Política de Privacidad

---

1. NORMA BASE (RÉGIMEN GENERAL)
    

• Ley Estatutaria 1581 de 2012: régimen general de protección de datos personales en Colombia. Regula principios, derechos de los titulares, deberes de responsables y encargados, transferencias internacionales y sanciones. La autoridad de control es la Superintendencia de Industria y Comercio (SIC).
   
• Derechos de los titulares: conocer, actualizar, rectificar, suprimir, revocar autorización y ser informados del uso de sus datos.
   
• Deberes del responsable: garantizar veracidad, seguridad, confidencialidad, informar incidentes de seguridad, inscribir bases en el RNBD cuando aplique.
   
• Sanciones SIC: multas de hasta 2.000 SMMLV, suspensión o cierre de operaciones de tratamiento en ciertos casos.
   
• Transferencias internacionales: prohibidas hacia países sin nivel adecuado de protección, salvo excepciones (consentimiento expreso, razones de salud, operaciones bancarias o bursátiles, ejecución contractual, tratados internacionales, exigencias legales o judiciales).
   
• Exclusiones: bases de datos regidas por la Ley 1266 de 2008 (hábeas data financiero) y otras normas especiales.
   

1. REGLAMENTACIÓN DEL RÉGIMEN GENERAL
    

• Decreto 1377 de 2013: reglamenta parcialmente la Ley 1581 (autorización, avisos de privacidad, políticas de tratamiento).
   
• Decreto 886 de 2014: reglamenta el Registro Nacional de Bases de Datos (RNBD).
   
• Decreto 1074 de 2015: Decreto Único Reglamentario del Ministerio de Comercio, Industria y Turismo, compila la normatividad aplicable al régimen de protección de datos.
   

1. INSTRUCCIONES ADMINISTRATIVAS (SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO)
    

• Circular Externa 002 de 2015: establece cómo inscribir y qué información reportar en el RNBD.
   
• Circular Externa 003 de 2018: ajustes a las obligaciones de registro y reportes periódicos en el RNBD.
   
• Circular Externa 002 de 2024: lineamientos sobre responsabilidad demostrada (“accountability”) y tratamiento de datos en sistemas de inteligencia artificial.
   

1. PLAZOS Y TRÁMITES CLAVE
    

• Consultas de titulares: deben responderse en máximo 10 días hábiles.
   
• Reclamos de titulares: deben responderse en máximo 15 días hábiles.
   
• Reporte de reclamos en RNBD: dentro de los 15 primeros días hábiles de febrero y agosto de cada año.
   
• Actualización por cambios sustanciales en bases inscritas: dentro de los 10 primeros días hábiles del mes siguiente al cambio.
   
• Registro de nuevas bases de datos: dentro de los 2 meses siguientes a su creación.
   
• Reporte de incidentes de seguridad: dentro de los 15 días hábiles siguientes a la detección y comunicación interna del incidente.
   

1. TRANSFERENCIAS INTERNACIONALES (DETALLE OPERATIVO)
    

• Regla general: no se pueden transferir datos a países sin nivel adecuado de protección.
   
• Excepciones: consentimiento expreso del titular, razones de salud, ejecución de contratos, operaciones bancarias/bursátiles, tratados internacionales o exigencias legales/judiciales.
   
• Alternativas: uso de cláusulas contractuales, normas corporativas vinculantes u otros mecanismos avalados por la SIC.
   

1. QUÉ SIGNIFICA ESTO PARA LA EMPRESA
    

• Tener política de privacidad publicada y mecanismos de autorización expresos e informados.
   
• Implementar un programa de gestión de datos (“accountability”) que incluya inventario de bases, finalidades, roles, matrices de riesgo, procedimientos de incidentes y evidencias de cumplimiento.
   
• Cumplir los plazos legales de respuesta y reporte.
   
• Documentar y explicar el uso de inteligencia artificial en procesos de mercadeo y segmentación, conforme a la Circular 002 de 2024.
   

• Decreto 1377 de 2013
  Reglamenta parcialmente la Ley 1581 de 2012.
  • Define lineamientos sobre la autorización del titular para el tratamiento de datos.
  • Establece el contenido mínimo de las políticas de tratamiento que deben publicar los responsables.
  • Regula el uso de avisos de privacidad, que deben informar la existencia de la política, las finalidades del tratamiento y cómo ejercer derechos.
  • Determina reglas para el tratamiento de datos personales recolectados antes de la expedición de la ley.
  • Introduce obligaciones sobre el deber de informar al titular acerca de los derechos que le asisten y los mecanismos de acceso a los mismos.
   
