Blog de Juztina

#HabeasData

#ProteccionDeDatos

#SICColombia

junio 17, 2026

Nuevos cambios regulatorios en protección de datos: ¿Cómo queda el panorama?

Successful Business Man Working Laptop While Drinking Coffee

Ante casos de suplantación (conforme a la Ley 2573 de 2026), previa solicitud de la Fuente, el Operador debe incluir la leyenda "víctima de falsedad personal" en el registro del Titular afectado, con la finalidad exclusiva de verificar la identidad de la víctima. La SIC es clara en determinar que la inclusión de la leyenda no puede tenerse como reporte negativo, reducir la calificación de riesgo ni afectar estudios financieros o crediticios.

En ese orden de ideas, los artículos 7, 8 y 9 determinan nuevas obligaciones para las Fuentes de información, tales como: 

  • La Fuente debe notificar al Operador cuando un Titular dispute su información, incluyendo la leyenda "reclamo en trámite". Si la Fuente resuelve favorablemente el reclamo dentro de los 2 días hábiles siguientes a su radicación, no hay obligación de notificar al Operador.
  • Cuando la SIC comunique a la Fuente el inicio de una investigación sobre un dato específico, esta tiene 2 días hábiles para notificarlo al Operador. 
  • Ante un reclamo de falsedad personal, en virtud de la Ley 2573, la Fuente debe: (i) cotejar documentos en 10 días hábiles, tomando los proporcionados por el Titular como prueba sumaria; y (ii) dentro del mismo plazo, según se indicó, solicitar al Operador la inclusión de la leyenda "víctima de falsedad personal". 
  • La Fuente solo puede reportar información negativa dentro de los 18 meses siguientes a la constitución en mora del Titular, en concordancia con la Ley 2157.

Pasando a otro tema, la autoridad propone unas muy necesarias inclusiones en los artículos 2 y 3 de la resolución en relación con la entrega de información a los Titulares, personas autorizadas por estos y causahabientes. La SIC determina que, si una persona jurídica realiza una solicitud, no debe aportar un documento que acredite su existencia, siempre que dicha persona jurídica se encuentre disponible para consulta en bases de datos de entidades. Igualmente, propone la autoridad que las solicitudes puedan realizarse por medios digitales sin necesidad de intermediarios ni de la presencia obligatoria de un abogado.

Aunque esto constituya un avance respecto del régimen de entrega de información a terceros distintos al Titular, el proyecto no resuelve con plena claridad los supuestos en los que se podría entregar información, en tanto no desarrolla con suficiente detalle los criterios bajo los cuales se acredita la condición de persona autorizada o causahabiente en escenarios complejos. Al tratarse de una de las zonas más grises del régimen de protección de datos, esta es una oportunidad para que la versión final de la Circular ofrezca reglas claras para estos casos.

Por último, en relación con el Registro Nacional de Bases de Datos ("RNBD"):

  • Antes, los Responsables reportaban los reclamos de Titulares al RNBD dos veces al año (febrero y agosto). Ahora el reporte es anual, con corte al 31 de diciembre, y debe actualizarse dentro de los primeros quince días hábiles de febrero de cada año.

  • En cuanto a la inscripción en el RNBD, la resolución establece que quien alcance el monto de los 100.000 UVT en activos tendrá 3 meses para inscribir sus bases de datos. 

  • Otro cambio se presenta respecto de las fechas de la actualización anual del RNBD. A partir de 2027, estas se realizarán entre el 1 de junio y el 30 de agosto de cada año,  no en los primeros tres meses. 

  • Se actualizó la lista de países con nivel adecuado de protección para realizar transferencias internacionales, incorporando a Brasil, Ecuador, Kenia, Panamá y Sudáfrica. 

Aunque el proyecto está abierto a comentarios y la versión final de la Circular puede diferir de este análisis, el ejercicio regulatorio que propone la SIC merece atención precisamente por su oportunidad, ya que se trata de una autoridad que, en el tramo final de su período, apuesta por dejar un marco normativo más robusto y armonizado. 

Queda por verse si la próxima administración de la entidad asumirá estos lineamientos como prioridad o si el ritmo regulatorio tomará un rumbo distinto. Lo que sí resulta claro es que el sector financiero y crediticio en Colombia enfrenta un período de actualización normativa activa en datos personales, por lo que las empresas del sector deben estar preparados para adaptar sus procesos con prontitud. 

El pasado 26 de mayo de 2026 la Superintendencia de Industria y Comercio (“SIC”) publicó para comentarios el proyecto de resolución que modifica al Título V de su Circular Única Jurídica  (la “Circular”). Lo anterior tomó a la comunidad jurídica de datos personales por sorpresa, dado que, además de ser la primera modificación a la Circular en años, deja ver una intención clara de la autoridad por consolidar lineamientos específicos en esta etapa final de su gestión. 

Uno de los objetivos de la resolución es armonizar el marco regulatorio vigente con la Ley 2157 de 2021 (Borrón y Cuenta Nueva), la Ley 2573 de 2026 (suplantación de identidad) y sus sentencias de constitucionalidad, incluyendo estas disposiciones en el ámbito de aplicación de la Circular. Este ejercicio de armonización es, en sí mismo, un avance que la comunidad jurídica debe valorar, pues reduce la incertidumbre interpretativa que enfrentan las Fuentes, Operadores y Titulares respecto de la nueva normativa.

Una de las inclusiones que busca lograr esta armonización se evidencia en el artículo 11 de la resolución, el cual indica que las Fuentes y Operadores deben responder las peticiones y reclamos de manera oportuna, completa y sustancial. Se señala que, para los casos de reclamos por suplantación, la Fuente tiene 15 días hábiles para resolver el reclamo de fondo, prorrogables por 8 días hábiles adicionales.

Asimismo, si la Fuente no responde o evade hacerlo dentro del plazo, opera el silencio positivo, por lo que el reclamo se entiende aceptado. Como consecuencia, la Fuente debe notificar inmediatamente al Operador para que rectifique la información y elimine el dato negativo que refleje un supuesto incumplimiento del Titular. 

En esa misma línea, los artículos 4, 5 y 6 imponen nuevas obligaciones a los Operadores de información, tales como: 

  • Una nueva obligación de informe anual obligatorio (enero–diciembre del año anterior) que acredite: (i) el cumplimiento del deber de solicitar a las Fuentes la autorización previa para reportar información; y (ii) la relación de Fuentes que no certificaron semestralmente contar con dicha autorización. A partir de 2027, el informe debe estar listo el 15 de marzo y conservarse por mínimo 3 años. 

  • Dentro de los 20 días hábiles siguientes al vencimiento del plazo para la certificación semestral, el Operador debe bloquear toda la información en la que la Fuente no haya acreditado contar con autorización del Titular. El bloqueo suspende temporalmente la visualización y circulación del dato hasta que la Fuente cumpla. 

  • De otra parte, los Operadores, de conformidad con el artículo 12, deben realizar dentro de los quince primeros días de febrero de cada año un reporte a la SIC sobre los reclamos presentados por Titulares en el año anterior. Esta obligación de reporte de reclamos es novedosa respecto de la del RNBD, la cual revisaremos más adelante. 

 

Elaborado por: Felipe Olaya

 

Comparte este artículo

  • Facebook
  • Twitter
  • LinkedIn
  • WhatsApp