{"id":2697,"date":"2026-04-20T23:16:17","date_gmt":"2026-04-20T23:16:17","guid":{"rendered":"https:\/\/cuellar-abogados.com\/?p=2697"},"modified":"2026-04-20T23:16:18","modified_gmt":"2026-04-20T23:16:18","slug":"hacia-donde-mira-la-sic-biometria-inteligencia-artificial-ia-y-web-scraping-bajo-la-lupa","status":"publish","type":"post","link":"https:\/\/cuellar-abogados.com\/en\/hacia-donde-mira-la-sic-biometria-inteligencia-artificial-ia-y-web-scraping-bajo-la-lupa\/","title":{"rendered":"Hacia d\u00f3nde mira la SIC: biometr\u00eda, Inteligencia Artificial (IA) y web scraping bajo la lupa"},"content":{"rendered":"<p><strong>Resumen<\/strong><\/p>\n\n\n\n<p>La Superintendencia de Industria y Comercio (SIC) en sus decisiones de los \u00faltimos dos a\u00f1os ha dibujado un mapa preciso de prioridades: biometr\u00eda, inteligencia artificial, extracci\u00f3n automatizada de datos (<em>web scraping<\/em>), y sectores con alto volumen de datos. Para cualquier empresa que opere en estos frentes, leer ese mapa antes de que se traduzca en investigaci\u00f3n es una ventaja.<\/p>\n\n\n\n<p>Este art\u00edculo identifica d\u00f3nde est\u00e1 mirando hoy la autoridad de datos colombiana, con casos recientes, circulares aplicables y lo que se avecina con la reforma 214\/2025C.<\/p>\n\n\n\n<p><strong>Un caso importante<\/strong><\/p>\n\n\n\n<p>El 3 de octubre de 2025, mediante la Resoluci\u00f3n 78798 de 2025, la SIC impuso como sanci\u00f3n a World Foundation y Tools for Humanity Corporation el cierre inmediato y definitivo de su operaci\u00f3n en Colombia que involucre tratamiento de datos personales. As\u00ed mismo, orden\u00f3 la supresi\u00f3n de los datos personales sensibles, incluidos los c\u00f3digos de iris, de las bases de datos, repositorios o servidores que tengan dispuestos para su almacenamiento, y que hubiesen sido recolectados desde el inicio de operaciones en Colombia hasta la fecha de ejecutoria del acto administrativo que impuso la sanci\u00f3n.<\/p>\n\n\n\n<p>El caso importa por tres razones que van m\u00e1s all\u00e1 de la empresa sancionada.<\/p>\n\n\n\n<p><strong>Primera:<\/strong> la SIC us\u00f3 una herramienta sancionatoria de m\u00e1ximo alcance \u2014 Cierre inmediato y definitivo de las operaciones de tratamiento de datos personales \u2014 contra un actor global. La autoridad demostr\u00f3 estar dispuesta a aplicar la sanci\u00f3n m\u00e1s fuerte disponible, incluso frente a empresas que argumentan innovaci\u00f3n y est\u00e1ndares internacionales.<\/p>\n\n\n\n<p><strong>Segunda:<\/strong> uno de los fundamentos centrales fue que condicionar el consentimiento al pago de un incentivo econ\u00f3mico vulnera el principio de libertad de la autorizaci\u00f3n dado que la promesa de una contraprestaci\u00f3n cualquiera que sea el tipo puede condicionar el juicio del titular. Considera la SIC que el incentivo puede llevarlo tomar una decisi\u00f3n desinformada y prematura vulnerando el principio de libertad pues el consentimiento que otorga la persona deja de ser libre pues no es el producto del juicio interno que lo lleva a decidir si acepta o no que su informaci\u00f3n sea almacenada y tratada. Este criterio tiene implicaciones que trascienden la biometr\u00eda \u2014 aplica a cualquier programa de fidelizaci\u00f3n, encuesta remunerada o descuento condicionado a la entrega de datos.<\/p>\n\n\n\n<p><strong>Tercera:<\/strong> la empresa apel\u00f3 la decisi\u00f3n argumentando que los recursos tienen efecto suspensivo y que seguir\u00eda operando. La SIC respondi\u00f3 que las \u00f3rdenes de suspensi\u00f3n y supresi\u00f3n deben acatarse de inmediato.<\/p>\n\n\n\n<p><strong>Los cuatro frentes bajo vigilancia<\/strong><\/p>\n\n\n\n<p><strong>Biometr\u00eda<\/strong><\/p>\n\n\n\n<p>El reconocimiento facial, la lectura de iris, la huella dactilar y otros datos biom\u00e9tricos reciben el tratamiento m\u00e1s estricto que la autoridad aplica hoy. Dos casos de 2025 lo ilustran:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>$214 millones<\/strong> de multa a una empresa de comercio electr\u00f3nico por condicionar el acceso a una cuenta de usuario a la entrega de informaci\u00f3n biom\u00e9trica facial. El problema no fue usar reconocimiento facial \u2014 fue hacerlo obligatorio sin alternativa y sin justificaci\u00f3n proporcional.