Resumen
La Superintendencia de Industria y Comercio (SIC) en sus decisiones de los últimos dos años ha dibujado un mapa preciso de prioridades: biometría, inteligencia artificial, extracción automatizada de datos (web scraping), y sectores con alto volumen de datos. Para cualquier empresa que opere en estos frentes, leer ese mapa antes de que se traduzca en investigación es una ventaja.
Este artículo identifica dónde está mirando hoy la autoridad de datos colombiana, con casos recientes, circulares aplicables y lo que se avecina con la reforma 214/2025C.
Un caso importante
El 3 de octubre de 2025, mediante la Resolución 78798 de 2025, la SIC impuso como sanción a World Foundation y Tools for Humanity Corporation el cierre inmediato y definitivo de su operación en Colombia que involucre tratamiento de datos personales. Así mismo, ordenó la supresión de los datos personales sensibles, incluidos los códigos de iris, de las bases de datos, repositorios o servidores que tengan dispuestos para su almacenamiento, y que hubiesen sido recolectados desde el inicio de operaciones en Colombia hasta la fecha de ejecutoria del acto administrativo que impuso la sanción.
El caso importa por tres razones que van más allá de la empresa sancionada.
Primera: la SIC usó una herramienta sancionatoria de máximo alcance — Cierre inmediato y definitivo de las operaciones de tratamiento de datos personales — contra un actor global. La autoridad demostró estar dispuesta a aplicar la sanción más fuerte disponible, incluso frente a empresas que argumentan innovación y estándares internacionales.
Segunda: uno de los fundamentos centrales fue que condicionar el consentimiento al pago de un incentivo económico vulnera el principio de libertad de la autorización dado que la promesa de una contraprestación cualquiera que sea el tipo puede condicionar el juicio del titular. Considera la SIC que el incentivo puede llevarlo tomar una decisión desinformada y prematura vulnerando el principio de libertad pues el consentimiento que otorga la persona deja de ser libre pues no es el producto del juicio interno que lo lleva a decidir si acepta o no que su información sea almacenada y tratada. Este criterio tiene implicaciones que trascienden la biometría — aplica a cualquier programa de fidelización, encuesta remunerada o descuento condicionado a la entrega de datos.
Tercera: la empresa apeló la decisión argumentando que los recursos tienen efecto suspensivo y que seguiría operando. La SIC respondió que las órdenes de suspensión y supresión deben acatarse de inmediato.
Los cuatro frentes bajo vigilancia
Biometría
El reconocimiento facial, la lectura de iris, la huella dactilar y otros datos biométricos reciben el tratamiento más estricto que la autoridad aplica hoy. Dos casos de 2025 lo ilustran:
- $214 millones de multa a una empresa de comercio electrónico por condicionar el acceso a una cuenta de usuario a la entrega de información biométrica facial. El problema no fue usar reconocimiento facial — fue hacerlo obligatorio sin alternativa y sin justificación proporcional.
- Cierre de operaciones a Worldcoin (ya mencionado) por recolección masiva de iris sin consentimiento informado válido.
La línea que dibuja la SIC es exigente y consistente. Los datos biométricos son datos sensibles, requieren autorización reforzada, finalidades claramente informadas, y una evaluación de proporcionalidad. Toda empresa que use biometría para autenticación, control de acceso o verificación de identidad debe poder responder con criterios y documentación si es realmente necesario usar biometría para esta finalidad o si hay alternativas menos invasivas.
Inteligencia artificial
La Circular Externa 002 del 21 de agosto de 2024 de la SIC argumenta que las empresas que usan IA deben realizar una ponderación atendiendo los siguientes cuatro criterios, destinados a salvaguardar los principios establecidos en las Leyes Estatutarias 1266 de 2008 y 1581 de 2012:
a) Idoneidad: El Tratamiento es capaz de alcanzar el objetivo propuesto;
b) Necesidad: No exista otra medida más moderada en cuanto al impacto de las operaciones de Tratamiento en la protección de Datos personales e igual de eficaz para conseguir tal objetivo;
c) Razonabilidad: El Tratamiento debe estar orientado a cumplir finalidades constitucionales;
d) Proporcionalidad en sentido estricto: Las ventajas obtenidas como consecuencia de la restricción del derecho a la protección de datos no deberán ser superadas por las desventajas de afectar el derecho al Habeas Data.
Además, introduce una obligación que no todos aplican. Esto es, la identificación y clasificación de riesgos y cuando el tratamiento entrañe alto riesgo para los titulares, realizar un estudio de impacto de privacidad documentado antes del diseño del sistema.
