Empresas deberán ajustar sus sistemas para mejorar la protección de datos personales: SIC establece nuevas reglas

La Superintendencia de Industria y Comercio (SIC) publicó la Circular Externa 002 de 2025, un documento que fija instrucciones específicas para reforzar la protección de datos personales en los procesos de transferencia de tecnología.

La medida busca asegurar que las innovaciones tecnológicas que impliquen tratamiento de información personal se desarrollen bajo los principios legales de seguridad, transparencia y responsabilidad.

Le puede interesar: Alerta por uso de reconocimiento facial sin consentimiento en edificios de vivienda: SIC ordena suspender esta modalidad

Reglas para espacios tecnológicos seguros

La Superintendencia de Industria y Comercio (SIC), como entidad encargada de proteger los datos personales en el país, recordó, con esta circular, que toda transferencia de tecnología que incluya información de personas debe cumplir con la Ley 1581 de 2012, el Decreto 1074 de 2015 y demás normas relacionadas. El objetivo es asegurar que los desarrollos tecnológicos no pongan en riesgo el derecho fundamental de los ciudadanos a la protección de sus datos.

Instrucciones emitidas bajo la Circular Externa 002 de 2025

La circular introduce cuatro instrucciones principales dirigidas a los proveedores y receptores de tecnología, tanto del sector público como privado. Estas buscan prevenir riesgos y asegurar una gestión responsable de la información personal durante el desarrollo o implementación de nuevas soluciones tecnológicas.

• Verificación preliminar del cumplimiento normativo: antes de realizar una transferencia, las entidades deben identificar si la tecnología implica el tratamiento de datos personales y confirmar que se cumpla con las normas actuales. Si el proceso incluye transferencias internacionales, deberán garantizar que las reglas aplicables se respeten en su totalidad.
• Responsabilidad demostrada: la circular ordena implementar sistemas de gestión de riesgos que permitan documentar decisiones, aplicar medidas de mitigación y realizar correcciones previas a la implementación. El objetivo es prevenir fallas que puedan comprometer la protección de datos personales.
• Protección de datos desde el diseño y por defecto: se exige que la arquitectura tecnológica incorpore principios de tratamiento como libertad, necesidad, seguridad y confidencialidad. Las entidades deben limitar la recolección de información a lo estrictamente necesario e incluir mecanismos de anonimización o seudonimización cuando sea posible.
• Incorporación de garantías contractuales: los contratos deberán establecer con claridad las obligaciones de las partes en materia de seguridad, las condiciones de transferencia internacional y los mecanismos de auditoría que permitan verificar el cumplimiento de las medidas de protección de datos.

También le puede interesar: Así se pueden recorrer los senderos ecológicos en Bogotá: pasos para inscribirse, reservas y normas de ingreso

Innovar sin vulnerar derechos

La SIC subraya que estas disposiciones no pretenden frenar la innovación, sino orientar su desarrollo dentro de un marco legal y ético. El propósito central es que los procesos de transferencia de tecnología en Colombia incorporen la protección de datos como un componente esencial y no como una etapa posterior al diseño.

Además, la entidad recuerda que su papel como autoridad incluye supervisar y sancionar el incumplimiento del régimen de protección de datos personales, así como emitir lineamientos que ayuden a las organizaciones a cumplir con sus obligaciones constitucionales y legales.

Casos recientes que demuestran la urgencia regulatoria

El reciente caso de World Foundation y Tools for Humanity Corporation —vinculadas a Sam Altman, fundador de OpenAI— dejó claro que es necesario reforzar la regulación.

La SIC ordenó el cierre de sus operaciones en Colombia tras determinar que no cumplían con estándares mínimos de protección de datos. La entidad concluyó que el proyecto World ID, basado en la captura de información del iris, no garantizaba seguridad, transparencia ni mecanismos de queja eficaces.

Estos episodios muestran la falta de actualización legislativa frente a los retos tecnológicos actuales. Mientras las empresas avanzan con proyectos de inteligencia artificial y sistemas biométricos, la norma colombiana enfrenta limitaciones para responder con agilidad y precisión.

Lea más: Guía para crear un perfil atractivo en elempleo.com y LinkedIn