Imagina que tu empresa ofrece “beneficios exclusivos” a personas que entregan sus datos de iris, huella o rostro para recibir una criptomoneda. Crees que es novedoso, tecnológico, vanguardista… hasta que llega la Superintendencia de Industria y Comercio (SIC) y exige el cierre inmediato de tu operación. Eso le ocurrió recientemente a dos compañías en Colombia que ofrecían criptomonedas a cambio de datos biométricos sin cumplir con los mínimos requisitos de protección de datos.
Este escenario coloca frente a ti, gerente multitarea, administrador de edificio o emprendedor digital, una alerta clara sobre los riesgos reales del mal manejo de datos personales sensibles, especialmente biométricos, y la urgencia de asumir el marco normativo colombiano. En este artículo revisaremos cómo la Ley 1581 de 2012, su reglamento Decreto 1377 de 2013, la jurisprudencia de la Corte Constitucional de Colombia (Sentencia C-748/2011) y las guías de la SIC se proyectan hacia los casos de biometría, videovigilancia y comercio electrónico. Haremos también una comparación internacional con el Reglamento General de Protección de Datos (GDPR), la California Consumer Privacy Act (CCPA) y la Lei Geral de Proteção de Dados (LGPD) de Brasil. Y te mostraré cómo desde TODO EN UNO.NET podemos ayudarte en este reto, con un enfoque práctico, humano y confiable.
👉 LEE NUESTRO BLOG, te va a sorprender.
El diagnóstico del problema en tu empresa
Cuando en tu organización (sea privada, del conjunto residencial, propiedad horizontal o institución estatal) decides recolectar datos biométricos o usarlos como incentivo (por ejemplo “dar criptomonedas a cambio de que escanees tu iris”), se abre un conjunto de retos y obligaciones que van más allá del simple “aviso de privacidad” que quizá ya tienes colgado en tu sitio web. En ese escenario, estamos ante datos sensibles (biométricos) que la ley y la SIC consideran de alto riesgo, no solo por su naturaleza identificativa, sino por las implicaciones de que se ofrezca una contraprestación o incentivo sin transparentar la finalidad real, la duración del tratamiento, los derechos de los titulares y los riesgos conexos.
El caso actual de la SIC ilustra claramente que no basta con una idea disruptiva: si el tratamiento no cumple con los mínimos de transparencia, autorización, seguridad, finalidad y rendición de cuentas («accountability»), tu empresa puede acabar cerrada, sus datos eliminados, y su reputación dañada.
Y en ese contexto, tú como responsable —ya seas administrador de un PH con cámaras, gerente de negocio digital, proveedor de servicios de vigilancia— debes preguntarte: ¿Tengo un mapeo de mis tratamientos? ¿Estoy pidiendo datos sensibles sin una base legal clara? ¿Mi política de datos biométricos o vigilancia está actualizada? ¿Puedo demostrar “responsabilidad demostrada” si la autoridad lo exige?
En Colombia contamos con un marco que pone obligaciones claras para cualquier tratamiento de datos personales. Primero, la Ley 1581 de 2012 define los principios rectores: legalidad, finalidad, libertad, veracidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
Dentro de esta ley se establece que los datos sensibles —como los biométricos— requieren autorización expresa del titular.
Además, el Decreto 1377 de 2013 regula aspectos como el Registro Nacional de Bases de Datos (RNBD) y la necesidad de políticas internas para garantizar estos principios. También la jurisprudencia de la Corte Constitucional (como la Sentencia C-748/2011) prepara el terreno para que la protección de datos sea un derecho fundamental.
En materia de videovigilancia, la SIC ha publicado conceptos claros: el tratamiento de imágenes mediante cámaras es una forma intrusiva y debe cumplir principios de necesidad, proporcionalidad, seguridad, finalidad específica.
En relación con biometría y nuevas tecnologías, el reciente caso sancionado por la SIC (empresas de criptomonedas que ofrecían tokens a cambio de iris) marca un precedente: la autoridad exige que todo tratamiento debe respetar el derecho de autodeterminación informativa, obtener autorización clara, transparencia, y que el incentivo no vulnere la voluntariedad de la autorización.
En resumen: tu empresa debe contar con registro de tratamiento, políticas claras, manuales internos, medidas de seguridad, consentimiento informado, análisis de riesgos y mecanismos de rendición de cuentas.
Comparativo internacional: GDPR, CCPA, LGPD
Para entender dónde estás parado comparado con estándares globales, conviene repasar tres marcos internacionales.
