CAPACITACIÓN PARA CALDIC

Protección de datos
personales

en el día a día de Caldic.

  • Expositor: Leonardo Castañeda Jiménez · Socio Director · CCR Legal
Pulse para ver los bloques

«Asesoría legal con compromiso, orden y verdad.»

  • Bogotá D.C. · 2026
  • Edificio BD Bacatá · Calle 19 #5-20
EN ESTA CAPACITACIÓN

Nueve bloques para entender qué hace usted con los datos que pasan por sus manos, por qué importa, y qué pasa cuando alguien se equivoca.

Click en cualquier bloque o pulse para empezar
¿Cuánto valen sus datos personales?
Toque la pantalla o pulse para continuar
¿Cuánto valen tus datos personales?
¿Cuánto valen sus datos personales?
Para reproducir el video dentro de la presentación, guarde el archivo MP4 en assets/video/valor-datos.mp4 y recargue (el creador del video restringió la incrustación, por eso solo se abre en YouTube).
¿Qué es un dato personal?
Cuatro categorías para reconocerlo

Identificación

Nombre, cédula, fecha de nacimiento, género, estado civil.

Contacto

Correo, teléfono, dirección, redes sociales.

Contexto comercial

Empresa, cargo, compras, historial, preferencias, solicitudes.

Sensibles · protección reforzada

Salud, biométricos, datos de menores, religión, orientación sexual.

requieren mayor cuidado
Pregunta rápida:

¿Este dato permite reconocer a una persona?

Sí →

Trátelo como dato personal

No está seguro →

Pregunte antes de usarlo

OBJETO DE LA LEY

Ley 1581 de 2012

Régimen General de Protección de Datos Personales

Proteger el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos(…)

Art. 1 · Ley 1581 de 2012
HABEAS DATA FINANCIERO

Ley 1266 de 2008

Régimen sectorial · información financiera, crediticia, comercial y de servicios

Ámbito de aplicación

Regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios.

Titular de la información

Es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data(…)

Ley 1266 de 2008 · arts. 1 y 3 lit. f)
Así fluyen los datos personales.
Tratamiento de datos · concepto legal

Cualquier operación o conjunto de operaciones sobre datos personales — recolección, almacenamiento, uso, circulación o supresión.

Art. 3 lit. g) · Ley 1581 de 2012

¿Hacia dónde fluyen los datos personales?

Toque la pantalla o pulse para ver el flujo
Ruta activa: Usted selecciona un nodo
La autorización: piedra angular del régimen.
DEFINICIÓN LEGAL

Autorización

El pilar del régimen colombiano de protección de datos personales

Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.

Art. 3 lit. a) · Ley 1581 de 2012
Lo que el titular debe saber · Art. 12

Autorización de tratamiento

Firma del titular — prueba conservada por Caldic.
Art. 9 Ley 1581/2012 · Tres requisitos acumulativos

Sin autorización válida, el tratamiento es ilícito. La ley no se conforma con un «sí» cualquiera: exige que sea previo, expreso e informado.

Previo

Se obtiene antes de tratar el dato. No después, no «sobre la marcha», no por silencio.

Expreso

El titular manifiesta su voluntad de manera inequívoca: firma, casilla marcada, click activo, grabación. Nunca presunto.

Informado

Antes de autorizar, la persona sabe qué datos se tratan, con qué finalidad, cuáles son sus derechos y a quién acudir.

Regla práctica

Si no puede mostrar cuándo, cómo y con qué texto el titular dijo «sí», la autorización no existe a efectos legales. Conservar la prueba es deber del responsable.

Art. 12 Ley 1581/2012 · deber de informar y de conservar prueba.
Excepción a la regla general

Autorización por conductas inequívocas

No siempre la autorización tiene que ser escrita o explícita. La ley admite que se entienda otorgada cuando — luego de conocer el aviso — el titular realiza conductas que no admiten duda sobre su consentimiento.

Caso Caldic · cómo se aplicó
  1. Envío del aviso de privacidad + autorización por correo electrónico desde la cuenta corporativa al cliente o proveedor.
  2. Si el titular continúa la relación comercial — pedidos, documentos, pagos — tras recibir el aviso, se entiende otorgada la autorización por conducta inequívoca.
  3. Conservación de prueba: correo enviado, respuestas y registro de fecha en la base de datos.
  4. Si el titular rechaza expresamente el tratamiento, se escala el caso a privacy_co@caldic.com (área de Cumplimiento).
Documento corporativo · Caldic

Política de Tratamiento de Datos Personales

Es el documento marco de Caldic en la materia. Va más allá del aviso: fija las reglas internas que rigen cómo la compañía cumple la Ley 1581/2012, el Decreto 1074/2015, la Ley 1266/2008 y el Título V de la Circular Única SIC.

