CAPACITACIÓN PARA CALDIC

Protección de datos
personales
para el día a día comercial.

Cinco bloques para entender qué hace usted con los datos que pasan por sus manos, por qué importa, y qué pasa cuando alguien se equivoca.

Audiencia: equipos comerciales de Caldic Colombia
Marco legal: Ley 1581 de 2012, Decreto 1377 de 2013, Ley 1273 de 2009, Código Penal.
Expositor: Leonardo Castañeda Jiménez · Socio Director · CCR Legal

Pulse → para avanzar · F pantalla completa

«Asesoría legal con compromiso, orden y verdad.»

Bogotá D.C. · 2026
Edificio BD Bacatá · Calle 19 #5-20

A ¿Cuánto valen sus datos personales?

Toque la pantalla o pulse → para continuar

¿Cuánto valen sus datos personales?

Abrir en YouTube

Para reproducir el video dentro de la presentación, guarde el archivo MP4 en assets/video/valor-datos.mp4 y recargue (el creador del video restringió la incrustación, por eso solo se abre en YouTube).

B ¿Qué es un dato personal?

IDEA CLAVE

Un dato personal es información que identifica o puede identificar a una persona.

Identifica directamente nombre, cédula, correo

Puede identificar indirectamente ubicación, cargo, historial, combinación de datos

Regla práctica

Si con ese dato, solo o combinado con otros, se puede reconocer a alguien, trátelo como dato personal.

Cuatro categorías para reconocerlo

Identificación

Nombre, cédula, fecha de nacimiento, género, estado civil.

Contacto

Correo, teléfono, dirección, redes sociales.

Contexto comercial

Empresa, cargo, compras, historial, preferencias, solicitudes.

Sensibles · protección reforzada

Salud, biométricos, datos de menores, religión, orientación sexual.

requieren mayor cuidado

Pregunta rápida:

¿Este dato permite reconocer a una persona?

Sí →

Trátelo como dato personal

No está seguro →

Pregunte antes de usarlo

C ¿A dónde van sus datos, y para qué?

Tres preguntas que este flujo va a contestar

¿Dónde están mis datos?
¿Sé para qué los usan?
¿Otorgué autorización para ese uso?

Toque la pantalla o pulse → para ver el flujo

Usted

titular del dato

D La autorización: piedra angular del régimen.

Art. 9 Ley 1581/2012 · Tres requisitos acumulativos

Sin autorización válida, el tratamiento es ilícito. La ley no se conforma con un «sí» cualquiera: exige que sea previo, expreso e informado.

Previo

Se obtiene antes de tratar el dato. No después, no «sobre la marcha», no por silencio.

Expreso

El titular manifiesta su voluntad de manera inequívoca: firma, casilla marcada, click activo, grabación. Nunca presunto.

Informado

Antes de autorizar, la persona sabe qué datos se tratan, con qué finalidad, cuáles son sus derechos y a quién acudir.

Regla práctica

Si no puede mostrar cuándo, cómo y con qué texto el titular dijo «sí», la autorización no existe a efectos legales. Conservar la prueba es deber del responsable.

Art. 12 Ley 1581/2012 · deber de informar y de conservar prueba.

Lo que el titular debe saber · Art. 12

Autorización de tratamiento

Firma del titular — prueba conservada por Caldic.

E Tres principios que aplican a su trabajo diario.

i.

Finalidad

Un dato solo se puede tratar para lo que se autorizó. Si autorizó facturación, no se puede usar para enviar publicidad.

Cada base de datos tiene una finalidad explícita.
Si surge una finalidad nueva, se pide una autorización nueva.
«Yo creía que era para…» no es una defensa válida.

Art. 4 lit. b Ley 1581/2012 — finalidad legítima y previamente informada.

ii.

Acceso y circulación restringida

Piense en una carretera privada: solo transita quien tiene pase, y solo hasta donde el pase lo autoriza. Igual con el dato — circula entre los necesarios para la finalidad, nada más.

No reenvíe bases de datos por WhatsApp, email personal ni USB.
No deje archivos con datos en escritorios compartidos o nubes personales.
Si un dato sale por error, repórtelo de inmediato.

Art. 4 lit. f Ley 1581/2012 — la información no puede estar disponible para terceros.

iii.

Responsabilidad demostrada

No basta con cumplir: hay que poder probar que se cumplió. Es una integración técnico-legal — controles informáticos y documentos jurídicos trabajando juntos.

Técnico: controles de acceso, cifrado, registros (logs) auditables.
Legal: autorizaciones, contratos, manuales, capacitaciones.
Ante una visita SIC, Caldic debe mostrar evidencia, no buenas intenciones.

Art. 26 Decreto 1377/2013 · Decreto 1074/2015 — accountability.

F Qué puede pasarle al empleado.

1. Responsabilidad laboral

Caldic como empleador

Deber de confidencialidad

El manual de funciones, el reglamento interno de trabajo y la política de tratamiento de información imponen al empleado un deber expreso de confidencialidad sobre los datos a los que accede en razón del cargo.

Art. 58 num. 2 CST — obligaciones especiales del trabajador.