<\/li>\n\n\n\n<li><strong>Cierre de operaciones<\/strong> a Worldcoin (ya mencionado) por recolecci\u00f3n masiva de iris sin consentimiento informado v\u00e1lido.<\/li>\n<\/ul>\n\n\n\n<p>La l\u00ednea que dibuja la SIC es exigente y consistente. Los datos biom\u00e9tricos son datos sensibles, requieren autorizaci\u00f3n reforzada, finalidades claramente informadas, y una evaluaci\u00f3n de proporcionalidad. Toda empresa que use biometr\u00eda para autenticaci\u00f3n, control de acceso o verificaci\u00f3n de identidad debe poder responder con criterios y documentaci\u00f3n si es realmente necesario usar biometr\u00eda para esta finalidad o si hay alternativas menos invasivas.<\/p>\n\n\n\n<p><strong>Inteligencia artificial<\/strong><\/p>\n\n\n\n<p>La Circular Externa 002 del 21 de agosto de 2024 de la SIC argumenta que las empresas que usan IA deben realizar una ponderaci\u00f3n atendiendo los siguientes cuatro criterios, destinados a salvaguardar los principios establecidos en las Leyes Estatutarias&nbsp;1266&nbsp;de 2008 y&nbsp;1581&nbsp;de 2012:<\/p>\n\n\n\n<p>&nbsp;a)&nbsp;Idoneidad: El Tratamiento es capaz de alcanzar el objetivo propuesto;<\/p>\n\n\n\n<p>&nbsp;b)&nbsp;Necesidad: No exista otra medida m\u00e1s moderada en cuanto al impacto de las operaciones de Tratamiento en la protecci\u00f3n de Datos personales e igual de eficaz para conseguir tal objetivo;<\/p>\n\n\n\n<p>&nbsp;c)&nbsp;Razonabilidad: El Tratamiento debe estar orientado a cumplir finalidades constitucionales;<\/p>\n\n\n\n<p>&nbsp;d)&nbsp;Proporcionalidad en sentido estricto: Las ventajas obtenidas como consecuencia de la restricci\u00f3n del derecho a la protecci\u00f3n de datos no deber\u00e1n ser superadas por las desventajas de afectar el derecho al Habeas Data.<\/p>\n\n\n\n<p>Adem\u00e1s, introduce una obligaci\u00f3n que no todos aplican. Esto es, la identificaci\u00f3n y clasificaci\u00f3n de riesgos y cuando el tratamiento entra\u00f1e alto riesgo para los titulares, realizar un estudio de impacto de privacidad documentado antes del dise\u00f1o del sistema.<\/p>\n\n\n\n<p>En la pr\u00e1ctica, esto significa que una empresa que incorpora una herramienta de IA sin haber hecho ese an\u00e1lisis previo puede estar operando fuera del marco. El riesgo no es te\u00f3rico. La SIC ya investiga modelos de lenguaje globales para verificar su cumplimiento bajo coordinaci\u00f3n de la Red Iberoamericana de Protecci\u00f3n de Datos.<\/p>\n\n\n\n<p><strong>Web scraping: la extracci\u00f3n p\u00fablica no es autorizaci\u00f3n<\/strong><\/p>\n\n\n\n<p>La extracci\u00f3n automatizada de datos de sitios web est\u00e1 en la mira desde 2023, cuando la SIC orden\u00f3 a una red social mediante la Resoluci\u00f3n 71406 reforzar sus medidas de seguridad para prevenir precisamente este tipo de pr\u00e1ctica. La autoridad fue clara al determinar que el web scraping masivo constituye un riesgo permanente para el adecuado tratamiento de datos personales.<\/p>\n\n\n\n<p>Recolectar datos que est\u00e1n p\u00fablicamente disponibles en internet no equivale a tener una base legal v\u00e1lida para tratarlos. Que un dato sea visible no significa que su titular haya autorizado su recopilaci\u00f3n sistem\u00e1tica, almacenamiento y uso para finalidades distintas. Una empresa que extrae perfiles profesionales de una red social, precios de competidores junto con informaci\u00f3n personal de vendedores, rese\u00f1as con nombres de usuarios, o cualquier dato similar con herramientas automatizadas, debe tener claro cu\u00e1l es la base legal espec\u00edfica que legitima ese tratamiento.