Identificación
Nombre, cédula, fecha de nacimiento, género, estado civil.
«Asesoría legal con compromiso, orden y verdad.»
Nueve bloques para entender qué hace usted con los datos que pasan por sus manos, por qué importa, y qué pasa cuando alguien se equivoca.
assets/video/valor-datos.mp4 y recargue
(el creador del video restringió la incrustación, por eso solo se abre en YouTube).
Nombre, cédula, fecha de nacimiento, género, estado civil.
Correo, teléfono, dirección, redes sociales.
Empresa, cargo, compras, historial, preferencias, solicitudes.
Salud, biométricos, datos de menores, religión, orientación sexual.
requieren mayor cuidado¿Este dato permite reconocer a una persona?
Trátelo como dato personal
Pregunte antes de usarlo
Régimen General de Protección de Datos Personales
«Proteger el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos(…)
»
Régimen sectorial · información financiera, crediticia, comercial y de servicios
«Regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios.
»
«Es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data(…)
»
Cualquier operación o conjunto de operaciones sobre datos personales — recolección, almacenamiento, uso, circulación o supresión.
El pilar del régimen colombiano de protección de datos personales
«Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
»
Sin autorización válida, el tratamiento es ilícito. La ley no se conforma con un «sí» cualquiera: exige que sea previo, expreso e informado.
Se obtiene antes de tratar el dato. No después, no «sobre la marcha», no por silencio.
El titular manifiesta su voluntad de manera inequívoca: firma, casilla marcada, click activo, grabación. Nunca presunto.
Antes de autorizar, la persona sabe qué datos se tratan, con qué finalidad, cuáles son sus derechos y a quién acudir.
Si no puede mostrar cuándo, cómo y con qué texto el titular dijo «sí», la autorización no existe a efectos legales. Conservar la prueba es deber del responsable.
No siempre la autorización tiene que ser escrita o explícita. La ley admite que se entienda otorgada cuando — luego de conocer el aviso — el titular realiza conductas que no admiten duda sobre su consentimiento.
privacy_co@caldic.com (área de Cumplimiento).Es el documento marco de Caldic en la materia. Va más allá del aviso: fija las reglas internas que rigen cómo la compañía cumple la Ley 1581/2012, el Decreto 1074/2015, la Ley 1266/2008 y el Título V de la Circular Única SIC.
Es la versión resumida y comunicable de la política: lo que el titular recibe — antes o en el momento del tratamiento — para decidir si autoriza, cuando no es práctico entregarle la política completa.
Cuando no es posible poner a disposición del titular la política completa al momento de pedir la autorización: por ejemplo, en correos comerciales, formularios web breves, mostradores presenciales, o cuando la autorización se obtiene por conducta inequívoca. El aviso suple esa imposibilidad con un contenido mínimo legal.
La Política de Tratamiento de Datos de Caldic tiene un Procedimiento para la Atención de Consultas, Solicitudes, Quejas y Reclamaciones. Cuando un titular se acerque con una reclamación, oriéntelo a Cumplimiento y respete los plazos legales.
Indique al titular que la consulta o el reclamo debe dirigirse a
privacy_co@caldic.com — área de Cumplimiento. Caldic registra el
caso allí para el seguimiento formal.
Una vez recibido el reclamo, se incluye en la base de datos una leyenda «reclamo en trámite» con el motivo, hasta que la decisión sea adoptada.
El término máximo para atender el reclamo es de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo.
«El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Ley, la cual debe ser informada al Titular.»
Un dato solo se puede tratar para lo que se autorizó. Si autorizó facturación, no se puede usar para enviar publicidad.
Piense en un avión: el dato viaja con pasaporte —la autorización— y el avión solo puede ir por los trayectos y destinos autorizados. Igual con el dato: circula entre los necesarios para la finalidad y hasta donde el pase lo permite, nada más.
No basta con cumplir: hay que poder probar que se cumplió. Es una integración técnico-legal — controles informáticos y documentos jurídicos trabajando juntos.
Violaciones a los códigos de seguridad y riesgos en la administración de la información del Titular
«La Ley 1581 de 2012, en su artículo 17, establece los deberes de los Responsables del Tratamiento. En particular, el literal n obliga al responsable a informar a la autoridad de protección de datos sobre violaciones a los códigos de seguridad y riesgos en la administración de la información de los titulares.
»
El manual de funciones, el reglamento interno de trabajo y la política de tratamiento de información imponen al empleado un deber expreso de confidencialidad sobre los datos a los que accede en razón del cargo.
Filtrar, reenviar o usar datos personales fuera del encargo configura incumplimiento grave de las obligaciones contractuales: causal justa de despido sin indemnización.
Si la conducta del empleado le genera un perjuicio patrimonial a Caldic — multa SIC, demanda del titular — la empresa puede repetir contra el empleado por culpa grave o dolo.
Quien sin estar facultado obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes.
Pena: prisión de 48 a 96 meses + multa de 100 a 1.000 SMMLV.
El empleado, asesor o directivo de entidad privada que, para provecho propio o de tercero, haga uso indebido de información que conoció por razón de su cargo y que no sea de conocimiento público.
