Habeas Data Colombia (Ley 1581): guía para tu sitio web

Si tu app web atiende personas en Colombia, recopilas datos personales: un correo en el formulario de registro, una dirección de envío, un número de teléfono en el chat de soporte. Ese acto, aparentemente trivial, te convierte en responsable del tratamiento de datos personales bajo la Ley 1581 de 2012, la norma general de protección de datos del país.

La buena noticia: no necesitas ser abogado para cumplir lo esencial. La mayoría de las obligaciones se traducen en decisiones concretas de producto y de código. En esta guía te explicamos qué es el Habeas Data en Colombia, qué te exige la Ley 1581, qué rol juega la SIC y, sobre todo, qué puedes revisar hoy en tu sitio para reducir riesgo.

Nota: esto es una guía práctica, no asesoría legal. Las cifras de sanciones, los umbrales y los plazos cambian; cuando algo sea incierto te diremos que verifiques el texto vigente o consultes con un abogado.

Qué es el Habeas Data en Colombia

El Habeas Data es un derecho constitucional (artículo 15 de la Constitución colombiana). En palabras simples: toda persona tiene derecho a conocer, actualizar y rectificar la información que se haya recogido sobre ella en bases de datos, públicas o privadas.

La Ley 1581 de 2012, junto con sus decretos reglamentarios, desarrolla ese derecho y establece el régimen general de protección de datos personales. Define quién puede tratar datos, bajo qué condiciones, qué derechos tienen los titulares y qué autoridad vigila el cumplimiento.

Conviene fijar tres roles, porque la ley te asigna obligaciones distintas según cuál seas:

• Titular: la persona natural a quien se refieren los datos. Tu usuario.
• Responsable del tratamiento: quien decide para qué y cómo se tratan los datos. Si es tu producto, normalmente eres tú.
• Encargado del tratamiento: quien trata datos por cuenta del responsable. Tus proveedores: el hosting, el proveedor de email, la pasarela de pago, las herramientas de analítica.

Entender esto importa porque tu relación con cada proveedor (Encargado) debería quedar documentada, y porque la responsabilidad frente al titular sigue siendo tuya aunque delegues el procesamiento.

Los principios que rigen el tratamiento

La Ley 1581 fija una serie de principios que deben cumplirse en todo tratamiento. No los memorices al pie de la letra; entiende la intención, porque guían cómo diseñas tu producto:

• Finalidad: los datos se recogen para un propósito legítimo y explícito. No puedes pedir el RUT "por si acaso".
• Libertad: el tratamiento requiere consentimiento del titular (con excepciones legales).
• Veracidad y calidad: la información debe ser veraz y actualizada. Por eso existen los flujos de "editar mi perfil".
• Transparencia: el titular puede saber, cuando lo pida, qué datos tienes sobre él.
• Acceso y circulación restringida: solo accede quien debe; los datos no circulan libremente.
• Seguridad: debes adoptar medidas técnicas y administrativas para proteger los datos.
• Confidencialidad: quienes intervienen en el tratamiento están obligados a guardar reserva.

Fíjate en el principio de seguridad: la ley no te pide buenas intenciones, te pide medidas. Más adelante veremos cómo eso se vuelve algo observable en tu sitio.

El rol de la SIC

La autoridad de protección de datos en Colombia es la Superintendencia de Industria y Comercio (SIC), a través de su Delegatura para la Protección de Datos Personales.

¿Qué hace la SIC y por qué te debe importar?

• Vigila el cumplimiento de la Ley 1581 y sus decretos.
• Atiende quejas y reclamos de titulares cuando un responsable no resuelve.
• Puede iniciar investigaciones e imponer sanciones (multas, suspensión de actividades de tratamiento, entre otras medidas previstas en la ley).
• Administra el Registro Nacional de Bases de Datos (RNBD), que mencionamos en la siguiente sección.

Las sanciones pueden ser significativas y se calculan en función de criterios que define la propia ley. No citamos un monto exacto aquí porque los topes y la forma de cálculo se actualizan; si necesitas la cifra vigente, verifica directamente con la SIC o con tu asesor legal. El punto práctico es: la autoridad tiene dientes, y el incumplimiento tiene costo.

Registro Nacional de Bases de Datos (RNBD)

El RNBD es un registro administrado por la SIC en el que los responsables deben inscribir las bases de datos personales que manejan. La idea es dar visibilidad sobre quién trata datos en el país.

Aquí toca ser prudente: la obligación de inscribirse y los umbrales aplicables han variado con el tiempo y dependen de factores como el tipo de organización y, en algunos casos, su nivel de activos o naturaleza. No asumas que aplica o que no aplica a tu caso por defecto.

Si manejas bases de datos personales en Colombia, verifica la aplicabilidad y los umbrales vigentes del RNBD directamente en la SIC antes de concluir que estás (o no) obligado a registrar. Es un trámite administrativo, separado de las medidas técnicas, y conviene resolverlo con información actual.

Lo importante para ti como fundador o dev: el RNBD es una obligación administrativa que conviene chequear con la fuente oficial. No es algo que tu código resuelva, pero sí algo que tu checklist de cumplimiento debe contemplar.

La autorización del titular

Bajo la Ley 1581, como regla general necesitas la autorización previa, expresa e informada del titular para tratar sus datos. "Informada" significa que la persona entiende qué datos recoges y para qué.

