso, rectificación, portabilidad, derecho al olvido, evaluaciones de impacto, designación de DPO (Data Protection Officer) y multas hasta el 4 % de la facturación global. Muchas de las propuestas de la reforma colombiana se inspiran en el modelo europeo: responsabilidad demostrada, tratamiento automatizado y extraterritorialidad ya están plenamente vigentes en GDPR.

CCPA / CPRA (California, EE. UU.)

El CCPA —y su enmienda CPRA— concede derechos a consumidores como conocer qué datos se recopilan, eliminar datos, derecho a optar por no vender datos y limitar la profilación. Aunque no tiene un régimen tan estricto como GDPR, es un referente de protección de consumidores digitales en EE. UU.

LGPD (Brasil)

La Ley General de Protección de Datos de Brasil introdujo bases legítimas diversas, tratamiento de datos de menores (con límites), evaluación de impacto y sanciones fuertes. Brasil ha sido citado frecuentemente como modelo latinoamericano. Muchos de los cambios propuestos en Colombia se alinean con la LGPD (por ejemplo, las bases legítimas más allá del consentimiento, responsabilidad demostrada). 

Lección práctica: si tu empresa ya opera fuera de Colombia o tiene relaciones internacionales, adoptar estándares equiparables a GDPR/LPDG hoy te dará ventaja frente a la reforma colombiana y reducirá brechas de cumplimiento.

Cómo resolverlo con TODO EN UNO.NET en tres fases

Para ti que buscas un camino claro y seguro hacia el cumplimiento, en TODO EN UNO.NET proponemos:

Fase 1: Análisis inicial (diagnóstico y brechas)

Realizamos auditoría completa de tu empresa, conjunto o proyecto digital: revisamos políticas vigentes, flujos de datos, bases de datos, videovigilancia, tratamiento de NNA, transferencias internacionales y cumplimiento del RNBD. Identificamos los puntos críticos conforme al régimen vigente y al proyecto en curso.

Fase 2: Definición estratégica (plan normativo adaptado)

Con el diagnóstico, elaboramos un plan de adaptación: definición de bases legales correctas, diseño de avisos y consentimientos, evaluación de impacto, política de videovigilancia, cláusulas contractuales con encargados, medidas técnicas y organizativas, roles de cumplimiento (oficial de datos), y estrategia para nuevas exigencias.

📅 Agenda: https://outlook.office365.com/owa/calendar/TodoEnUnoNET1@todoenuno.net.co/bookings/s/WMFJVeIvH0mCnhkPc_MDgA2

Fase 3: Implementación y acompañamiento continuo

Desplegamos manuales, políticas, formatos, capacitación y registro de evidencias. Gestionamos el RNBD, lanzamos protocolos para incidentes, monitoreamos cumplimiento, hacemos auditorías periódicas y actualizamos conforme evoluciona la reforma. Así aseguramos que el cumplimiento no quede en el papel.

Y lo más importante: si hoy solucionas este problema con nosotros, seguiremos acompañándote para que no vuelva a ocurrir.

De la incertidumbre a la confianza

Hace poco atendimos a un conjunto residencial de 80 apartamentos. El administrador nos contactó aterrorizado: la SIC había enviado una carta de inspección tras una queja de un vecino que decía que las cámaras captaban imágenes hacia propiedad privada y que no existía aviso visible. Nuestro diagnóstico inicial reveló que el aviso estaba en letra diminuta, el manual no definía tiempos de retención, los registros de acceso no se llevaban y no había consentimiento claro en los contratos de arrendamiento.

Durante la segunda fase, definimos un plan estratégico: reposicionamiento de avisos, elaboración de manual de videovigilancia, cláusulas tipo sobre tratamiento de datos de residentes y visitantes, evaluación de riesgos y protocolos claros de acceso a grabaciones. En la implementación, capacitamos al personal de vigilancia, instalamos señalización clara, automatizamos registros y generamos evidencia documental. Tras esto, la queja fue desestimada y el conjunto ganó tranquilidad y reputación.

Ahora los residentes saben que sus datos están protegidos, el administrador opera con confianza y si la reforma se aprueba, ya estarán un paso adelante.

El riesgo ya no es teórico: con la reforma en trámite, las sanciones más fuertes, el principio de responsabilidad demostrada y el tratamiento especial de datos de menores se convierten en factores que pueden afectar tu negocio, tu reputación y la confianza de tus clientes o residentes. En TODO EN UNO.NET transformamos el cumplimiento legal en ventaja competitiva, no solo en obligación. Con nuestro enfoque integral cubrimos políticas, videovigilancia, tratamiento de NNA, transferencias internacionales y accountability, para que no tengas que preocuparte por “si va a pasar algo”, sino por preparar tu organización para el futuro. Puedes contar con nosotros en cada fase: desde el diagnóstico inicial hasta el acompañamiento continuo, adaptándonos a los cambios normativos y digitales. Nuestra propuesta de valor es simple: convertimos el cumplimiento en confianza, porque sabemos que la confianza digital empieza con un proceso claro, documentado y alineado con normativa nacional e internacional. Si te adelantas a la reforma, no solo evitas sanciones, sino que proyectas liderazgo ante clientes, residentes y autoridades. Ninguna empresa, colegio, conjunto residencial o emprendimiento merece quedarse atrás por falta de preparación.

Agendamiento: Agenda una consulta

YouTube: Todo En Uno NET

Twitter (X): Todo En Uno NET

Facebook: Todo En Uno NET

Instagram: Todo En Uno NET

LinkedIn: Todo En Uno NET

Comunidad de WhatsApp: Únete a nuestros grupos

Comunidad de Telegram: Únete a nuestro canal

PAGINA WEB: Todo En Uno Net S.A.S. – Tecnología que no se detiene

Blog: CUMPLIMIENTO HABEAS DATA - DATOS PERSONALES

👉 “¿Quieres más tips como este? Únete al grupo exclusivo de WhatsApp o Telegram”.

Julio César Moreno Duque

Fundador – Consultor Senior en Tecnología y Transformación Empresarial

División Habeas Data – TODO EN UNO.NET

👉 “Nunca la tecnología por la tecnología en sí misma, sino la tecnología por la funcionalidad.”

Proteger los datos no es un trámite: es un acto de respeto hacia quienes confían en tu empresa.