INICIAR SESIÓN

Servicios
legales

Especialistas en derecho
comercial, laboral, societario y tributario.

Legal
Design

Rediseñamos experiencias legales. Más simples, cercanas y atractivas.

Plataforma
online

Crea, firma y gestiona los
contratos de tu empresa.

HABLEMOS 

INICIAR SESIÓN

Tratamiento de datos personales: guía sobre las obligaciones principales a tener en cuenta

Sep 25, 2025 | Asesoría legal, Tratamiento de datos

Es común que durante la operación y gestión de tu empresa sea necesario recolectar datos personales, ya sea porque contratas personal, realizas diferentes negocios con clientes, o porque tus actividades comerciales requieren el procesamiento de información personal.

Si tu empresa realiza el tratamiento de datos, en Doclick hemos realizado una guía que te ayudará a comprender cuales son las obligaciones que debes asumir para un adecuado manejo de estos y para asegurar el cumplimiento normativo ante los titulares – propietarios – de la información y la autoridad de protección de datos personales – Superintendencia de Industria y Comercio -.

Antes de comenzar,  ¿qué se considera un dato personal?

Un dato personal es la información que está asociada a una persona natural y que permite su identificación. Por ejemplo: su nombre, número de identificación, lugar de nacimiento, edad, dirección, correo electrónico, así como otros datos más sensibles como su estado de salud, características físicas, ideología política, vida sexual, entre otros. 

Entendiendo esto, ¿cuándo se entiende que una empresa realiza el tratamiento de datos?

Una empresa está realizando el tratamiento de datos personales cuando lleva a cabo cualquier operación o conjunto de operaciones sobre datos personales, tales como su recolección, almacenamiento, uso, circulación o supresión.

Por tanto, si tu empresa está tratando datos personales, esta se considerará como Responsable del tratamiento de estos datos personales. Pero ¿Debes asumir las obligaciones relacionadas con el tratamiento?

Sí. Todo tratamiento de datos personales realizado en el territorio colombiano estará sujeto al cumplimiento de las disposiciones obligatorias contenidas en las normas sobre datos personales.  En ese sentido, debes procurar adoptar las medidas que a continuación te contaremos.

¿Cuáles son esas obligaciones que debes asumir para un adecuado tratamiento de datos personales?

El adecuado cumplimiento de las obligaciones en materia de datos personales se ha desarrollado bajo el concepto de responsabilidad demostrada  o “accountability” para: (i) estar preparados para demostrar ante la autoridad la implementación efectiva de estas medidas dentro de tu empresa, (ii) responder a los ciclos internos de gestión de datos de tu empresa, y (iii) generar resultados que permitan a tu empresa probar la diligencia. Así que si tratas datos, estas son las medidas que debes tomar:

1. Compromiso de la empresa.

Antes de implementar documentos, políticas y procedimientos específicos dentro de tu empresa, es fundamental que todo el personal que compone tu empresa se comprometa con una cultura por el respeto al tratamiento de los datos personales que recolecta y trata.

La empresa deberá entonces: 

  1. Procurar porque su estructura administrativa sea proporcional a la estructura y tamaño empresarial de la empresa como Responsable del tratamiento para la adopción de estas medidas; 
  2. Adoptar mecanismos internos para poner en práctica estas políticas, como herramientas de implementación, entrenamiento y programas de educación y capacitación del personal;
  3. Implementar procesos para la atención y respuesta de consultas, peticiones y reclamos de los titulares respecto del tratamiento.

Desde la dirección y gerencia de la empresa se deberá generar una cultura organizacional para el respeto por la protección de los datos personales, y para eso, debe: 

  1. Designar a la persona o al área responsable que asumirá la función de protección de datos dentro de la empresa. A este rol se le denomina Oficial de Protección de Datos Personales. 
  2. Aprobar y monitorear un programa para la implementación de estas medidas. 
  3. Informar de manera periódica a los órganos directivos sobre la ejecución del programa. 
  4. Destinar los recursos suficientes para que el área u oficial de datos personales pueda diseñar e implementar  un programa que se ajuste a la realidad de tu empresa. 
  5. Asignar a través del oficial responsabilidades a las otras áreas respecto del tratamiento de datos personales.

2. Garantizar al titular de los datos personales que ejerza sus derechos. 

Cuando tu empresa recolecta datos personales, los titulares de estos podrán solicitar en cualquier momento el ejercicio de estos derechos: 

  1. Conocer, actualizar y rectificar sus datos personales;
  2. Solicitar prueba de la autorización que te otorgó el titular para el tratamiento de sus datos, salvo que estés exceptuado; 
  3. Ser informado del uso que le has dado a sus datos personales;
  4. Presentar ante la Superintendencia de Industria y Comercio, quejas sobre las infracciones que hayas hecho sobre el tratamiento de sus datos. 
  5. Revocar la autorización y/o solicitar la supresión de los datos;
  6. Acceder de forma gratuita a tus datos personales.

Es tu obligación garantizar que el titular de la información personal ejerza estos derechos además deberás procurar dar una respuesta de fondo sobre su solicitud, la cual debe respetar las garantías del tratamiento de datos. 