Pena: prisión de 1 a 3 años + multa de 5 a 50 SMMLV.
Acceder en todo o en parte a un sistema informático protegido o no, sin autorización o por fuera de lo acordado, o mantenerse en él contra la voluntad de quien tenga el legítimo derecho a excluirlo.
Cuando los datos de un titular salen de Caldic hacia un tercero, la ley distingue dos figuras según quién decide qué se hace con esos datos. Confundirlas tiene consecuencias contractuales y de responsabilidad relevantes.
Persona natural o jurídica que decide sobre la base de datos y/o el tratamiento. Define la finalidad y los medios.
Persona natural o jurídica que realiza el tratamiento por cuenta del responsable. No decide la finalidad; ejecuta el encargo.
La propiedad horizontal donde se encuentran las oficinas de Caldic exige los datos personales de visitantes y empleados para controlar el acceso al edificio. Paralelo 108 define qué hace con esos datos: por eso es responsable autónomo.
Firma contratada por Caldic para la gestión y recuperación de cartera (cobranza). Caldic le entrega bases de deudores; Trébol las usa únicamente para el encargo. No define finalidades nuevas — solo ejecuta.
Los responsables del tratamiento deberán ser capaces de demostrar ante la SIC la eficacia de las medidas implementadas.
Decreto 1074 de 2015Permiten lograr el resultado que se busca.
Las medidas siempre deben ser objeto de evaluación constante.
El principio de responsabilidad demostrada va más allá del papeleo y la estructuración de políticas — debe traducirse en prácticas verificables.
Ajustadas a las necesidades del tratamiento — no fórmulas genéricas.
Se deben realizar entrenamientos especializados al equipo humano que interviene en el tratamiento.
Caldic, como responsable del tratamiento, debe inventariar y registrar todas sus bases de datos ante la Superintendencia de Industria y Comercio, y mantener ese registro al día.
Cada base de datos registrada se debe actualizar al menos una vez al año.
Si cambia la finalidad, el encargado, las medidas de seguridad o se incorpora una transferencia internacional, debe actualizarse al RNBD.
Antes del registro, Caldic debe identificar y catalogar todas sus bases de datos: clientes, proveedores, empleados, nómina, marketing, etc.
Capacitación · Caldic Colombia · 2026
Caldic solo lo administra. Cada decisión vuelve a una pregunta: ¿estoy autorizado para esto?
Y la prueba de esa autorización es deber del responsable conservarla.
Responsabilidad laboral, civil y penal — los tres niveles operan en paralelo.
Ahora viene el examen.
Asesoría legal con compromiso, orden y verdad.La información financiera, crediticia, comercial y de servicios tiene un régimen especial — más estricto en algunas dimensiones y más permisivo en otras — distinto al régimen general.
En las bases internas de cada entidad financiera y en las centrales de información crediticia (DataCrédito-Experian, TransUnion, CIFIN). Estos son los «operadores» del sistema en términos de la Ley 1266.
Para evaluar el perfil crediticio, otorgar productos financieros, prevenir lavado de activos, calcular el score de riesgo y reportar el comportamiento de pago — positivo o negativo.
Sí, al suscribir el contrato bancario — la autorización está incluida en la cláusula de tratamiento del producto. El reporte negativo a centrales de riesgo, por incumplimiento de obligación reportable, no requiere autorización adicional pero sí notificación previa al titular con 20 días de anticipación.
Cualquier empresa con la que usted tiene una relación contractual, comercial o laboral trata sus datos personales — y todas se rigen por la misma ley marco.
En las bases de cada empresa con la que usted ha tenido una relación: empleador, retailers, EPS, telecomunicaciones, aseguradoras, proveedores TI que prestan servicios por encargo, y autoridades que los reciben por solicitud legal.
Para ejecutar el contrato (la finalidad por defecto), facturar, prestar el servicio, dar soporte, atender posventa, cumplir obligaciones legales (tributarias, antilavado, laborales) y — si usted autorizó separadamente — para marketing y oferta de productos.
Sí, debe ser previa, expresa e informada. La empresa debe conservar la prueba de la autorización por todo el tiempo que dure el tratamiento. Cuando los datos van a un proveedor (encargado), no se requiere autorización adicional, pero sí un contrato de transmisión. Cuando salen del país, transferencia internacional con garantías reforzadas.
Cuando sus datos quedan en agendas, contactos o álbumes de otras personas, hay una excepción al régimen — pero la excepción tiene límites.
En agendas y libretas de contactos, en chats privados, en álbumes personales, en redes sociales privadas — cuando el tratamiento es realizado por una persona natural para uso exclusivamente personal o doméstico.
Para mantener el contacto personal, social o familiar. La excepción protege la esfera privada — no se aplica el régimen completo porque sería desproporcionado regular el cuaderno de contactos de cada persona.
No es necesaria. Pero atención: cuando ese contacto pasa al ámbito público o profesional — subir una foto con etiqueta a Instagram, enviar una lista de contactos a un servicio comercial, usar la agenda para publicidad — el uso deja de ser doméstico y entra al régimen general. Ahí sí se necesita autorización, y la persona pasa a ser responsable del tratamiento.