Imagina que un administrador de un conjunto residencial instala cámaras de seguridad en los pasillos para “proteger a los residentes”. Lo hace con buena intención, pero nunca publica el aviso de videovigilancia ni define quién puede acceder a las grabaciones. Meses después, una persona denuncia que su imagen fue compartida sin autorización en un grupo de WhatsApp. El caso llega a la Superintendencia de Industria y Comercio (SIC) y la investigación termina con sanciones económicas y la orden de suspender el tratamiento de datos.
Este escenario no es hipotético. Situaciones similares ocurren cada año en Colombia y el mundo. El 2025 fue particularmente revelador: nuevas circulares regulatorias, multas millonarias y decisiones que redefinen la forma en que empresas, plataformas digitales, fintech y entidades públicas deben manejar la información personal.
Si tu empresa, tu conjunto residencial o tu emprendimiento digital recopila datos, este tema te involucra directamente.
👉 LEE NUESTRO BLOG, te abrirá los ojos.
El año en que los datos se volvieron el centro de la regulación
Durante décadas, muchas organizaciones trataron la protección de datos como un trámite administrativo. Tener un documento llamado “Política de Tratamiento de Datos Personales” parecía suficiente. Pero el año 2025 dejó claro que la realidad cambió.
Hoy el tratamiento de datos personales es un tema de riesgo legal, reputacional y financiero.
La Superintendencia de Industria y Comercio, autoridad nacional de protección de datos en Colombia, intensificó su actividad de inspección y vigilancia. Solo en 2025 inició 101 investigaciones relacionadas con incumplimientos del régimen de protección de datos personales, superando los procesos abiertos en años anteriores.
Ese incremento no es casual. El crecimiento de la economía digital, el uso masivo de inteligencia artificial, el marketing automatizado y las plataformas digitales han multiplicado el volumen de datos personales que circula en las organizaciones.
Y cuando esos datos se manejan sin controles, aparecen los problemas.
Nuevas reglas que cambiaron el panorama en Colombia
Uno de los acontecimientos más relevantes de 2025 fue la emisión de la Circular Externa 001 de 2025 de la SIC, que introdujo nuevos estándares para el tratamiento de datos personales en sectores como fintech, banca y servicios financieros.
Esta circular no reemplaza la Ley 1581 de 2012, pero sí eleva el nivel de exigencia en varios aspectos.
Primero, establece la necesidad de contar con un oficial de privacidad responsable de garantizar el cumplimiento de la normativa dentro de la organización.
Segundo, promueve la realización de evaluaciones de impacto en privacidad antes de lanzar productos o servicios que impliquen el tratamiento masivo de datos.
Tercero, refuerza el concepto de consentimiento granular, es decir, que cada finalidad del tratamiento de datos debe ser autorizada explícitamente por el titular.
Estas medidas reflejan un cambio profundo: el cumplimiento ya no se limita a tener documentos. Ahora exige gobernanza de datos, controles y evidencia de cumplimiento, lo que la normativa internacional conoce como accountability o responsabilidad demostrada.
Las sanciones que marcaron el 2025
Si algo dejó claro el año 2025 es que la SIC está dispuesta a sancionar.
Uno de los casos más conocidos fue el de Mercado Libre Colombia, sancionado con una multa de $214.405.120 por infringir normas relacionadas con el tratamiento de datos personales.
Otro caso relevante fue el de Risks International S.A.S., sancionada con $190.547.400 y con suspensión temporal de actividades relacionadas con el tratamiento de datos por manejar información sensible sin autorización válida.
También se confirmaron sanciones importantes contra empresas de telecomunicaciones. En el caso de Movistar, la SIC ratificó una multa cercana a $670 millones por contactar usuarios con fines comerciales sin contar con autorización previa.
Pero el caso que generó mayor debate fue el cierre de operaciones de empresas vinculadas al proyecto Worldcoin, que recolectaban datos biométricos mediante escaneo del iris sin garantizar información clara ni medidas adecuadas de seguridad.
Ese caso evidenció un tema clave: los datos biométricos son considerados datos sensibles, y su tratamiento exige requisitos mucho más estrictos.
En otras palabras, el mensaje de la autoridad fue claro:
Lo bueno, lo malo y lo regular del 2025 en protección de datos
Cuando analizamos el año completo, aparecen tres grandes tendencias.
Primero, lo positivo.
Colombia avanzó hacia una mayor integración internacional en materia de privacidad. La SIC fortaleció su participación en organismos internacionales y adoptó estándares comparables con Europa y otros países.
Eso significa que el país está alineando su normativa con modelos como el Reglamento General de Protección de Datos de la Unión Europea (GDPR).
Segundo, lo preocupante.
Las multas y las investigaciones crecieron significativamente. Las sanciones por violaciones al régimen de datos superaron los 5.157 millones de pesos en lo corrido del año.
Esto demuestra que muchas organizaciones aún no entienden la importancia del cumplimiento.
Tercero, lo regular.
Aunque cada vez más empresas adoptan políticas de privacidad, muchas lo hacen de forma superficial. Tienen documentos, pero no procesos reales de gestión de datos.
Ese vacío entre documento y práctica es el origen de la mayoría de sanciones.
El contexto internacional: privacidad bajo presión
Colombia no es el único país donde la protección de datos se ha vuelto prioritaria.
En Europa, bajo el GDPR, las autoridades continúan aumentando el número de sanciones. En 2025 la Agencia Española de Protección de Datos impuso cerca de 300 multas que sumaron aproximadamente 40 millones de euros, muchas relacionadas con brechas de seguridad y uso indebido de datos biométricos.