<\/p>\n\n\n\n<p><strong>Los sectores con presunci\u00f3n de escrutinio alto<\/strong><\/p>\n\n\n\n<p><strong>Telecomunicaciones, salud y comercio electr\u00f3nico<\/strong> concentran la mayor\u00eda de sanciones recientes. Esto dado que manejan grandes vol\u00famenes de datos, algunos sensibles (como los de salud), en ecosistemas digitales complejos con m\u00faltiples terceros, y con exposici\u00f3n directa al consumidor.<\/p>\n\n\n\n<p>Para las empresas de estos sectores, la realidad operativa es que el margen de error es menor. Lo que en otro sector podr\u00eda considerarse una falla menor, aqu\u00ed puede derivar en una investigaci\u00f3n formal. Esto no se resuelve con dise\u00f1o de procesos que integren protecci\u00f3n de datos desde el inicio, no como respuesta de \u00faltimo minuto.<\/p>\n\n\n\n<p><strong>El Proyecto de Ley<\/strong><\/p>\n\n\n\n<p>El Proyecto de Ley Estatutaria 214\/2025C, radicado por el Gobierno en agosto de 2025, propone cuatro cambios que alterar\u00edan sustancialmente el r\u00e9gimen:<\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li><strong>Techo sancionatorio ampliado<\/strong> a 10.000 SMLMV o 5% de los ingresos operacionales del infractor. El techo actual de 2.000 SMLMV dejar\u00eda de ser el l\u00edmite.<\/li>\n\n\n\n<li><strong>Aplicaci\u00f3n territorial extendida<\/strong> a responsables no establecidos en Colombia cuando traten datos de residentes en el pa\u00eds (el modelo de aplicaci\u00f3n extraterritorial del RGPD de la Uni\u00f3n Europea).<\/li>\n\n\n\n<li><strong>Nuevas bases legales<\/strong>: inter\u00e9s leg\u00edtimo y cumplimiento de deberes contractuales se incorporar\u00edan como fundamentos adicionales al tratamiento. M\u00e1s flexibilidad operativa, pero mayor exigencia documental para sustentar su aplicaci\u00f3n.<\/li>\n\n\n\n<li><strong>Regulaci\u00f3n espec\u00edfica de IA y tratamiento automatizado<\/strong>, construida sobre la base de la Circular 002 de 2024.<\/li>\n<\/ol>\n\n\n\n<p>La reforma no reemplaza el r\u00e9gimen actual, pero si lo endurecer\u00eda. Las empresas que hoy operan con programas de privacidad s\u00f3lidos se ajustar\u00e1n con facilidad. Las que hoy operan con programas defectuosos enfrentar\u00e1n el nuevo techo sancionatorio sin haber resuelto los problemas del r\u00e9gimen vigente.<\/p>\n\n\n\n<p><strong>Qu\u00e9 hacer si su empresa opera en estos frentes<\/strong><\/p>\n\n\n\n<p>Un diagn\u00f3stico espec\u00edfico por tipo de tratamiento es m\u00e1s \u00fatil que una revisi\u00f3n general. Para estar listos, aqu\u00ed algunas preguntas que vale la pena responder:<\/p>\n\n\n\n<p><strong>Si su empresa usa biometr\u00eda:<\/strong> \u00bfexiste un an\u00e1lisis documentado de proporcionalidad que justifique por qu\u00e9 se usa biometr\u00eda y no alternativas menos invasivas? \u00bfHay una v\u00eda alternativa para los usuarios que no quieran entregar datos biom\u00e9tricos, o es obligatorio?<\/p>\n\n\n\n<p><strong>Si su empresa usa IA para tratar datos personales:<\/strong> \u00bfexiste un inventario y para los de alto riesgo un estudio de impacto de privacidad documentado antes del despliegue? \u00bfLos cuatro criterios de la Circular 002 (idoneidad, necesidad, razonabilidad, proporcionalidad) est\u00e1n evaluados por escrito?<\/p>\n\n\n\n<p><strong>Si su empresa usa web scraping o tratamiento masivo de datos externos:<\/strong> \u00bfcu\u00e1l es la base legal espec\u00edfica del tratamiento? \u00bfSe han evaluado las condiciones de uso de las fuentes, el tipo de datos recolectados, y la existencia de autorizaci\u00f3n v\u00e1lida?<\/p>\n\n\n\n<p><strong>Si su empresa opera en telecomunicaciones, salud o comercio electr\u00f3nico:<\/strong> \u00bfhay una evaluaci\u00f3n de cumplimiento espec\u00edfica para el sector, que considere la exposici\u00f3n sancionatoria elevada que enfrentan estas industrias?<\/p>\n\n\n\n<p>Si alguna pregunta no tiene hoy en su organizaci\u00f3n una respuesta clara, hay una brecha que conviene cerrar antes de que lo haga la SIC.