¿Es necesario una actualización al Régimen General de Protección de Datos? (Parte II)

Esta segunda parte se centra en analizar los principales temas abordados durante la audiencia pública de los Proyectos de Ley Estatutaria 214 y 274 de 2025, orientados a la actualización del régimen de protección de datos personales en Colombia. El análisis recoge las posturas y preocupaciones expuestas por distintos sectores, destacando los retos jurídicos, técnicos e institucionales que plantea la modernización de esta normativa.

Por: Andrés Sebastián Moreno Guevara* – Abogado Especialista en Innovación Legal de la Universidad Externado. Asistente de Investigación del Departamento de Derecho, Comunicaciones y Tecnologías de la Información

En la primera parte de esta entrada se presentó el contexto general del debate sobre la actualización del régimen de protección de datos personales en Colombia, destacando la relevancia de este proceso legislativo y los principales desafíos que plantea frente al acelerado desarrollo tecnológico y la transformación digital. Asimismo, se analizó el alcance de los Proyectos de Ley estatutaria 214 y 274 de 2025 que fueron acumulados y están orientados a modernizar la Ley 1581 de 2012 y armonizarla con los estándares internacionales de protección de datos.

Con base en ese marco, esta segunda parte se centra en el análisis de los principales temas abordados durante la audiencia pública celebrada el 25 de septiembre de 2025 en la Comisión Primera de la Cámara de Representantes, cuya finalidad fue recoger las posturas de la academia, la industria, los gremios y la autoridad regulatoria. A partir de las intervenciones técnicas realizadas, se examinan los puntos más sensibles del debate legislativo, entre ellos la regulación de los sistemas automatizados de tratamiento, la ampliación de la categoría de datos sensibles, la posible duplicidad institucional en materia de supervisión, la formalización de la figura del Oficial de Protección de Datos, la proporcionalidad del régimen sancionatorio y la necesidad de fortalecer la cultura de protección de datos en el país.

Colombia, con la Ley 1581 de 2012 fue uno de los países pioneros en Latinoamérica en materia de protección de datos, sin embargo, hoy enfrenta limitaciones estructurales frente a los desafíos del siglo XXI y los avances tecnológicos actuales. Así la acumulación de estos dos Proyectos de Ley representa una oportunidad historia para modernizar el régimen jurídico vigente, armonizarlo con estándares internacionales y responder a las demandas de una sociedad hiperconectada.

Por lo cual, a continuación se recogen algunos de los aspectos más comentados en las 23 intervenciones técnicas que tuvieron lugar en la audiencia pública celebrada en la Comisión Primera de la Cámara de Representantes en el Congreso de la Republica. Con el propósito de profundizar en los aspectos más sensibles del debate legislativo.

La regulación de sistemas automatizados de tratamiento y de inteligencia artificial fue otro eje central del debate. No obstante, se debe precisar que hay una confusión conceptual con la toma de decisiones automatizadas, aparentemente de la falta de neutralidad tecnológica, al reducir los mecanismos a medios concretos como los sistemas de Inteligencia Artificial. Dejando esto de lado, se advirtió por parte de algunos expertos los riesgos que implican las “cajas negras algorítmicas”, donde las decisiones se toman sin transparencia ni posibilidad de revisión humana, por lo que se proponen principios como los de explicabilidad y trazabilidad, entre otros. Sin embargo, se precisó que algunas formulaciones al imponer obligaciones de resultado difíciles de verificar supondrían una inhibición al desarrollo de negocios de soluciones tecnológicas. Por lo que se hace necesario generar consenso que eviten prohibiciones absolutas que puedan frenar el avance tecnológico.

Sobre la categoría de datos sensibles, su ampliación fue celebrada por diversos sectores. El PL incluye la definición de neurodatos, identidad de género, orientación sexual y datos relativos a la salud mental, lo cual es un reconocimiento a la necesidad de protección reforzada a prácticas discriminatorias y usos indebidos.

No obstante, definiciones como “tratamiento a gran escala” o “perfilamiento”, generan inseguridad jurídica al vincular las obligaciones al volumen de datos o al uso de tecnologías específicas, lo cual desconoce el principio de neutralidad tecnológica y podría dejar por fuera de la esfera de protección a pequeños tratamientos pero que implican un alto riesgo potencial, como aquellos que involucran datos genéticos. Por lo que se recomendó que la futura ley se enfoque en la finalidad del tratamiento y el impacto sobre los derechos de los titulares.

Por otra parte, se propone regular el tratamiento de datos postmortem, al reconocer el derecho de los causahabientes a acceder, rectificar o suprimir información personal de personas fallecidas. Lo que responde a tendencias emergentes como el testamento digital y la gestión de identidad en línea tras la muerte, para garantizar la dignidad póstuma.