GDPR (Unión Europea):
El Reglamento General de Protección de Datos exige una base legal para el tratamiento, obliga a la implementación de impacto de privacidad, derechos ARCO ampliados, designación de DPO en casos, y multas muy elevadas (hasta el 4% de la facturación global).
CCPA (California, EE.UU.):
Menos rígido que el GDPR en cuanto a consentimiento previo obligatorio, pero obliga a revelar qué datos se recolectan y permite a los titulares optar por no vender sus datos.
LGPD (Brasil):
La Ley General de Proteção de Dados define datos sensibles, obligaciones similares al GDPR y sanciones desde agosto de 2021.
¿Cómo se comparan con Colombia?
-
La Ley 1581 de 2012 exige autorización para datos sensibles, pero no define tan específicamente el análisis de impacto o la figura del DPO con tanto detalle como el GDPR.
-
El estándar colombiano está alineado globalmente en términos de principios, pero los esquemas internacionales ya van más lejos en obligaciones preventivas (impact assessments) y sanciones cuantiosas.
-
Si tu empresa opera internacionalmente o trata datos de ciudadanos de la UE, EE.UU. o Brasil, debes considerar estos marcos globales como parte de tu estrategia de cumplimiento.
De amenaza a confianza
Imaginemos que eres el administrador de un conjunto residencial en Bogotá y decides instalar un sistema de videovigilancia que incluye reconocimiento facial para acceso al parqueadero. Al anunciar “escanea tu rostro y obtén un acceso rápido”, comienzas a recolectar datos biométricos sin haber revisado autorización informada, políticas, riesgos o transparencia con los titulares.
Primero, la SIC puede considerar que estás recolectando datos sensibles sin una base legal clara y sin información adecuada al titular. Segundo, si además ofreces un incentivo (por ejemplo, acceso preferencial o incluso token interno a residentes que participen), estás generando voluntariedad condicionada, lo que podría vulnerar el principio de libertad.
En el escenario del cierre de empresas por criptomonedas, la autoridad actuó con rapidez porque la contraprestación (criptomoneda), la recolección de iris y la ausencia de claridad en la finalidad fueron elementos clave.
Tu situación es menos dramática pero igualmente susceptible: los riesgos reputacionales, legales (sanciones de la SIC), y operativos (suspensión del tratamiento, obligación de eliminar datos) son reales. Frente a esto, la transformación es posible: convertir este escenario de riesgo en un activo de confianza para tus residentes y usuarios.
En esta mitad del artículo te invito a reflexionar sobre tu propia operación: ¿cuántas brechas gestionas hoy sin saberlo? ¿cuánta confianza estás dejando en juego?
¿Cómo lo resolvemos en TODO EN UNO.NET?
En TODO EN UNO.NET te ofrecemos una solución integral en tres fases:
Fase 1 – Análisis inicial
Empezamos con un diagnóstico detallado de tus tratamientos de datos: identificamos qué datos recolectas (en particular los biométricos o los de NNA), revisamos tus bases de datos, el uso de videovigilancia, los contratos, los avisos, la autoridad de los datos. Evaluamos brechas frente a la Ley 1581 de 2012, el Decreto 1377 de 2013, la Sentencia C-748/2011 y las guías de la SIC. Esto te permite tener un mapa de riesgo concreto.
Fase 2 – Definición estratégica
Con base en ese diagnóstico, desarrollamos un plan estratégico adaptado a tu empresa, entidad o conjunto. Definimos políticas de tratamiento de datos, protocolos de autorización para biometría, manuales de videovigilancia, circunstancias para tratamiento de NNA, mecanismos de transferencia internacional de datos si aplica, y responsabilidades de accountability (“responsabilidad demostrada”). Te ayudamos a elaborar los documentos clave (registro, matriz de tratamiento, evaluaciones de riesgos) para que puedas acreditar cumplimiento ante la SIC o ante cualquier auditoría.
📅 Agenda: https://outlook.office365.com/owa/calendar/TodoEnUnoNET1@todoenuno.net.co/bookings/s/WMFJVeIvH0mCnhkPc_MDgA2
Fase 3 – Implementación y acompañamiento
La diferencia la hace la aplicación constante: acompañamos la implementación de políticas (videovigilancia, tratamiento de NNA, biometría, transferencias internacionales), revisamos los contratos con terceros, validamos que los formularios de autorización sean claros, que tu matriz de riesgos esté actualizada, que tus procedimientos de respuesta a derechos de los titulares funcionen. Asimismo generamos auditorías periódicas, te entrenamos y establecemos un modelo de mejora continua. “Si hoy solucionas este problema con nosotros, seguiremos acompañándote para que no vuelva a ocurrir.”