<\/p>\n\n\n\n<p>\u00bfQuiere evaluar el estado de cumplimiento de su empresa frente a la Ley 1581? En Cuellar Abogados dise\u00f1amos e implementamos programas de privacidad. <a href=\"https:\/\/cuellar-abogados.com\/en\/contact\/\">Cont\u00e1ctenos.<\/a><\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p><em>Arturo Cuellar es abogado especializado en derecho corporativo, tecnolog\u00eda, privacidad e inteligencia artificial. Fundador de Cuellar Abogados.<\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Resumen La Superintendencia de Industria y Comercio (SIC) en sus decisiones de los \u00faltimos dos a\u00f1os ha dibujado un mapa preciso de prioridades: biometr\u00eda, inteligencia artificial, extracci\u00f3n automatizada de datos (web scraping), y sectores con alto volumen de datos. Para cualquier empresa que opere en estos frentes, leer ese mapa antes de que se traduzca [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":2698,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_uag_custom_page_level_css":"","footnotes":""},"categories":[25,24],"tags":[],"class_list":["post-2697","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ai","category-privacy"],"blocksy_meta":[],"aioseo_notices":[],"uagb_featured_image_src":{"full":["https:\/\/cuellar-abogados.com\/wp-content\/uploads\/2026\/04\/ipad-tablet-technology-touch-35550-scaled.jpg",2560,1707,false],"thumbnail":["https:\/\/cuellar-abogados.com\/wp-content\/uploads\/2026\/04\/ipad-tablet-technology-touch-35550-150x150.jpg",150,150,true],"medium":["https:\/\/cuellar-abogados.com\/wp-content\/uploads\/2026\/04\/ipad-tablet-technology-touch-35550-300x200.jpg",300,200,true],"medium_large":["https:\/\/cuellar-abogados.com\/wp-content\/uploads\/2026\/04\/ipad-tablet-technology-touch-35550-768x512.jpg",768,512,true],"large":["https:\/\/cuellar-abogados.com\/wp-content\/uploads\/2026\/04\/ipad-tablet-technology-touch-35550-1024x683.jpg",1024,683,true],"1536x1536":["https:\/\/cuellar-abogados.com\/wp-content\/uploads\/2026\/04\/ipad-tablet-technology-touch-35550-1536x1024.jpg",1536,1024,true],"2048x2048":["https:\/\/cuellar-abogados.com\/wp-content\/uploads\/2026\/04\/ipad-tablet-technology-touch-35550-2048x1365.jpg",2048,1365,true],"trp-custom-language-flag":["https:\/\/cuellar-abogados.com\/wp-content\/uploads\/2026\/04\/ipad-tablet-technology-touch-35550-18x12.jpg",18,12,true]},"uagb_author_info":{"display_name":"Arturo Cuellar","author_link":"https:\/\/cuellar-abogados.com\/en\/author\/arturo\/"},"uagb_comment_info":0,"uagb_excerpt":"Resumen La Superintendencia de Industria y Comercio (SIC) en sus decisiones de los \u00faltimos dos a\u00f1os ha dibujado un mapa preciso de prioridades: biometr\u00eda, inteligencia artificial, extracci\u00f3n automatizada de datos (web scraping), y sectores con alto volumen de datos. Para cualquier empresa que opere en estos frentes, leer ese mapa antes de que se traduzca&hellip;","_links":{"self":[{"href":"https:\/\/cuellar-abogados.com\/en\/wp-json\/wp\/v2\/posts\/2697","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cuellar-abogados.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cuellar-abogados.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cuellar-abogados.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/cuellar-abogados.com\/en\/wp-json\/wp\/v2\/comments?post=2697"}],"version-history":[{"count":1,"href":"https:\/\/cuellar-abogados.com\/en\/wp-json\/wp\/v2\/posts\/2697\/revisions"}],"predecessor-version":[{"id":2699,"href":"https:\/\/cuellar-abogados.com\/en\/wp-json\/wp\/v2\/posts\/2697\/revisions\/2699"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cuellar-abogados.com\/en\/wp-json\/wp\/v2\/media\/2698"}],"wp:attachment":[{"href":"https:\/\/cuellar-abogados.com\/en\/wp-json\/wp\/v2\/media?parent=2697"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cuellar-abogados.com\/en\/wp-json\/wp\/v2\/categories?post=2697"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cuellar-abogados.com\/en\/wp-json\/wp\/v2\/tags?post=2697"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}