Modernización de la Ley 1581 de 2012: aspectos claves del proyecto de ley y desafíos para la protección de datos personales en Colombia

 

Abstract: El Proyecto de Ley 247 de 2025, acumulado con el 214 de 2025, plantea una actualización al régimen colombiano de protección de datos personales establecido en la Ley 1581 de 2012. En el foro “Modernización de la Ley 1581 de 2012”, convocado por la Superintendencia de Industria y Comercio, se presentaron los principales ejes del proyecto. El texto sintetiza los aspectos centrales expuestos y las discusiones surgidas durante el encuentro.

 En Colombia cursa el Proyecto de Ley 247 de 2025 Cámara, acumulado con el Proyecto de Ley 214 de 2025. Este, busca introducir ajustes a la Ley Estatutaria 1581 de 2012 con el fin de actualizarla frente a los retos del entorno digital contemporáneo, reforzar las garantías del derecho fundamental a la protección de datos personales y articular su aplicación con los estándares internacionales. La propuesta conserva la estructura normativa y el enfoque garantista del régimen vigente, pero incorpora precisiones y mecanismos renovados orientados a asegurar una protección más efectiva de los derechos de las personas frente al tratamiento y la circulación de su información personal.

El pasado 12 de noviembre la Superintendencia de Industria y Comercio (SIC) convocó al foro “Modernización de la Ley 1581 de 2012”, con el objetivo de presentar y responder a inquietudes en relación con los ejes centrales del proyecto de reforma del régimen general de protección de datos personales. El encuentro en formato híbrido, contó con la participación de más de 450 asistentes conectados en tiempo real, lo que evidencia el interés sobre el proyecto que se debate en el Congreso.

Se desarrolló en dos momentos. El primero estuvo dedicado a la presentación general del proyecto de ley, a cargo de los/as doctores/as Juan Carlos Upegui Mejía, Superintendente Delegado para la Protección de Datos Personales; Carlos Salazar Muñoz, Director de Hábeas Data; y Carolina García Molina, Directora de Investigaciones de Protección de Datos Personales de la SIC.

El segundo bloque consistió en un conversatorio orientado a examinar los principales retos de la modernización del régimen, especialmente a la luz de las transformaciones tecnológicas y de la economía digital. En este espacio, los/as mismos/as expertos/as dialogaron sobre las inquietudes y reflexiones surgidas a partir del articulado, bajo la moderación de la Doctora Adriana Castro Pinzón, Directora (e) del Departamento de Derecho de los Negocios.

Compartimos en seguida algunas notas, propiciando el conocimiento del proceso a la fecha y con la invitación a nuestros lectores de continuar el seguimiento al proyecto.

La reforma en contexto: proyectos acumulados y alcance general

En la intervención de apertura, se contextualizó el proceso legislativo actual, explicando que en el Congreso cursa una iniciativa estatutaria de reforma integral al régimen de protección de datos personales, en la que confluyen una propuesta presentada por el Gobierno y otra de origen legislativo, acumuladas en un único trámite.Se trata de la primera actualización de fondo de la normativa de protección de datos en más de una década, con el objetivo de armonizarla con estándares internacionales —en particular, con los lineamientos del Reglamento General de Protección de Datos (RGPD) de la Unión Europea— y con las nuevas dinámicas del tratamiento de datos en un entorno crecientemente digitalizado.

El proyecto, de 22 artículos, obedece a una lógica de reforma puntual, ya que no pretende desnaturalizar por completo el sistema vigente, sino ajustar los elementos que se han mostrado insuficientes o ambiguos a la luz de la práctica administrativa, la jurisprudencia y la experiencia comparada.

Entre los puntos clave que trae el proyecto de ley, se destacaron:

Ampliación del ámbito de aplicación y nuevas bases para el tratamiento

Uno de los cambios explicados, se refiere al ámbito de aplicación de la ley. Actualmente, la Ley 1581 se aplica al tratamiento de datos personales que se realice en territorio colombiano, formulación que ha generado discusiones frente a tratamientos efectuados por empresas no domiciliadas en el país pero que dirigen bienes o servicios a residentes en Colombia.