• Decreto 886 de 2014
  Reglamenta el Registro Nacional de Bases de Datos (RNBD).
  • Define el RNBD como una base pública administrada por la Superintendencia de Industria y Comercio (SIC).
  • Establece la información mínima que deben reportar las empresas: identificación del responsable, tipo de datos recolectados, finalidades del tratamiento, canales de atención al titular, medidas de seguridad implementadas.
  • Estipula términos y condiciones para la inscripción de bases de datos, incluyendo plazos, actualizaciones y reportes periódicos.
  • Determina que la inscripción en el RNBD no legitima el tratamiento de datos, sino que es un requisito adicional de control y transparencia.
   
• Decreto 1074 de 2015 (Decreto Único Reglamentario del MinCIT)
  • Compila y unifica la normativa del sector comercio, industria y turismo, incluyendo toda la reglamentación de protección de datos personales.
  • Reúne en un solo cuerpo legal las disposiciones del Decreto 1377 de 2013 y del Decreto 886 de 2014.
  • Es la norma de referencia vigente para efectos prácticos: en lugar de citar múltiples decretos separados, se consulta el Decreto 1074 de 2015 que los consolida.
  • Establece también criterios sobre el tamaño de empresa (micro, pequeña, mediana, grande) que pueden incidir en obligaciones de reporte en el RNBD.

La Superintendencia de Industria y Comercio (SIC), como autoridad de protección de datos en Colombia, ha emitido circulares que complementan y aclaran la aplicación de la Ley 1581 de 2012 y sus decretos reglamentarios. Estas circulares no son leyes, pero son de cumplimiento obligatorio para los responsables y encargados del tratamiento de datos.

• Circular Externa 002 de 2015
  • Adiciona el Título V de la Circular Única de la SIC.
  • Establece las instrucciones sobre la inscripción en el Registro Nacional de Bases de Datos (RNBD).
  • Define los campos y la información mínima que deben reportar las empresas en el RNBD (identificación del responsable, finalidades, tipo de datos, medidas de seguridad, etc.).
  • Determina cómo debe hacerse el reporte inicial y las actualizaciones periódicas.
   
• Circular Externa 003 de 2018
  • Introduce ajustes a las obligaciones de reporte en el RNBD.
  • Obliga a reportar a la SIC los reclamos de titulares de datos dentro de los primeros 15 días hábiles de febrero y agosto de cada año, incluso si no se han recibido reclamos (se reporta “sin novedades”).
  • Define las reglas para la actualización de información en el RNBD, incluyendo cambios sustanciales en bases ya registradas.
  • Refuerza la obligación de llevar registros internos claros sobre consultas, reclamos y respuestas a los titulares.
   
• Circular Externa 002 de 2024
  • Establece lineamientos en materia de responsabilidad demostrada (accountability): las empresas deben ser capaces de demostrar, con evidencias documentadas, que cumplen con la Ley 1581 de 2012 y la normativa aplicable.
  • Introduce lineamientos para el tratamiento de datos en sistemas de inteligencia artificial (IA), especialmente en casos de segmentación, publicidad dirigida o decisiones automatizadas.
  • Exige que las empresas documenten evaluaciones de riesgo, bases legales del tratamiento y mecanismos para informar a los titulares sobre decisiones automatizadas.
  • Refuerza la importancia de implementar programas de gestión de datos personales (mapa de bases de datos, inventario de finalidades, protocolos de seguridad, matrices de riesgo y procedimientos de incidentes).
   

La normativa colombiana establece tiempos específicos para responder a los titulares y para reportar información a la Superintendencia de Industria y Comercio (SIC). Cumplir con estos plazos es esencial para evitar sanciones.

A. Atención a titulares (Ley 1581 de 2012)

• Consultas: deben resolverse en un máximo de 10 días hábiles contados desde la recepción de la solicitud.
   
• Reclamos: deben resolverse en un máximo de 15 días hábiles contados desde el día siguiente a la recepción del reclamo.
   

B. Registro Nacional de Bases de Datos (RNBD)

• Reporte semestral de reclamos: dentro de los 15 primeros días hábiles de febrero y agosto de cada año. Incluso si no hay reclamos, se debe reportar “sin novedades”.
   
• Cambios sustanciales en la información registrada: deben reportarse dentro de los 10 primeros días hábiles del mes siguiente al cambio (ejemplo: cambio de finalidad, categoría de datos o encargado).
   
• Registro de nuevas bases de datos: debe realizarse dentro de los 2 meses siguientes a la creación de la base.
   

C. Incidentes de seguridad

• Si ocurre una violación de seguridad que afecte datos personales (pérdida, robo, acceso no autorizado, filtración, etc.), y la empresa está obligada a RNBD, debe reportarse a la SIC dentro de los 15 días hábiles contados desde la detección y comunicación interna del incidente.
   