En Estados Unidos, la California Consumer Privacy Act (CCPA) y su evolución, la CPRA, han reforzado los derechos de los consumidores sobre su información personal.
En Brasil, la Ley General de Protección de Datos (LGPD) ha impulsado investigaciones contra empresas que utilizan datos sin consentimiento o sin medidas adecuadas de seguridad.
En todos estos casos el mensaje es el mismo:
El error más común en empresas y conjuntos residenciales
En mi experiencia como consultor desde la entrada en vigencia de la Ley 1581 de 2012, he visto el mismo error repetirse una y otra vez.
Las organizaciones creen que la protección de datos es un documento.
Pero en realidad es un sistema de gestión.
Un conjunto residencial instala cámaras sin avisos de videovigilancia.
Un colegio guarda datos de estudiantes sin autorización de los padres.
Una empresa comparte bases de datos entre departamentos sin controles.
Un emprendimiento digital recolecta correos electrónicos sin informar claramente el uso.
Todos esos casos parecen pequeños… hasta que aparece una queja.
Y cuando aparece una queja, comienza una investigación.
Cómo resolverlo con TODO EN UNO.NET
Después de más de una década acompañando organizaciones en la implementación de Habeas Data, hemos desarrollado un modelo práctico que funciona en tres fases.
La primera fase es el análisis inicial.
Aquí identificamos qué datos recoge la organización, dónde se almacenan, quién tiene acceso y cuáles son los riesgos legales. Muchas empresas descubren en esta etapa que manejan más información de la que imaginaban.
La segunda fase es la definición estratégica.
En esta etapa se diseñan las políticas de tratamiento de datos, los procedimientos de atención a titulares, los protocolos de videovigilancia y el plan de cumplimiento con la normativa vigente.
La tercera fase es la implementación y acompañamiento.
Aquí se materializa todo: manuales, registros ante la SIC, capacitación al personal, control de accesos y sistemas de respuesta ante incidentes.
Nuestro objetivo no es entregar documentos.
Nuestro objetivo es crear cultura de protección de datos dentro de la organización.
“Si hoy solucionas este problema con nosotros, seguiremos acompañándote para que no vuelva a ocurrir.”
Hace unos meses llegó a nosotros el administrador de un conjunto residencial en Bogotá.
Habían instalado más de treinta cámaras de seguridad en zonas comunes. La intención era mejorar la seguridad, pero nunca se había definido quién podía acceder a las grabaciones ni cuánto tiempo se almacenaban.
Un residente presentó una queja ante la SIC después de que un video se difundiera en redes sociales.
Cuando analizamos el caso encontramos varios riesgos: ausencia de aviso de videovigilancia, falta de política de tratamiento de datos, inexistencia de responsable del tratamiento y ningún procedimiento para atender solicitudes de los titulares.
Trabajamos con el conjunto en tres frentes: regularización del sistema de videovigilancia, adopción de políticas de protección de datos y capacitación al consejo de administración.
Meses después el conjunto no solo había resuelto el problema, sino que los residentes comenzaron a percibir mayor confianza en la administración.
Ese es el verdadero objetivo del cumplimiento.
No es evitar multas.
Es construir confianza.
La protección de datos personales dejó de ser un tema exclusivo de abogados o departamentos de tecnología. Hoy es un elemento central en la gestión de cualquier organización que interactúe con clientes, proveedores, estudiantes, residentes o ciudadanos. En el contexto colombiano, la Ley 1581 de 2012, el Decreto 1377 de 2013 y las guías emitidas por la Superintendencia de Industria y Comercio establecen obligaciones claras para quienes recolectan y tratan información personal. Pero cumplir la norma no significa únicamente evitar sanciones; significa construir una cultura organizacional basada en la transparencia, el respeto por la privacidad y la gestión responsable de la información. En TODO EN UNO.NET entendemos que muchas empresas no cuentan con equipos especializados en privacidad ni con el tiempo para interpretar regulaciones complejas. Por eso desarrollamos soluciones prácticas que incluyen diagnóstico normativo, diseño de políticas, protocolos de videovigilancia, tratamiento adecuado de datos de niños, niñas y adolescentes, gestión de transferencias internacionales de información y modelos de responsabilidad demostrada o accountability. Nuestro enfoque también se conecta con la estrategia de Producto Mínimo Viable (PMV): implementaciones rápidas que permiten a las organizaciones cumplir con la normativa mientras desarrollan una cultura de gestión del dato. En otras palabras, ayudamos a convertir el cumplimiento en una ventaja competitiva. Porque cuando una empresa demuestra que protege la información de sus usuarios, no solo evita multas: gana reputación, credibilidad y confianza. Transformamos el cumplimiento en confianza y ventaja competitiva.
Agendamiento: Agenda una consulta
YouTube: Todo En Uno
NET
Twitter (X): Todo En Uno NET
Facebook: Todo En Uno
NET
Instagram: Todo En Uno
NET
LinkedIn: Todo En Uno NET
Comunidad de WhatsApp: Únete a
nuestros grupos
Comunidad de Telegram: Únete a nuestro canal
PAGINA WEB: Todo En Uno Net S.A.S. – Tecnología que no se
detiene
Blog: CUMPLIMIENTO HABEAS DATA -
DATOS PERSONALES
👉 “¿Quieres más tips como este? Únete al grupo exclusivo de WhatsApp o Telegram”.Julio César Moreno Duque
👉 “Nunca la tecnología por la tecnología en sí misma, sino la tecnología por la funcionalidad.”
Proteger los datos no es un trámite: es un acto de respeto hacia quienes confían en tu empresa.