  1. 1
    Es el documento marco del programa de cumplimiento.
  2. 2
    Vincula a todos los actores que se relacionan con Caldic.
  3. 3
    Identifica al responsable y abre los canales para el titular.
Ley 1581 de 2012 · Decreto 1074 de 2015 · Ley 1266 de 2008 · Título V Circular Única SIC. Política expedida por GTM Colombia S.A. en su condición de Responsable del Tratamiento.
Documento entregable al titular

Aviso de Privacidad

Es la versión resumida y comunicable de la política: lo que el titular recibe — antes o en el momento del tratamiento — para decidir si autoriza, cuando no es práctico entregarle la política completa.

  1. 1
    Identifica al responsable y las finalidades del tratamiento.
  2. 2
    Informa los derechos del titular y cómo acceder a la política completa.
¿Cuándo se usa?

Cuando no es posible poner a disposición del titular la política completa al momento de pedir la autorización: por ejemplo, en correos comerciales, formularios web breves, mostradores presenciales, o cuando la autorización se obtiene por conducta inequívoca. El aviso suple esa imposibilidad con un contenido mínimo legal.

Arts. 2.2.2.25.3.2 a 2.2.2.25.3.4 Decreto 1074 de 2015 · contenido mínimo del aviso de privacidad · art. 12 Ley 1581 de 2012.
Procedimiento interno · Caldic

¿Qué hacer ante una reclamación?

La Política de Tratamiento de Datos de Caldic tiene un Procedimiento para la Atención de Consultas, Solicitudes, Quejas y Reclamaciones. Cuando un titular se acerque con una reclamación, oriéntelo a Cumplimiento y respete los plazos legales.

1
Derive al área de Cumplimiento.

Indique al titular que la consulta o el reclamo debe dirigirse a privacy_co@caldic.com — área de Cumplimiento. Caldic registra el caso allí para el seguimiento formal.

2
«Reclamo en trámite» en la base de datos.

Una vez recibido el reclamo, se incluye en la base de datos una leyenda «reclamo en trámite» con el motivo, hasta que la decisión sea adoptada.

3
Plazo: 15 días hábiles.

El término máximo para atender el reclamo es de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo.

Art. 14 Ley 1581 de 2012 · trámite del reclamo · constancia de «reclamo en trámite» y plazo legal.
Tres principios que aplican a su trabajo diario.
i.

Finalidad

Un dato solo se puede tratar para lo que se autorizó. Si autorizó facturación, no se puede usar para enviar publicidad.

  • Cada base de datos tiene una finalidad explícita.
  • Si surge una finalidad nueva, se pide una autorización nueva.
  • «Yo creía que era para…» no es una defensa válida.
Art. 4 lit. b Ley 1581/2012 — finalidad legítima y previamente informada.
ii.

Acceso y circulación restringida

Piense en un avión: el dato viaja con pasaporte —la autorización— y el avión solo puede ir por los trayectos y destinos autorizados. Igual con el dato: circula entre los necesarios para la finalidad y hasta donde el pase lo permite, nada más.

  • No reenvíe bases de datos por WhatsApp, email personal ni USB.
  • No deje archivos con datos en escritorios compartidos o nubes personales.
  • Si un dato sale por error, repórtelo de inmediato.
Art. 4 lit. f Ley 1581/2012 — la información no puede estar disponible para terceros.
iii.

Responsabilidad demostrada

No basta con cumplir: hay que poder probar que se cumplió. Es una integración técnico-legal — controles informáticos y documentos jurídicos trabajando juntos.

  • Técnico: controles de acceso, cifrado, registros (logs) auditables.
  • Legal: autorizaciones, contratos, manuales, capacitaciones.
  • Ante una visita SIC, Caldic debe mostrar evidencia, no buenas intenciones.
Art. 2.2.2.25.6.1 Decreto 1074 de 2015 — responsabilidad demostrada (accountability).
Incidentes de seguridad.
DEBER DEL RESPONSABLE

¿Qué debe hacer el Responsable cuando ocurra un incidente de seguridad con los Datos Personales?