Algunas pautas prácticas:

• La autorización puede recogerse por distintos medios, siempre que puedas conservar prueba de ella. En la web, esto suele ser un checkbox explícito (no premarcado) junto a un enlace a tu política de tratamiento.
• Evita el "consentimiento empaquetado" donde aceptar los términos implica aceptar cualquier uso. Separa lo necesario de lo opcional (por ejemplo, marketing).
• Los datos sensibles (salud, orientación sexual, datos biométricos, origen étnico, entre otros que define la ley) tienen un régimen reforzado: en general no estás obligado a entregarlos y su tratamiento exige condiciones más estrictas. Si tu producto los toca, revisa el marco con cuidado.
• Los datos de niños, niñas y adolescentes tienen protección especial.

Guarda registro de cuándo y cómo se otorgó la autorización. El día que un titular o la SIC pregunte, querrás poder demostrarlo.

La política de tratamiento de datos

La Ley 1581 y su reglamentación esperan que el responsable cuente con una política de tratamiento de la información y que la ponga a disposición de los titulares. En la práctica, es tu página de "Política de Privacidad" o "Política de Tratamiento de Datos", y debería describir, entre otras cosas:

• Quién es el responsable (tu empresa) y sus datos de contacto.
• Qué datos recoges y con qué finalidades.
• Los derechos del titular (conocer, actualizar, rectificar, suprimir, revocar la autorización).
• El procedimiento y canal para ejercer esos derechos y presentar reclamos.

Sobre los derechos: el titular puede pedirte acceso, corrección o supresión de sus datos, y la ley fija plazos para responder consultas y reclamos. Esos plazos cambian según el tipo de solicitud y pueden actualizarse, así que verifica los términos vigentes y diseña tu operación para cumplirlos. En producto, esto se traduce en flujos reales: poder exportar los datos de un usuario, editarlos y borrar su cuenta.

Dónde se conecta el cumplimiento con la seguridad técnica

Aquí está la parte que muchas guías legales omiten. El principio de seguridad de la Ley 1581 no se queda en el papel: se manifiesta en cosas que cualquiera puede observar desde afuera de tu sitio.

Piénsalo así: si un atacante puede interceptar el formulario donde tu usuario escribe su correo y su dirección, no estás aplicando "medidas técnicas razonables", por mucho que tu política diga lo contrario. Algunos ejemplos de seguridad observable que respaldan el cumplimiento:

• HTTPS en todo el sitio, no solo en el login. Los datos personales viajan por muchos formularios.
• Cabeceras de seguridad (como HSTS y una buena Content-Security-Policy) que reducen interceptación y ataques de inyección.
• Cookies marcadas como Secure y HttpOnly cuando corresponde, para proteger la sesión.
• Ausencia de fugas evidentes: rutas de administración expuestas, mensajes de error que revelan estructura interna, archivos de configuración accesibles.

Estas señales son auditables. De hecho, son exactamente el tipo de hallazgos que un escáner puede detectar en minutos. La idea no es que pasar un escáner te vuelva "cumplidor" de la Ley 1581 (el cumplimiento es más amplio), sino que una configuración técnica débil contradice directamente el principio de seguridad y es lo primero que conviene cerrar.

En Pursecure pegas la URL de tu sitio y recibes un puntaje de 0 a 100 con los hallazgos ordenados por gravedad. Cada hallazgo trae un prompt listo para arreglarlo con IA (Claude, Cursor). Es una forma rápida de ver, hoy, qué tan lejos está tu superficie pública del principio de seguridad. Puedes correr un escaneo gratis en pursecure.app.

Qué revisar en tu sitio hoy

Una lista accionable, mitad legal y mitad técnica, para apps y SaaS que atienden a Colombia:

Lo legal/administrativo

• Tienes una política de tratamiento de datos publicada y enlazada desde el footer y los formularios.
• Recoges autorización explícita (checkbox no premarcado) y guardas prueba de cuándo se otorgó.
• Solo pides los datos que realmente necesitas para una finalidad declarada (principio de finalidad).
• Existe un canal claro para que el titular ejerza sus derechos (acceso, corrección, supresión, revocación) y un proceso para responder dentro de los plazos vigentes.
• Identificaste a tus Encargados (hosting, email, pagos, analítica) y la relación está documentada.
• Verificaste si te aplica la inscripción en el RNBD consultando los umbrales vigentes en la SIC.
• Si tratas datos sensibles o de menores, revisaste el régimen reforzado.

Lo técnico (observable)

• Todo el sitio sirve por HTTPS y redirige el tráfico HTTP.
• HSTS activo y cabeceras de seguridad configuradas (CSP, X-Content-Type-Options, etc.).
• Cookies de sesión con flags Secure y HttpOnly.
• No hay rutas de administración, backups ni archivos de entorno expuestos públicamente.
• Los formularios que recogen datos personales no exponen información en mensajes de error.
• Tienes un proceso para borrar de verdad los datos de un usuario que lo solicite.

Si marcaste todas las casillas técnicas a ojo, vale la pena confirmarlo con una medición. Muchas de estas fallan en silencio: el HTTPS está, pero falta el redirect; la cookie existe, pero sin Secure.

Conclusión

El Habeas Data en Colombia no es un trámite que se resuelve una sola vez. La Ley 1581 te pide tratar los datos de tus usuarios con finalidad, transparencia, autorización y, muy concretamente, seguridad. La SIC vigila, el RNBD puede aplicarte (verifica con la fuente) y tus usuarios tienen derechos que tu producto debe poder atender.

La parte legal la trabajas con cuidado y, si hace falta, con un abogado. La parte de seguridad técnica la puedes empezar a cerrar hoy mismo, porque es medible. Pega la URL de tu sitio en pursecure.app/scan, revisa los hallazgos por gravedad y usa los prompts para arreglar lo que el principio de seguridad te exige. Es el paso más concreto que puedes dar esta semana hacia un cumplimiento real.