Se destacó que la propuesta de reforma busca precisar este alcance, dejando claro que también se someten al régimen colombiano los responsables y encargados no establecidos en el país cuando el tratamiento esté vinculado a personas ubicadas en Colombia.

En paralelo, el proyecto amplía las bases de legitimación para el tratamiento de datos personales. Si bien la autorización del titular seguirá siendo un pilar central, se propone reconocer otros supuestos en los que el tratamiento resulta legítimo sin depender exclusivamente del consentimiento, como la necesidad del tratamiento para la ejecución de un contrato, el cumplimiento de obligaciones legales, o, en general, aquellos casos en los que la autorización resulte redundante.

Nuevos derechos, principios y protección reforzada a menores de edad 

Durante el foro se expuso que el proyecto de reforma al régimen de protección de datos personales plantea un fortalecimiento del catálogo vigente de derechos, al tiempo que incorpora nuevas facultades orientadas a ajustar la normativa a las dinámicas del entorno digital contemporáneo. Se señaló que el listado de nuevas facultades no es exhaustivo y que el proyecto prevé diversas medidas de ampliación y precisión de los derechos de los titulares. Entre ellos, y sin perjuicio de otras desarrolladas en el articulado, se encuentran los siguientes:

• Derecho de oposición al tratamiento de datos
• Derecho al olvido
• Derecho a no ser objeto de decisiones basadas exclusivamente en tratamientos automatizados, sin intervención humana
• Derecho a la portabilidad de los datos[1]

En el plano de los principios, el proyecto reafirma los ya existentes e introduce ajustes orientados a reforzar la coherencia del sistema. Entre ellos se destacaron:

• El principio de minimización de datos, que exige limitar el tratamiento a la información estrictamente necesaria para el cumplimiento de la finalidad perseguida.
• Elprincipio de lealtad y no discriminación, que proscribe la utilización de datos personales para adoptar decisiones discriminatorias o contrarias a la dignidad humana, aspecto particularmente relevante frente a prácticas de perfilamiento y uso de tecnologías automatizadas.

Un componente especialmente relevante del proyecto se refiere a la protección de niños, niñas y adolescentes. La reforma propone medidas orientadas a reforzar las garantías en el tratamiento de datos de menores, entre las cuales se destaca la prohibición de realizar perfilamiento con fines comerciales o publicitarios. Asimismo, se incorpora la obligación de promover procesos de alfabetización en datos personales desde el sistema educativo, con el objetivo de que los menores desarrollen competencias para comprender los riesgos asociados al entorno digital y ejercer de manera informada sus derechos en materia de protección de datos[2].

Responsabilidad demostrada, oficial de protección de datos y régimen sancionatorio

Uno de los ejes destacados fue la consagración de la responsabilidad demostrada. Conforme a este, las organizaciones deberán explicar de qué manera utilizan los datos, demostrar que su actuación cumple con el marco legal y asegurar que sus sistemas operan sin sesgos.

Según lo expuesto, esta figura ya ha sido promovida en distintos lineamientos, y había mostrado limitaciones en materia sancionatoria debido a que no contaba con consagración legal expresa. En efecto, la Corte Constitucional ha indicado que, para imponer sanciones, las autoridades deben fundamentarse exclusivamente en deberes previstos de manera clara en la ley, razón por la cual su ausencia dentro del marco normativo dificultaba la aplicación efectiva.

El proyecto corrige este vacío al positivizar la responsabilidad demostrada, lo que permitirá exigir a los responsables del tratamiento la adopción de medidas que acrediten cumplimiento. Entre estas, se mencionó la obligación de realizar evaluaciones de impacto en privacidad, especialmente cuando el tratamiento comporte riesgos elevados o implique el uso de tecnologías avanzadas. Se destacó que, incluso la omisión de estas evaluaciones podría dar lugar a sanciones.

Asimismo, el proyecto consagra la figura del oficial de protección de datos para los tratamientos a gran escala. Esta previsión, fortalece las facultades de supervisión de la autoridad, al permitirle evaluar con mayor rigor el cumplimiento de las obligaciones asociadas al tratamiento de datos personales.