Violaciones a los códigos de seguridad y riesgos en la administración de la información del Titular

La Ley 1581 de 2012, en su artículo 17, establece los deberes de los Responsables del Tratamiento. En particular, el literal n obliga al responsable a informar a la autoridad de protección de datos sobre violaciones a los códigos de seguridad y riesgos en la administración de la información de los titulares.

Art. 17 lit. n) · Ley 1581 de 2012
Consecuencias del incumplimiento.

1. Responsabilidad laboral

Caldic como empleador

Deber de confidencialidad

El manual de funciones, el reglamento interno de trabajo y la política de tratamiento de información imponen al empleado un deber expreso de confidencialidad sobre los datos a los que accede en razón del cargo.

Art. 58 num. 2 CST — obligaciones especiales del trabajador.

Justa causa de terminación

Filtrar, reenviar o usar datos personales fuera del encargo configura incumplimiento grave de las obligaciones contractuales: causal justa de despido sin indemnización.

Art. 62 lit. a) num. 6 CST — violación grave de obligaciones contractuales.

Responsabilidad civil derivada

Si la conducta del empleado le genera un perjuicio patrimonial a Caldic — multa SIC, demanda del titular — la empresa puede repetir contra el empleado por culpa grave o dolo.

Art. 2356 C.C. — culpa grave o dolo del dependiente.

Casos reales · sanción administrativa de la SIC

El riesgo corporativo que se traslada al empleado

2. Responsabilidad penal

El Estado contra el empleado

Violación de datos personales

Quien sin estar facultado obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes.

Pena: prisión de 48 a 96 meses + multa de 100 a 1.000 SMMLV.

Art. 269F C.P. · Ley 1273 de 2009 — delitos contra la información.

Utilización indebida de información privilegiada

El empleado, asesor o directivo de entidad privada que, para provecho propio o de tercero, haga uso indebido de información que conoció por razón de su cargo y que no sea de conocimiento público.

Pena: prisión de 1 a 3 años + multa de 5 a 50 SMMLV.

Art. 258 C.P. — utilización indebida de información privilegiada.

Acceso abusivo a sistema informático

Acceder en todo o en parte a un sistema informático protegido o no, sin autorización o por fuera de lo acordado, o mantenerse en él contra la voluntad de quien tenga el legítimo derecho a excluirlo.

Art. 269A C.P. · Ley 1273 de 2009.

Caso real · violación de datos personales

Art. 269F C.P. en acción
Dayssuris Vásquez Castro
Caso · Day Vásquez
48–96 meses
  • Dic-2022 · Ene-2023 Dayssuris del Carmen Vásquez Castro, expareja de Nicolás Petro, habría pagado a un tercero para obtener, sin autorización, datos personales de Laura Ojeda y Génesis Olave: agenda de WhatsApp, perfil construido a partir de redes sociales y archivos del equipo móvil.
  • 21 may · 2024 Audiencia de acusación ante el Juzgado 5 Penal de Conocimiento de Barranquilla; los procesos por las dos víctimas se unificaron. Vásquez no aceptó cargos y el caso fue llamado a juicio.
  • Imputación Violación de datos personales — obtener y compilar información sin estar facultado y en provecho propio.
Art. 269F C.P. · Ley 1273 de 2009 · Fiscalía General de la Nación · proceso seguido ante el Juzgado 5 Penal de Conocimiento de Barranquilla.
Cuando Caldic comparte datos con un tercero.
Antes de los ejemplos

Cuando los datos de un titular salen de Caldic hacia un tercero, la ley distingue dos figuras según quién decide qué se hace con esos datos. Confundirlas tiene consecuencias contractuales y de responsabilidad relevantes.

Responsable

Persona natural o jurídica que decide sobre la base de datos y/o el tratamiento. Define la finalidad y los medios.

Art. 3 lit. e) Ley 1581/2012
Encargado

Persona natural o jurídica que realiza el tratamiento por cuenta del responsable. No decide la finalidad; ejecuta el encargo.

Art. 3 lit. d) Ley 1581/2012
TRANSFERENCIA · responsable → responsable

Caso · Paralelo 108

La propiedad horizontal donde se encuentran las oficinas de Caldic exige los datos personales de visitantes y empleados para controlar el acceso al edificio. Paralelo 108 define qué hace con esos datos: por eso es responsable autónomo.