Justa causa de terminación

Filtrar, reenviar o usar datos personales fuera del encargo configura incumplimiento grave de las obligaciones contractuales: causal justa de despido sin indemnización.

Art. 62 lit. a) num. 6 CST — violación grave de obligaciones contractuales.

Responsabilidad civil derivada

Si la conducta del empleado le genera un perjuicio patrimonial a Caldic — multa SIC, demanda del titular — la empresa puede repetir contra el empleado por culpa grave o dolo.

Art. 2356 C.C. — culpa grave o dolo del dependiente.

Caso · Colmédica Medicina Prepagada

$ 312.496.800

Sep · 2015Datos personales y de salud de 1.984 usuarios quedaron expuestos en www.colmedica.com, incluida una consulta médica sensible sobre intento de embarazo.
Nov · 2015La SIC ordena bloqueo temporal del sitio (Resolución 88615 de 2015).
Ago · 2018Sanción pecuniaria por 400 SMMLV por incumplimiento de los deberes del art. 17 lit. d) y del principio de seguridad (art. 4 lit. g) Ley 1581/2012.

Resolución 61062 de 24 ago 2018, SIC · Dirección de Investigación de Protección de Datos Personales.

2. Responsabilidad penal

El Estado contra el empleado

Violación de datos personales

Quien sin estar facultado obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes.

Pena: prisión de 48 a 96 meses + multa de 100 a 1.000 SMMLV.

Art. 269F C.P. · Ley 1273 de 2009 — delitos contra la información.

Utilización indebida de información privilegiada

El empleado, asesor o directivo de entidad privada que, para provecho propio o de tercero, haga uso indebido de información que conoció por razón de su cargo y que no sea de conocimiento público.

Pena: prisión de 1 a 3 años + multa de 5 a 50 SMMLV.

Art. 258 C.P. — utilización indebida de información privilegiada.

Acceso abusivo a sistema informático

Acceder en todo o en parte a un sistema informático protegido o no, sin autorización o por fuera de lo acordado, o mantenerse en él contra la voluntad de quien tenga el legítimo derecho a excluirlo.

Art. 269A C.P. · Ley 1273 de 2009.

Caso · Información privilegiada

1 a 3 años

Conducta típicaUn empleado comercial accede a la base de clientes de su empleador y la entrega a un competidor a cambio de un beneficio económico.
Doble imputaciónConcurren los tipos del art. 258 C.P. (información privilegiada) y del art. 269F (violación de datos personales) — pena agravada.
ConsecuenciasPrivación de la libertad, antecedentes judiciales, multa de hasta 1.000 SMMLV y reparación del daño causado al titular y al empleador.

Arts. 258 y 269F C.P. · concurso real heterogéneo · Ley 599 de 2000.

G Cuando Caldic comparte datos con un tercero.

Antes de los ejemplos

Cuando los datos de un titular salen de Caldic hacia un tercero, la ley distingue dos figuras según quién decide qué se hace con esos datos. Confundirlas tiene consecuencias contractuales y de responsabilidad solidaria.

Responsable

Persona natural o jurídica que decide sobre la base de datos y/o el tratamiento. Define la finalidad y los medios.

Art. 3 lit. e) Ley 1581/2012

Encargado

Persona natural o jurídica que realiza el tratamiento por cuenta del responsable. No decide la finalidad; ejecuta el encargo.

Art. 3 lit. d) Ley 1581/2012

TRANSFERENCIA · responsable → responsable

Caso · Paralelo 108

La propiedad horizontal donde se encuentran las oficinas de Caldic exige los datos personales de visitantes y empleados para controlar el acceso al edificio. Paralelo 108 define qué hace con esos datos: por eso es responsable autónomo.

Quién decide: Paralelo 108. La PH define para qué pide los datos y cómo los conserva.
Naturaleza jurídica: cesión de datos a otro responsable autónomo.
Requisito esencial: autorización previa, expresa e informada del titular para entregar el dato.
Quién responde: cada responsable por su tratamiento — sin solidaridad con el cedente.

TRANSMISIÓN · responsable → encargado

Caso · Trébol Jurídico

Firma contratada por Caldic para la gestión y recuperación de cartera (cobranza). Caldic le entrega bases de deudores; Trébol las usa únicamente para el encargo. No define finalidades nuevas — solo ejecuta.

Quién decide: Caldic. Trébol procesa por cuenta del responsable bajo instrucciones.
Naturaleza jurídica: tratamiento por encargo — no hay transferencia de titularidad sobre el dato.
Requisito esencial: contrato de transmisión con cláusulas mínimas (finalidad, deber de seguridad, devolución/eliminación al cerrar el encargo).
Quién responde: Caldic responde frente al titular por las fallas del encargado — responsabilidad solidaria.

Capacitación · Caldic Colombia · 2026

Tres ideas que se llevan

01

El dato personal es del titular.

Caldic solo lo administra. Cada decisión vuelve a una pregunta: ¿estoy autorizado para esto?

02

Sin autorización previa, expresa e informada, no hay tratamiento legítimo.

Y la prueba de esa autorización es deber del responsable conservarla.

03

Filtrar un dato puede costarle el empleo y la libertad.

Responsabilidad laboral, civil y penal — los tres niveles operan en paralelo.