En cuanto al régimen sancionatorio, se explicó que la Ley 1581 de 2012 incorporó parcialmente el modelo previsto en la Ley 1266 de 2008 (Ley de Habeas Data Financiero); sin embargo, algunas de esas figuras se trasladaron sin una adecuada correspondencia con la lógica de la Ley 1581, careciendo de sentido en la práctica ya que realmente no cumplen una función útil. Entre los ejemplos mencionados se encuentra la figura de la “leyenda de reclamo en trámite”, cuyo traslado a la Ley 1581 no respondió a una necesidad real y que, según se indicó, no tiene aplicación práctica dentro de este régimen.

Otra modificación relevante se refiere a la cláusula que limitaba la imposición de sanciones únicamente a personas de naturaleza privada. Esta restricción genera un trato desigual injustificado frente a las entidades públicas que también realizan tratamientos intensivos de datos. El proyecto elimina esta limitación, ajustando el régimen a criterios de igualdad.

Finalmente, se destaca que la autoridad de protección de datos adquiere nuevas facultades para desarrollar y promover códigos de conducta y esquemas de certificación, orientados a favorecer el cumplimiento preventivo y a fortalecer las prácticas internas de los responsables y encargados del tratamiento de datos.

Fortalecimiento institucional

El análisis histórico presentado durante el foro recordó que, antes de la expedición de la Ley 1266 de 2008, uno de los principales objetivos regulatorios del país era avanzar hacia el reconocimiento europeo de un nivel adecuado de protección de datos personales. Aunque la Ley 1266 representó un avance, su carácter sectorial y limitado impidió que fuera considerada suficiente por la Unión Europea. Este antecedente fue determinante para la expedición posterior de la Ley Estatutaria 1581 de 2012, concebida como un régimen general de protección de datos personales.

Sin embargo, se señaló que, para que un país pueda aspirar a ser reconocido internacionalmente como poseedor de niveles adecuados de protección, no basta con contar con un marco legal robusto, entre otras cosas, es necesario que exista una autoridad de control independiente, capaz de ejercer sus funciones de inspección, vigilancia y control con autonomía real. En este punto, el proyecto de ley introduce ajustes institucionales orientados precisamente a fortalecer esa independencia.

Entre las medidas destacadas se encuentra la fijación de un período definido de cuatro años para quien ejerza el liderazgo de la autoridad encargada de la protección de datos personales. Este período estaría acompañado de un régimen de remoción más limitado, de manera que su separación del cargo solo pueda darse bajo causas específicas y no mediante decisiones discrecionales. Con ello se busca asegurar que la autoridad actúe con mayor estabilidad, independencia y continuidad institucional.

De igual forma, el proyecto plantea que la designación de esta autoridad se realice a partir de una lista de personas idóneas, lo que implica incorporar criterios técnicos y de mérito en el proceso de selección. Esta estructura pretende fortalecer la autonomía y garantizar que su liderazgo responda a capacidades especializadas en protección de datos y no únicamente a decisiones de naturaleza administrativa o política.

De igual forma, la reforma dispone que la Procuraduría General de la Nación deberá crear una delegada para vigilar el tratamiento de datos personales en el sector público, y que el Ministerio de Ciencia, Tecnología e Innovación expedirá lineamientos para el uso de datos científicos y tecnologías emergentes.

Nuevas tecnologías y neutralidad tecnológica 

Se destacó la relevancia de preservar el principio de neutralidad tecnológica, conforme al cual las disposiciones jurídicas no deben depender de herramientas o sistemas específicos, sino formularse con un nivel de abstracción suficiente que permita su aplicación a tecnologías presentes y futuras. Este enfoque busca asegurar que el régimen de protección de datos personales mantenga su vigencia frente a la constante evolución de los modelos de tratamiento de información y a la aparición de nuevas prácticas asociadas al entorno digital.