Con esto no solo reduces riesgo, sino que conviertes el cumplimiento en ventaja competitiva: tus clientes, residentes o usuarios valorarán que manejas sus datos de forma responsable, lo que refuerza reputación, confianza y lealtad.
Permíteme contarte el caso de “Residencial Bosques del Norte”. Esta propiedad horizontal ubicada en Medellín decidió modernizar su acceso: instaló cámaras con reconocimiento facial y ofreció a los residentes una “tarjeta inteligente” que se activaba con el escaneo. Sin embargo, no había análisis de riesgo, ni autorización clara, ni política de tratamiento de datos actualizada. Un residente presentó una queja ante la SIC, que inició inspección. Antes de llegar a una sanción severa, la junta de administración contactó a TODO EN UNO.NET. Realizamos el diagnóstico, detectamos que los datos biométricos recogidos carecían de consentimiento explícito, que no había manual de videovigilancia ni matriz de tratamiento, y que los contratos con el proveedor no incluían cláusulas de seguridad adecuadas. Definimos un plan estratégico: se revocaron los accesos para datos biométricos sin consentimiento, se actualizó el aviso de tratamiento, se firmaron contratos con el proveedor, se instaló una política interna de videovigilancia, se capacitó a los residentes sobre sus derechos. En la fase de implementación, se generaron auditorías semestrales y se estableció un canal de derechos ARCO accesible. Resultado: el conjunto no solo evitó sanciones, sino que promocionó entre los residentes que “nuestro sistema de control de acceso cumple con la Ley 1581”, lo que aumentó la confianza y bajaron los reclamos de acceso no autorizado. Hoy la comunidad se siente protegida, la reputación del PH está fortalecida, y la junta administrativa duerme tranquila sabiendo que no está en riesgo. Con TODO EN UNO.NET transformamos el reto legal en un activo de confianza.
Ahora, como gerente, administrador o emprendedor digital, entiende que no se trata simplemente de cumplir con la norma: se trata de transformar ese cumplimiento en confianza, reputación y ventaja competitiva. En TODO EN UNO.NET evitamos sanciones, fugas de datos, interrupciones operativas y daños reputacionales. Nuestro enfoque abarca políticas completas, tratamiento de NNA, videovigilancia, transferencias internacionales de datos y accountability. Imagina que los datos biométricos de tus usuarios, residentes o empleados están bien protegidos, que tu matriz de riesgos está activamente gestionada, que tienes auditorías periódicas, que todos saben sus derechos y que puedes demostrar ante la autoridad que haces seguimiento y mejora continua. Esto, en la práctica, reduce la posibilidad de que la SIC te imponga sanciones, cierre operaciones o te obligue a eliminar datos. Además, te posiciona como una entidad que va más allá del trámite: eres un referente en protección de datos, lo que inspira confianza en clientes, residentes, socios y auditores. Como parte de tu Producto Mínimo Viable (PMV) en consultoría de automatización, facturación electrónica y Habeas Data, el servicio de cumplimiento integral en protección de datos se convierte en un pilar fundamental: no solo ofreces automatización o facturación, sino también la certeza de que los datos que se usan en esos procesos están protegidos. En terminar, recuerda: “Transformamos el cumplimiento en confianza y ventaja competitiva”.
Agendamiento: Agenda una consulta
YouTube: Todo En Uno
NET
Twitter (X): Todo En Uno NET
Facebook: Todo En Uno
NET
Instagram: Todo En Uno
NET
LinkedIn: Todo En Uno NET
Comunidad de WhatsApp: Únete a
nuestros grupos
Comunidad de Telegram: Únete a nuestro canal
PAGINA WEB: Todo En Uno Net S.A.S. – Tecnología que no se
detiene
Blog: CUMPLIMIENTO HABEAS DATA -
DATOS PERSONALES
👉 “¿Quieres más tips como este? Únete al grupo exclusivo de WhatsApp o
Telegram”.
Julio César Moreno Duque
Fundador – Consultor Senior en Tecnología y Transformación Empresarial
División Habeas Data – TODO EN UNO.NET
👉 “Nunca la tecnología por la tecnología en sí misma, sino la tecnología por la funcionalidad.”
Proteger los datos no es un trámite: es un acto de respeto hacia quienes confían en tu empresa.