• Transferencia internacional: envío de datos personales a un responsable del tratamiento que se encuentra en otro país.
   
• Transmisión internacional: envío de datos a un encargado del tratamiento ubicado en otro país, que trata los datos por cuenta del responsable en Colombia.
   

Ambas operaciones están reguladas por la Ley 1581 de 2012 y deben cumplir con las condiciones legales establecidas.

• La Ley 1581 de 2012 (art. 26) establece que queda prohibida la transferencia de datos personales a países que no proporcionen niveles adecuados de protección de datos.
   
• La Superintendencia de Industria y Comercio (SIC) es la entidad encargada de determinar cuáles países cumplen con ese nivel adecuado de protección.
   

La transferencia a países sin nivel adecuado sí es posible cuando concurra alguna de las siguientes situaciones:

1. Autorización expresa e inequívoca del titular de los datos para que su información sea transferida.
    
2. Intercambio de datos de carácter médico cuando así lo exija el tratamiento del titular por razones de salud o higiene pública.
    
3. Transferencias necesarias para la ejecución de un contrato entre el titular y el responsable del tratamiento, o para la ejecución de medidas precontractuales.
    
4. Transferencias necesarias o legalmente exigidas para la salvaguardia del interés público o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
    
5. Transferencias bancarias o bursátiles, conforme a la legislación aplicable.
    
6. Transferencias en el marco de tratados internacionales que formen parte del ordenamiento jurídico colombiano.
    
7. Transferencias legalmente exigidas para cumplir una obligación del responsable o encargado.
    

Cuando se realicen transferencias internacionales, el responsable debe:

• Informar de manera clara al titular sobre la posibilidad de que sus datos sean transferidos a otros países y los riesgos que esto implica.
   
• Obtener el consentimiento previo, expreso e informado del titular, salvo en las excepciones legales.
   
• Verificar si el país receptor tiene una declaración de nivel adecuado de protección emitida por la SIC.
   
• Implementar cláusulas contractuales o acuerdos de transmisión que garanticen el cumplimiento de los principios de la Ley 1581 de 2012.
   
• Adoptar medidas de seguridad técnica y administrativa que eviten accesos no autorizados o usos indebidos en el país receptor.
   

En casos donde el país de destino no tenga un nivel adecuado de protección, la transferencia internacional puede realizarse mediante:

1. Cláusulas contractuales tipo: contratos entre el remitente en Colombia y el receptor en el exterior, que incluyan garantías suficientes sobre protección de datos.
    
2. Normas corporativas vinculantes (Binding Corporate Rules – BCRs): políticas internas de grupos empresariales multinacionales que regulan las transferencias internacionales dentro del grupo, previa aprobación de la SIC.
    
3. Consentimiento expreso del titular en los términos establecidos en la ley.
    
4. Autorizaciones específicas de la SIC en circunstancias particulares.
    

• No se considera “transferencia” sino transmisión, y está permitida siempre que exista un contrato u otro instrumento jurídico que:
  • Precise el alcance del tratamiento.
  • Establezca las actividades que el encargado realizará por cuenta del responsable.
  • Incluya las obligaciones de seguridad, confidencialidad y reserva.
   
• El responsable sigue siendo el garante principal del cumplimiento de la Ley 1581, aun cuando los datos se transmitan a un tercero en el exterior.
   

• La SIC puede auditar o requerir información sobre transferencias y transmisiones internacionales.
   
• Si se incumple con la prohibición general o no se cumplen las condiciones de las excepciones, la SIC puede imponer sanciones:
  • Multas de hasta 2.000 SMMLV.
  • Suspensión temporal de las actividades relacionadas con el tratamiento.
  • Cierre definitivo de la operación que involucra el tratamiento de datos.
   

Dado que el objeto social de GLOBALEC MARKETING S.A.S. incluye servicios de publicidad digital, SEO/SEM, campañas en redes sociales y gestión de medios electrónicosDescargarCertificadoElectronico…, es probable que se utilicen plataformas tecnológicas, servidores y proveedores ubicados en el exterior.

Por tanto, la empresa debe:

• Revisar si los proveedores tecnológicos (ejemplo: CRM, Google, Meta, herramientas de email marketing, servicios de cloud hosting) están ubicados en países con nivel adecuado de protección.
   
• Garantizar que existan contratos de transmisión internacional de datos cuando se trate de encargados.
   
• Incluir en su política de privacidad un apartado claro sobre la posibilidad de transferir o transmitir datos a terceros ubicados fuera de Colombia.
   
• Contar con cláusulas de responsabilidad y seguridad en los contratos con proveedores internacionales.
   
• Obtener consentimiento informado del titular cuando sea necesario (por ejemplo, al registrarse en una campaña publicitaria online).