Tu imagen también tiene derechos: el Habeas Data fotográfico

Imagina que descubres la foto de tu hijo publicada en la página web de su colegio sin autorización. O que tu empresa usa imágenes de empleados en redes sociales sin consentimiento. En ambos casos, se configura una violación al derecho fundamental de Habeas Data. En Colombia, las fotografías son consideradas datos personales cuando permiten identificar a una persona, y su tratamiento indebido puede generar sanciones de hasta 2.000 salarios mínimos. La Superintendencia de Industria y Comercio (SIC) ha sancionado empresas, entidades públicas y propiedades horizontales por publicar imágenes sin la debida autorización o sin informar su finalidad. Proteger la imagen no es solo una cuestión legal, sino ética y empresarial: la confianza comienza en el respeto.

👉 LEE NUESTRO BLOG, te va a sorprender.

El rostro también es un dato personal

Durante años se pensó que una foto era solo una “imagen artística” o un recuerdo, pero desde la entrada en vigencia de la Ley 1581 de 2012, toda imagen que permita identificar a una persona se considera un dato personal y, en muchos casos, un dato sensible

El rostro, las huellas dactilares o incluso el tono de voz son datos biométricos. Por tanto, una cámara de seguridad, una sesión fotográfica institucional o una foto corporativa en redes sociales no son acciones neutras: requieren consentimiento y un tratamiento adecuado conforme a la normativa vigente.

Hoy, tanto empresas privadas como entidades públicas y administradores de conjuntos residenciales deben demostrar accountability, es decir, la capacidad de evidenciar que cumplen con las normas de protección de datos.

Cuando la foto pasa de recuerdo a evidencia jurídica

En 2024, la SIC recordó que toda foto o video que permita identificar personas está sujeta a la Ley 1581 y al Decreto 1074 de 2015. Publicar o difundir imágenes sin consentimiento puede considerarse una infracción grave.

Ejemplo: un conjunto residencial instala cámaras de videovigilancia, pero no informa a los residentes ni publica los avisos exigidos. En caso de una queja, la SIC puede sancionar por incumplir el principio de finalidad, libertad y transparencia.

Asimismo, colegios y jardines deben obtener autorización expresa de los padres antes de difundir fotos de niños en redes sociales o material promocional, garantizando que se respete el interés superior del menor

Empresas, PH y colegios: tres escenarios comunes de riesgo

El error más frecuente no es la mala intención, sino la falta de conocimiento. Veamos tres escenarios reales que Todo En Uno.NET ha identificado durante más de una década de asesoría:

• Empresas privadas: publican fotos de sus empleados en redes sociales sin autorización o sin incluir la cláusula de tratamiento de datos en el contrato laboral.

• Propiedades horizontales: instalan cámaras que graban zonas no autorizadas (por ejemplo, el interior de apartamentos o vías públicas), o entregan grabaciones sin procedimiento legal.

• Instituciones educativas: utilizan imágenes de estudiantes menores en boletines, videos o redes sin consentimiento, desconociendo los artículos 7 y 9 de la Ley 1581.

En todos estos casos, el error no es técnico, sino administrativo y jurídico, y puede derivar en sanciones, pérdida de reputación y demandas civiles.

📅 Agenda una revisión gratuita de tus políticas aquí:

👉 Agendar Diagnóstico Habeas Data

El marco normativo colombiano: lo que debes cumplir hoy

El tratamiento de fotos está regulado principalmente por:

• Ley 1581 de 2012 – Desarrolla el derecho constitucional al Habeas Data.

• Decreto 1377 de 2013 (y Decreto 1074 de 2015) – Reglamenta la autorización y tratamiento de datos sensibles, incluyendo fotos y videos.

• Sentencia C-748 de 2011 – Define los límites del ámbito personal y doméstico.

• Guía SIC sobre fotos como datos personales (2020) – Aclara cuándo una foto es dato personal y cómo debe autorizarse su uso

• Guías SIC 2019 de marketing, publicidad y comercio electrónico – Complementan el tratamiento de imágenes en campañas digitales.

En esencia, la norma exige que toda empresa o entidad que capture imágenes:

• Obtenga autorización previa, expresa e informada.

• Informe al titular las finalidades específicas del uso.

• Conserve prueba documental de dicha autorización.

• Limite el uso al propósito autorizado.

• Garantice seguridad, confidencialidad y eliminación oportuna.

Cuando los derechos de imagen cruzan fronteras

El tratamiento de fotos no es solo un asunto local. En Europa, el GDPR considera la imagen facial como un dato biométrico y exige consentimiento explícito y documentado. En Brasil, la LGPD replica este modelo y obliga a las empresas a adoptar medidas técnicas y organizativas de seguridad.

En Estados Unidos, el CCPA (California Consumer Privacy Act) otorga a los consumidores el derecho de solicitar que sus fotos sean eliminadas o no compartidas con terceros.