Para dar cumplimiento a esta medida te recomendamos: 

  • Comunicar al titular de la información personal sobre sus derechos en el momento en que otorga su autorización o a través de la política de protección y tratamiento de datos. 
  • Establecer un canal de contacto en el que el titular de los datos personales pueda enviar las solicitudes relacionadas con el ejercicio de sus derechos.

3. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos. 

Este manual deberá detallar cómo tu empresa gestiona y procesa los datos personales que ha recolectado, y en especial, cómo atenderá y dará trámite a las consultas y reclamos que presentan los titulares de la información relacionadas con el ejercicio de sus derechos. 

Para dar cumplimiento a esta obligación te recomendamos: 

  • Elaborar un manual interno que contenga por lo menos los deberes y derechos de los Responsables y Encargados de la información personal, los derechos de los titulares, los tipos de datos que trata la empresa, el tratamiento que se hace de estos, el ciclo de vida de la información personal, el procedimiento para garantizar los derechos de los titulares y demás medidas necesarias en tu empresa.

4. Solicitar y conservar copia de la autorización otorgada por el titular de los datos personales.

Cuando tengas la intención y requieras recolectar datos personales, es tu obligación solicitar al titular una autorización para su tratamiento, misma que deberás conservar como prueba de que se otorgó.

La autorización debe solicitarse de forma previa al tratamiento de los datos, por cualquier medio que permita su consulta posterior. Puede obtenerse (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio del titular podrá entenderse como conducta inequívoca.

Para dar cumplimiento a esta obligación te recomendamos: 

  • Suscribir con el titular un documento por medio del cual autorice el tratamiento de sus datos personales.
  • Si obtienes información personal a través de sitios web, plataformas, chat bots, entre otros, te recomendamos solicitar la respectiva autorización a través de un checkbox o casilla de verificación. 
  • Cuando no sea posible obtener una autorización directamente del titular de la información, te recomendamos publicar y mantener visible un aviso de privacidad en el que des a conocer que has adoptado una política de protección y tratamiento de datos. 

5. Adoptar una Política de Protección y Tratamiento de Datos Personales. 

Todo Responsable del tratamiento de datos personales deberán desarrollar e implementar una Política de Protección y Tratamiento de Datos Personales, las cuales deberán estar contenidas en un medio físico o digital, en un lenguaje claro y sencillo para su entendimiento y deberá darse a conocer a los titulares de la información, además deberá contener lo siguiente: 

  1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable.
  2. Tratamiento al cuál serán sometidos los datos y finalidad del mismo cuando esta no se haya informado mediante el aviso de privacidad.
  3. Derechos que le asisten cómo Titular.
  4. Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cuál el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.
  5. Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.
  6. Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de datos.

Cualquier cambio que hagas de la política deberás comunicarlo a los titulares de los datos personales.

Para dar cumplimiento a esta obligación te recomendamos: 

  • Elaborar una política de protección y tratamiento de datos personales adaptada a la operación de tu empresa y al tratamiento de datos personales que realizamos. En Doclick podemos asesorarte sobre la elaboración de este documento.
  • Publicar y divulgar la política de protección y tratamiento de datos personales de forma que los titulares de la información pueden consultarla en cualquier momento.

Si quieres saber más sobre la Política de Protección y Tratamiento de Datos en este artículo te contamos -> Política de protección y tratamiento de datos personales: conoce la importancia

6. Nombrar un Oficial de Protección de Datos Personales

Tu empresa como Responsable del tratamiento de datos personales debe designar una persona o área que asuma las funciones tendientes al cumplimiento de las responsabilidades sobre el tratamiento de datos personales. En especial, el oficial de protección e datos personales estará encargado de: 

  • Dar trámite a las solicitudes, consultas y reclamos de los titulares de los datos personales sobre el ejercicio de sus derechos. 
  • Velar y verificar la implementación  efectiva de las políticas y procedimientos adoptados por la empresa para el cumplimiento de las normas en materia de datos personales. 
  • Adoptar buenas prácticas de gestión de datos personales dentro de la empresa.
  • Diseñar y estructurar el plan que permita a tu empresa cumplir con estas medidas y la ley.
  • Elaborar un sistema para la administración de riesgos del tratamiento de datos personales. 
  • Coordinar a las demás áreas de tu empresa para asegurar la implementación transversal del plan de gestión de datos personales.
  • Impulsar y educar sobre una cultura de protección de datos personales. 
  • Mantener un inventario de las bases de datos de la empresa.
  • Registrar las bases de datos en el Registro Nacional de Bases de Datos Personales y actualizar el reporte sobre este, los reclamos y los incidentes de seguridad que se presenten en la empresa.
  • Entre otras relacionadas con el tratamiento de los datos personales.

7. Realizar el Registro Nacional de Bases de Datos

El Registro Nacional de Bases de Datos es el repositorio público dispuesto por la Superintendencia de Industria y Comercio para que todas las organizaciones reporten las bases de datos que contienen datos personales que tienen en su poder y de las cuales hacen tratamiento. 

