Colombia se ha consolidado como uno de los países más avanzados de la región de América Latina y el Caribe (LAC) en términos de digitalización. Sin embargo, la promesa de una economía digital inclusiva y resiliente se sostiene sobre un pilar fundamental: la Confianza Digital. Para las organizaciones que operan en el ecosistema colombiano, es crucial entender que, si bien el marco legal de protección de datos es sólido, existen deficiencias críticas que el gobierno y las empresas deben abordar con urgencia para alinearse con las mejores prácticas internacionales.
I. El Marco Regulatorio de la Privacidad
El ecosistema legal colombiano cuenta con una estructura integral para la protección de datos, sustentada principalmente en dos estatutos:
- Ley Estatutaria No. 1581 de 2012: Establece las disposiciones generales para la protección de datos personales, aplicando a entidades públicas y privadas que recolectan, procesan y almacenan datos de sujetos en Colombia.- Ley Estatutaria No. 1266 de 2008: Rige el habeas data específicamente en el sector financiero, crediticio, comercial y de servicios.
La Superintendencia de Industria y Comercio (SIC) actúa como la autoridad de protección de datos para el sector privado. La SIC ha demostrado un papel proactivo y riguroso en la supervisión del cumplimiento. Por ejemplo, las multas administrativas impuestas por la SIC aumentaron en 127% en 2021, y en ese mismo año, la entidad recibió más de 28,610 quejas por protección de datos personales.
En cuanto al flujo transfronterizo de datos, Colombia adopta un modelo de transferencia condicional que está alineado con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
II. Brechas Críticas y Desafíos Pendientes
A pesar de estos avances, el marco de protección de datos de Colombia necesita integrarse aún más con las prácticas reconocidas a nivel internacional. Las principales áreas que requieren fortalecimiento (prioritarias según las recomendaciones de política) incluyen:
- Derecho a la Portabilidad de Datos: En el momento del análisis, el marco legal colombiano carecía del reconocimiento explícito del derecho a la portabilidad de los datos. Aunque la SIC ha emitido directrices al respecto, estas no están codificadas en el marco legal y, por lo tanto, no son obligatorias. No obstante, la Comunidad Andina (CAN) adoptó en julio de 2022 la Decisión No. 897, que reconoce explícitamente el derecho a la portabilidad de los datos (y el principio de rendición de cuentas). Esta decisión será obligatoria para los operadores de telecomunicaciones en un plazo de dos años.2. Notificación Obligatoria de Incidentes: Actualmente, no existe una obligación codificada en el marco legal de exigir la notificación de incidentes de seguridad de datos a los interesados (data subjects).3. Tecnologías Emergentes: El marco existente debe ir más allá para abordar los desafíos planteados por tecnologías emergentes como la Inteligencia Artificial (IA), blockchain y la computación en la nube (cloud computing). El gobierno ya ha introducido un proyecto de ley en el Senado para regular el desarrollo de la IA.4. Supervisión del Sector Público: Si bien la SIC es muy activa en el sector privado, el monitoreo del procesamiento de datos personales en las instituciones públicas, a cargo de la Procuraduría General de la Nación (Attorney General’s Office), es insuficiente en comparación.
III. Implicaciones para las Empresas
El panorama de seguridad en Colombia subraya la necesidad de que las empresas sean proactivas:
- Riesgo Cibernético Elevado: Colombia es el segundo país más atacado de América Latina, con 36 mil millones de ciberataques el año pasado. Incidentes como el ataque de ransomware a IFX Networks en septiembre de 2023 afectaron a 78 entidades estatales y 762 empresas privadas, incluyendo sistemas judiciales y de salud, lo que subraya el riesgo de la infraestructura tercerizada.- Identidad Digital: La implementación de la Cédula Digital (Digital ID) recolecta datos biográficos y biométricos. Para que este sistema tenga éxito, se exige garantizar su inclusión, generar confianza social y fortalecer la coordinación institucional.
Las empresas que operan con datos colombianos deben anticipar futuras regulaciones que impongan obligaciones de portabilidad y notificación de brechas. Además, deben adoptar estándares de seguridad rigurosos, como el NIST Cybersecurity Framework, ya que la seguridad es una preocupación primordial en la región.