Colombia, aunque no pertenece al Espacio Económico Europeo, ha buscado alinear su régimen con estándares internacionales. Esto es clave para las empresas que hacen transferencias internacionales de datos, por ejemplo, al almacenar fotos en nubes como AWS, Google o Meta. Dichas transferencias deben estar soportadas por cláusulas contractuales y garantías adecuadas.

Casos reales: sanciones que enseñan

En los últimos años, la SIC ha sancionado a diversas organizaciones:

• Movistar (2022): por utilizar datos de clientes en campañas sin autorización específica.

• Rappi (2023): por tratamiento inadecuado de datos sensibles, incluyendo información visual.

• Banco Caja Social (2023): por incumplir deberes de autorización y seguridad.

• Colegio privado en Bogotá (2024): por publicar fotos de estudiantes sin consentimiento.

• Propiedad horizontal en Medellín (2024): por videovigilancia sin aviso ni política publicada.

Estas decisiones evidencian que el incumplimiento del Habeas Data no distingue tamaño ni sector. Las sanciones pueden incluir multas, suspensión de actividades y, lo más grave, la pérdida de confianza de clientes o residentes.

Responsabilidad demostrada: más que cumplir, evidenciar

El principio de responsabilidad demostrada (accountability) obliga a que cada organización pueda probar ante la SIC que cumple la ley. No basta con tener políticas escritas: hay que demostrar su aplicación.

Por eso, en Todo En Uno.NET ayudamos a empresas y conjuntos residenciales a implementar sistemas integrales de cumplimiento con evidencia verificable: matrices de riesgos, manuales, contratos con cláusulas específicas y capacitación al personal.

📅 Solicita tu diagnóstico de cumplimiento:

👉 Agendar Diagnóstico Habeas Data

Tres fases para proteger tus imágenes con TODO EN UNO.NET

1. Análisis inicial: diagnosticamos el estado real del tratamiento de imágenes, videovigilancia y publicaciones.

2. Definición estratégica: diseñamos tu Plan de Cumplimiento Habeas Data conforme a la Ley 1581/2012 y estándares internacionales.

3. Implementación y acompañamiento: elaboramos políticas, avisos de privacidad, registros RNBD, manuales y capacitaciones personalizadas.

“Si hoy solucionas este problema con nosotros, seguiremos acompañándote para que no vuelva a ocurrir.”

El poder de una imagen bien protegida

Cumplir con el Habeas Data no solo evita sanciones: fortalece tu reputación. Cuando una empresa, colegio o propiedad horizontal respeta la privacidad visual de las personas, transmite seguridad, transparencia y confianza. En un entorno digital saturado de exposición, eso se convierte en una ventaja competitiva.

Una institución educativa contactó a TODO EN UNO.NET luego de recibir una notificación de la SIC por publicar fotos de niños en redes sociales sin autorización. En el diagnóstico se descubrió que no existían registros de consentimiento ni política de privacidad. En tres semanas, se implementó un sistema completo de gestión de datos personales, se creó un formato de autorización para padres y se capacitó a docentes y personal administrativo.

Un año después, la institución no solo cumplía la norma, sino que se convirtió en referente nacional en protección de datos escolares. Hoy, promueven talleres de privacidad digital entre sus estudiantes, demostrando que cumplir la ley puede convertirse en educación y reputación.

En TODO EN UNO.NET transformamos el cumplimiento legal en confianza y valor empresarial. Nuestro servicio integral de Habeas Data no se limita a elaborar documentos: construimos cultura organizacional y procesos sostenibles. Desde el diagnóstico hasta la implementación de manuales, políticas y avisos de videovigilancia, garantizamos que cada cliente tenga respaldo jurídico y tecnológico.

Además, nuestro Producto Mínimo Viable (PMV) de Habeas Data permite que pequeñas empresas, conjuntos residenciales y colegios empiecen a cumplir sin grandes inversiones iniciales.

Porque en 2025, la reputación digital depende de la confianza.

Transformamos el cumplimiento en confianza y ventaja competitiva.

Agendamiento: Agenda una consulta

YouTube: Todo En Uno NET

Twitter (X): Todo En Uno NET

Facebook: Todo En Uno NET

Instagram: Todo En Uno NET

LinkedIn: Todo En Uno NET

Comunidad de WhatsApp: Únete a nuestros grupos

Comunidad de Telegram: Únete a nuestro canal

PAGINA WEB: Todo En Uno Net S.A.S. – Tecnología que no se detiene

Blog: CUMPLIMIENTO HABEAS DATA - DATOS PERSONALES

👉 “¿Quieres más tips como este? Únete al grupo exclusivo de WhatsApp o Telegram”.

Julio César Moreno Duque

Fundador – Consultor Senior en Tecnología y Transformación Empresarial

División Habeas Data – TODO EN UNO.NET

👉 “Nunca la tecnología por la tecnología en sí misma, sino la tecnología por la funcionalidad.”

“Proteger los datos no es un trámite: es un acto de respeto hacia quienes confían en tu empresa.”