Por otro lado, uno de los puntos más controversiales fue la propuesta de otorgar facultades de inspección, vigilancia y control a la Procuraduría General de la Nación, en paralelo con la Superintendencia de industria y Comercio en el PLE 214/2025 C en el parágrafo del artículo 30. Es pertinente cuestionar si esto implica ¿una doble autoridad o duplicidad funcional? A lo que se mencionó dicha propuesta vulneraría el principio de eficiencia administrativa (art. 209 C.P.), lo que podría generar conflictos de competencia entre ambas y aumentaría el riesgo de politización en la supervisión del régimen de protección de datos.

Dado que la Procuraduría, por mandato constitucional, tiene funciones disciplinarias, no regulatorias ni sancionatorias en materia de protección de datos. Varios expertos coincidieron en que la supervisión debe estar en manos de una única autoridad, la cual debe ser especializada y técnica, para garantizar la coherencia regulatoria, independencia funcional y capacidad operativa. La creación de una Procuraduría Delegada para la Protección de Datos, sin delimitar claramente sus competencias, podría generar inseguridad jurídica y duplicidad de funciones. De cualquier modo, si se debe pensar en robustecer entonces las facultades sancionatorias por parte de la SIC a funcionarios, órganos y entidades públicas cuando incurran en alguna vulneración al régimen de protección de datos, toda vez que no es sorpresa la carencia de sanciones al respecto en el sector público actualmente.

Oficial De Protección De Datos / DPO

De igual modo, otra de las propuestas celebradas en la audiencia fue la inclusión legal de la figura del Oficial de Protección de Datos. La cual es ampliamente reconocida en estándares internacionales como el RGPD europeo, se convierte en el corazón operativo de cualquier programa de cumplimiento normativo en materia de datos personales.

Al no solo actuar como garante interno de la legalidad, sino que también sirve como enlace entre la organización y la autoridad de control. Su rol implica diseñar políticas de privacidad, gestionar riesgos, coordinar auditorias, atender solicitudes de titulares y asegurar que el tratamiento de datos se realice conforme a los principios de legalidad, transparencia y con proporcionalidad a la finalidad que se persigue.

Expertos como Iván Marrugo y representantes de redes profesionales destacaron que formalizar esta figura permitirá profesionalizar el sector, generar empleos especializados y fortalecer la cultura de protección de datos en Colombia. No obstante, se advierte que su exigencia debe ser proporcional al tamaño y capacidad de las organizaciones, evitando que se conviertan en una carga excesiva para    MIPYMES y emprendimientos.

Régimen Sancionatorio

Otra de las propuestas es el régimen sancionatorio que en el PLE 274 contempla multas de hasta el 5% de los ingresos anuales y el cierre definitivo de operaciones. Sin embargo, según algunas intervenciones estas medidas no superar el juicio de proporcionalidad ni de razonabilidad. Adicionalmente, que la falta de un régimen de transición vulnera el principio de confianza legitima, afectando a entidades que han invertido tiempo y recursos en cumplir con el régimen actual, por lo que sostuvieron que lo ideal contar con sanciones graduales, proporcionales y con garantías procesales que permitan corregir una conducta sin afectar la supervivencia de las organizaciones.

Educación digital y cultura de protección

Uno de los hallazgos más preocupantes de la audiencia fue el desconocimiento generalizado de la Ley 1581 por parte de la ciudadanía. Algunos expertos propusieron incluir obligaciones estatales de pedagogía y formación en protección de datos, especialmente en alianza con universidades, gremios y cámaras de comercio.

La ley debe contemplar estrategias de educación digital que empoderen a la ciudadanía, promuevan el uso responsable de la tecnología y fortalezcan la cultura de protección de datos desde edades tempranas.

En síntesis, la acumulación de los Proyectos de Ley Estatutarios 214 y 274 representa una oportunidad única para construir un régimen de protección de datos moderno, coherente y alineado con los estándares internacionales. Sin embargo, el éxito de esta reforma dependerá de su capacidad para equilibrar garantías jurídicas, viabilidad técnica, eficiencia institucional y competitividad económica.

La audiencia pública dejó claro que esta no es una discusión técnica aislada, sino un debate sobre derechos fundamentales, democracia digital y soberanía informativa. Colombia tiene la posibilidad de convertirse en un referente regional en protección de datos, pero para lograrlo necesita una ley seria, clara, garantista y construida con participación amplia y deliberación profunda.

Referencias:

• COLOMBIA, CONGRESO DE LA REPÚBLICA, Comisión Primera Constitucional Permanente, Audiencia Pública P.L.E. 274/2025 Cámara; Disponible en: https://www.youtube.com/watch?v=91V3bQ7QAIU&t=23s

*Candidato a Especialización en Contratación Estatal de la U. Externado. Con estudios complementarios en Protección de Datos Personales, LPM, TIC y Análisis de Datos.  

*La entrada publicada en el Blog no refleja la opinión del Departamento de Derecho, Comunicaciones y Tecnologías de la Información. El autor es el único responsable del contenido y las opiniones expresadas en la misma.

Imagen en iStock JuSun