  • Quién decide: Paralelo 108. La PH define para qué pide los datos y cómo los conserva.
  • Naturaleza jurídica: cesión de datos a otro responsable autónomo.
  • Requisito esencial: autorización previa, expresa e informada del titular para entregar el dato.
  • Quién responde: el cesionario responde por su propio tratamiento. El cedente conserva responsabilidad propia por la validez de la transferencia — autorización, finalidad y, en transferencias internacionales, las garantías del art. 26 Ley 1581/2012.
Art. 2.2.2.25.5.3 Decreto 1074 de 2015 · definición de transferencia · art. 3 lit. e) Ley 1581/2012
TRANSMISIÓN · responsable → encargado

Caso · Trébol Jurídico

Firma contratada por Caldic para la gestión y recuperación de cartera (cobranza). Caldic le entrega bases de deudores; Trébol las usa únicamente para el encargo. No define finalidades nuevas — solo ejecuta.

  • Quién decide: Caldic. Trébol procesa por cuenta del responsable bajo instrucciones.
  • Naturaleza jurídica: tratamiento por encargo — no hay transferencia de titularidad sobre el dato.
  • Requisito esencial: contrato de transmisión con cláusulas mínimas (finalidad, deber de seguridad, devolución/eliminación al cerrar el encargo).
  • Quién responde: Caldic responde frente al titular por las fallas del encargado — responsabilidad solidaria.
Art. 2.2.2.25.5.2 Decreto 1074 de 2015 · definición y cláusulas de la transmisión · art. 3 lit. d) Ley 1581/2012
Principio de Responsabilidad Demostrada

¿Cómo se probarán las medidas de Accountability para la transferencia de datos?

  • Demostración ante la SIC.

    Los responsables del tratamiento deberán ser capaces de demostrar ante la SIC la eficacia de las medidas implementadas.

    Decreto 1074 de 2015
  • Medidas efectivas.

    Permiten lograr el resultado que se busca.

  • Evaluación constante.

    Las medidas siempre deben ser objeto de evaluación constante.

  • Más allá del papeleo.

    El principio de responsabilidad demostrada va más allá del papeleo y la estructuración de políticas — debe traducirse en prácticas verificables.

  • Medidas apropiadas.

    Ajustadas a las necesidades del tratamiento — no fórmulas genéricas.

  • Entrenamientos especializados.

    Se deben realizar entrenamientos especializados al equipo humano que interviene en el tratamiento.

Arts. 2.2.2.25.6.1 a 2.2.2.25.6.4 Decreto 1074 de 2015 · responsabilidad demostrada · Guía SIC de Accountability · medidas apropiadas, efectivas, útiles, oportunas, eficientes y demostrables.
Registro Nacional de Bases de Datos.
Deber del Responsable

Directorio público de las bases de datos sujetas a tratamiento que operan en el país.

Caldic, como responsable del tratamiento, debe inventariar y registrar todas sus bases de datos ante la Superintendencia de Industria y Comercio, y mantener ese registro al día.

  • 1
    Actualización anual.

    Cada base de datos registrada se debe actualizar al menos una vez al año.

  • 2
    Cambios sustanciales.

    Si cambia la finalidad, el encargado, las medidas de seguridad o se incorpora una transferencia internacional, debe actualizarse al RNBD.

  • 3
    Inventario interno previo.

    Antes del registro, Caldic debe identificar y catalogar todas sus bases de datos: clientes, proveedores, empleados, nómina, marketing, etc.

Decreto 886 de 2014 · Circulares SIC sobre el RNBD.
Capacitación · Caldic Colombia · 2026
Tres ideas que se llevan
01

El dato personal es del titular.

Caldic solo lo administra. Cada decisión vuelve a una pregunta: ¿estoy autorizado para esto?

02

Sin autorización previa, expresa e informada, no hay tratamiento legítimo.

Y la prueba de esa autorización es deber del responsable conservarla.

03

Filtrar un dato puede costarle el empleo y la libertad.

Responsabilidad laboral, civil y penal — los tres niveles operan en paralelo.

« Una comunicación clara es la base de una protección legal eficiente. »

CCR Legal · Bogotá D.C. · Edificio BD Bacatá · Calle 19 #5-20
CCR LEGAL · CAPACITACIÓN CALDIC

Gracias.

Ahora viene el examen.

Asesoría legal con compromiso, orden y verdad.