En la práctica, esto significa que una empresa que incorpora una herramienta de IA sin haber hecho ese análisis previo puede estar operando fuera del marco. El riesgo no es teórico. La SIC ya investiga modelos de lenguaje globales para verificar su cumplimiento bajo coordinación de la Red Iberoamericana de Protección de Datos.
Web scraping: la extracción pública no es autorización
La extracción automatizada de datos de sitios web está en la mira desde 2023, cuando la SIC ordenó a una red social mediante la Resolución 71406 reforzar sus medidas de seguridad para prevenir precisamente este tipo de práctica. La autoridad fue clara al determinar que el web scraping masivo constituye un riesgo permanente para el adecuado tratamiento de datos personales.
Recolectar datos que están públicamente disponibles en internet no equivale a tener una base legal válida para tratarlos. Que un dato sea visible no significa que su titular haya autorizado su recopilación sistemática, almacenamiento y uso para finalidades distintas. Una empresa que extrae perfiles profesionales de una red social, precios de competidores junto con información personal de vendedores, reseñas con nombres de usuarios, o cualquier dato similar con herramientas automatizadas, debe tener claro cuál es la base legal específica que legitima ese tratamiento.
Los sectores con presunción de escrutinio alto
Telecomunicaciones, salud y comercio electrónico concentran la mayoría de sanciones recientes. Esto dado que manejan grandes volúmenes de datos, algunos sensibles (como los de salud), en ecosistemas digitales complejos con múltiples terceros, y con exposición directa al consumidor.
Para las empresas de estos sectores, la realidad operativa es que el margen de error es menor. Lo que en otro sector podría considerarse una falla menor, aquí puede derivar en una investigación formal. Esto no se resuelve con diseño de procesos que integren protección de datos desde el inicio, no como respuesta de último minuto.
El Proyecto de Ley
El Proyecto de Ley Estatutaria 214/2025C, radicado por el Gobierno en agosto de 2025, propone cuatro cambios que alterarían sustancialmente el régimen:
- Techo sancionatorio ampliado a 10.000 SMLMV o 5% de los ingresos operacionales del infractor. El techo actual de 2.000 SMLMV dejaría de ser el límite.
- Aplicación territorial extendida a responsables no establecidos en Colombia cuando traten datos de residentes en el país (el modelo de aplicación extraterritorial del RGPD de la Unión Europea).
- Nuevas bases legales: interés legítimo y cumplimiento de deberes contractuales se incorporarían como fundamentos adicionales al tratamiento. Más flexibilidad operativa, pero mayor exigencia documental para sustentar su aplicación.
- Regulación específica de IA y tratamiento automatizado, construida sobre la base de la Circular 002 de 2024.
La reforma no reemplaza el régimen actual, pero si lo endurecería. Las empresas que hoy operan con programas de privacidad sólidos se ajustarán con facilidad. Las que hoy operan con programas defectuosos enfrentarán el nuevo techo sancionatorio sin haber resuelto los problemas del régimen vigente.
Qué hacer si su empresa opera en estos frentes
Un diagnóstico específico por tipo de tratamiento es más útil que una revisión general. Para estar listos, aquí algunas preguntas que vale la pena responder:
Si su empresa usa biometría: ¿existe un análisis documentado de proporcionalidad que justifique por qué se usa biometría y no alternativas menos invasivas? ¿Hay una vía alternativa para los usuarios que no quieran entregar datos biométricos, o es obligatorio?
Si su empresa usa IA para tratar datos personales: ¿existe un inventario y para los de alto riesgo un estudio de impacto de privacidad documentado antes del despliegue? ¿Los cuatro criterios de la Circular 002 (idoneidad, necesidad, razonabilidad, proporcionalidad) están evaluados por escrito?
Si su empresa usa web scraping o tratamiento masivo de datos externos: ¿cuál es la base legal específica del tratamiento? ¿Se han evaluado las condiciones de uso de las fuentes, el tipo de datos recolectados, y la existencia de autorización válida?
Si su empresa opera en telecomunicaciones, salud o comercio electrónico: ¿hay una evaluación de cumplimiento específica para el sector, que considere la exposición sancionatoria elevada que enfrentan estas industrias?
Si alguna pregunta no tiene hoy en su organización una respuesta clara, hay una brecha que conviene cerrar antes de que lo haga la SIC.
¿Quiere evaluar el estado de cumplimiento de su empresa frente a la Ley 1581? En Cuellar Abogados diseñamos e implementamos programas de privacidad. Contáctenos.
Arturo Cuellar es abogado especializado en derecho corporativo, tecnología, privacidad e inteligencia artificial. Fundador de Cuellar Abogados.