Este registro tiene como finalidad que las personas puedan consultar las bases de datos personales existentes en el país y garantizar la protección de sus datos al asegurar que las empresa cumplan con las normas sobre protección de datos personales.

Tienen el deber de registrar sus bases de datos las empresas que tengan activos totales superiores a 100 mil Unidades de Valor Tributario (UVT). 

Para dar cumplimiento a esta obligación te recomendamos: 

  • Mantener un adecuado inventario y registro de las bases de datos de tu empresa, que contenga: 
  1. Tipos de datos. 
  2. Datos recolectados.
  3. Número de titulares.
  4. Medidas de seguridad adoptadas.
  5. Si ha obtenido autorización para el tratamiento de los datos.
  6. Encargados de los datos personales.
  7. Canales de contacto para la atención de solicitudes.

Si quieres saber más sobre el RNBD en este artículo te contamos -> El Registro Nacional de Bases de Datos (RNBD): todo lo que debes saber.

8. Implementar un plan de auditoría interna

Implementar un plan de auditoría interna permitirá no sólo hacer un adecuado seguimiento y control a la ejecución del plan de gestión de datos sino también verificar el cumplimiento de las políticas y señalar hallazgos, oportunidades de mejora, recomendaciones y medidas preventivas o correctivas en caso de que se presenten riesgos a la administración de la información personal. 

Para dar cumplimiento a esta obligación te recomendamos: 

  • Estructurar e implementar un plan anual de auditoría interna en el que se establezcan los roles encargados dentro de la empresa del tratamiento de datos personales, sus responsabilidades, funciones, procedimientos que les aplique, y el nivel de cumplimiento. 

9. Adoptar un sistema de administración de riesgos asociados al tratamiento de datos personales. 

Durante la implementación del plan de gestión de datos, tu empresa debe considerar la identificación y manejo de los riesgos asociados al tratamiento de datos personales, y por eso es importante que desarrolle un sistema de administración de riesgos acorde con su estructura organizacional, sus procesos, procedimientos internos, volumen y tipo de datos personales. 

Este sistema permite a tu empresa identificar, medir, controlar y monitorear todos los hechos o situaciones que puedan incidir en la debida administración del riesgo que están expuestos durante su tratamiento. 

Para dar cumplimiento a esta obligación te recomendamos: 

  • Implementar un sistema de administración de riesgos que contenga las siguientes etapas:
  1. Identificación.
  2. Medición.
  3. Control.
  4. Monitoreo.

Además de adoptar un protocolo de respuesta en el manejo de violaciones e incidentes para la gestión de riesgos internos y externos que le permita identificar sus vulnerabilidades a tiempo y enfocar sus recursos en la adopción de medidas de mitigación de riesgos que minimicen dicho impacto tanto para tu empresa como para el titular de la información. 

10. Informar a la autoridad competente sobre la ocurrencia de incidentes

La ley ha establecido como deber de los Responsables del tratamiento de datos personales informar a la autoridad de protección de datos –Superintendencia de Industria y Comercio– cuando se presenten violaciones a los códigos de seguridad y existan riesgos a la administración de la información de los titulares de los datos personales.

Para desarrollar este deber, la Superintendencia de Industria y Comercio establece que las organizaciones obligadas o no a inscribir las Bases de Datos Personales ante el Registro Nacional de Bases de Datos, deberán reportar el incidente de seguridad dentro los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o el área encargada de atenderlos. Este reporte se efectúa a través del sitio web dispuesto por la Superintendencia.

Para dar cumplimiento a esta obligación te recomendamos: 

  • Reportar los incidentes de seguridad de la información en el término previsto en la ley.

11. Formar y educar al personal de tu empresa

Para la adecuada implementación de un plan de gestión de datos personales es fundamental que tu empresa capacite a sus empleados sobre el adecuado tratamiento de los datos personales a quienes tengan responsabilidades relacionados con este. La educación a tu equipo de trabajo debe ser permanente, por lo que es importante que realices jornadas continuas de capacitación, pues el cumplimiento de las medidas y del plan de gestión de datos sólo podrá lograrse si el personal tiene conocimiento suficiente sobre su funcionamiento. 

Para dar cumplimiento a esta obligación te recomendamos: 

  • Elaborar un plan de capacitación anual que considere los aspectos más importantes sobre el plan de gestión de datos adoptado en tu empresa.

El cumplimiento de estas medidas genera beneficios para tu empresa y protegerá a los titulares de los datos personales. Además, la Superintendencia de Industria y Comercio tendrá en cuenta la adopción de medidas y políticas específicas para el manejo adecuado de los datos personales al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidas en la ley, permitiendo demostrar que la falla corresponde a una situación aislada y no a la falta de la adopción de medidas.

En Doclick, con nuestro grupo de expertos, te apoyamos con el cumplimiento de las obligaciones que tiene tu empresa durante el tratamiento de datos personales. Evita incumplimiento y sanciones con un adecuado plan de gestión de datos. 

¡Contáctanos y te orientamos!

Categorías

¡Quiero recibir noticias
y nuevos artículos!

Abrir chat
¡Hola bienvenido a Doclick! ¿Cómo podemos ayudarte?