protección de datos personales

En los últimos días, se han presentado dos proyectos de ley estatutaria en el Congreso que buscan alterar el régimen de protección de datos personales colombiano:

  • Proyecto de Ley Estatutaria C274 de 2025 (“P.L.E. C274 de 2025”) promovido por la Superintendencia de Industria y Comercio (“SIC”). Este proyecto fue radicado el 27 de agosto de 2025.
  • Proyecto de Ley Estatutaria C214 de 2025 (“P.L.E. C214 de 2025”) promovido por un bloque de congresistas aliados del Gobierno. Este proyecto fue radicado el 22 de agosto de 2025.

A continuación, resumimos los cambios más relevantes que coinciden en ambos proyectos:

  • Ámbito de aplicación extraterritorial: Se extiende la sujeción de la ley colombiana a cualquier responsable o encargado, sin importar su domicilio, cuando ofrezca bienes/servicios a personas en Colombia o monitoree su comportamiento.
  • Nuevas definiciones: Se incorporan conceptos de datos biométricos, datos genéticos, elaboración de perfiles, entre otros.
  • Nuevos principios: Se incluyen, entre otros, los principios de responsabilidad demostrada (accountability, que en todo caso es ampliamente reconocido por la SIC), minimización, y se refuerza el principio de transparencia.
  • Nuevos derechos de los titulares: Se incluyen, entre otros, los derechos de oposición y no ser objeto de decisiones automatizadas cuando produzcan efectos jurídicos que los afecten de manera automatizada. 
  • Bases que legitiman el tratamiento: Ambos proyectos amplían y detallan las bases legales para el tratamiento de datos personales, más allá del consentimiento del titular. Se reconoce como bases legítimas, entre otras: la ejecución de un contrato, el cumplimiento de un deber legal, la protección de intereses vitales (vida o salud), el ejercicio de funciones públicas.
  • Obligaciones reforzadas para responsables/encargados: Se introduce la obligación de tratar datos personales atendiendo criterios de privacidad por diseño y por defecto, evaluaciones de impacto (DPIA) obligatorias para tratamientos de alto riesgo y designación de Oficial de Protección de Datos en determinadas circunstancias.
  • Régimen sancionatorio: Se incrementa el tope de multa y se introduce la alternativa de una sanción económica de hasta 5% de los ingresos operacionales del infractor.

Para mayor información sobre cómo estas novedades podrían impactar el tratamiento de datos personales en su compañía, por favor contáctenos. 
 

Para mayor información contacte a nuestro equipo

info@bu.com.co

Conozca más sobre
Telecomunicaciones, Medios y Tecnología
Compartir estas noticia