Reflexiones finales: una reforma necesaria, con debates abiertos

El foro “Modernización de la Ley 1581 de 2012” permitió constatar que la reforma en curso introduce cambios significativos en distintos frentes del régimen de protección de datos personales, al mismo tiempo que deja abiertas discusiones que la academia, las autoridades y los operadores jurídicos deberán seguir de cerca.

De este modo, más que cerrar el debate, la iniciativa legislativa configura un escenario en el que será necesario observar cómo las nuevas disposiciones se integran al marco existente, cómo se interpretan en la práctica administrativa y judicial, y qué efectos producen en las relaciones entre titulares, responsables, encargados y autoridades de protección de datos personales.

Documentos relacionados:

• CÁMARA DE REPRESENTANTES DE COLOMBIA. Protección de datos personales-093. “Protección de datos personales” [En línea]. Disponible en: https://www.camara.gov.co/proteccion-de-datos-personales-093/
• SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. (2025, 12 de noviembre). Modernización de Ley 1581 de 2012 [Video]. YouTube. Disponible en: https://www.youtube.com/watch?v=JyQ75AxqZMo

---

[1] Durante el espacio de conversación que se abrió en la segunda parte del foro, se destacó que, en numerosas ocasiones el acceso a trámites o servicios del Estado exige suministrar datos personales a distintas entidades. Este proceso suele implicar múltiples responsables del tratamiento, lo que dificulta compartir información sin contar con autorizaciones adicionales por parte del titular de los datos. Por ejemplo, se puso de presente que, en el marco de los servicios ciudadanos digitales, en donde usualmente confluyen diversas autoridades, la portabilidad de los datos permite al titular autorizar la transferencia directa de su información de un responsable a otro. Esta facultad adquiere especial relevancia para facilitar el ejercicio de derechos y optimizar trámites y servicios públicos, al introducir mayor celeridad, eficiencia y coherencia operativa en el funcionamiento de la administración.

 

[2] En el conversatorio se reiteró la preocupación por la ausencia de estrategias pedagógicas que permitan a niños, niñas y adolescentes comprender las implicaciones del tratamiento de sus datos personales. Se señaló que, en la práctica cotidiana, los menores suelen limitarse a aceptar términos y condiciones sin una noción real de los riesgos asociados al entorno digital, por lo que resulta indispensable fortalecer procesos de alfabetización y formación en protección de datos desde el sistema educativo. También se hizo énfasis respecto a la edad mínima para otorgar el consentimiento. En el derecho comparado existen distintos umbrales normativos; 13, 14, 15 o 16 años, según el ordenamiento. La propuesta inicial del proyecto de ley fijaba esta facultad a partir de los 14 años, con fundamento en el principio de consentimiento progresivo y en la jurisprudencia constitucional que reconoce la autonomía gradual y el libre desarrollo de la personalidad en adolescentes. Igualmente, se recordó que la SIC en determinados contextos asociados al ejercicio de derechos fundamentales, como los entornos escolares o de salud, exigir la presencia del representante legal para autorizar el tratamiento puede resultar desproporcionado. Se mencionó el ejemplo de un adolescente que acude solo a una cita odontológica y no puede acceder a su historia clínica por falta de autorización del acudiente, situación que la SIC ha considerado irrazonable y frente a la cual ha flexibilizado el estándar en algunos conceptos.  No obstante, en el primer debate del proyecto se descartó la propuesta de habilitar el consentimiento autónomo desde los 14 años y se mantuvo la exigencia hasta la mayoría de edad, lo que constituye uno de los puntos más sensibles de la discusión legislativa.

Asimismo, se recordó que la Ley 1581 asignó al Ministerio de Educación la obligación de desarrollar programas de formación en protección de datos, responsabilidad que no fue implementada de manera suficiente. El proyecto de reforma busca robustecer este mandato al facultar al Gobierno nacional para reglamentar la incorporación obligatoria de contenidos de protección de datos personales en todos los niveles educativos. La temática, en su conjunto, supone un modelo de corresponsabilidad que involucra al Estado, las familias, las instituciones educativas y los actores que, desde diversos servicios, tratan datos de menores.