Habeas data y tratamiento de datos personales (Ley 1581 de 2012)

Última actualización: marzo de 2026.

Este documento informa sobre el tratamiento de datos personales y el ejercicio del derecho de habeas data en el marco del ordenamiento colombiano, en particular la Ley 1581 de 2012 y normas concordantes.

Aviso importante: el texto es de carácter general e informativo. No reemplaza asesoría jurídica especializada ni auditorías de cumplimiento ante la Superintendencia de Industria y Comercio (SIC) u otras autoridades.

1. Marco legal en Colombia

En Colombia, la protección de datos personales se sustenta, entre otras fuentes, en:

  • Artículo 15 de la Constitución Política (derecho al conocimiento, actualización y rectificación de datos personales).
  • Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales.
  • Decreto 1377 de 2013 (reglamentario parcial de la Ley 1581 para responsables del sector privado).
  • Decreto 886 de 2014 y demás normas que desarrollen el régimen de protección y la actuación de la SIC.

2. Definiciones breves

  • Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
  • Tratamiento: cualquier operación sobre datos personales (recolección, almacenamiento, uso, circulación, supresión, etc.).
  • Responsable del tratamiento: persona natural o jurídica que decide sobre la base de datos y/o el tratamiento.
  • Encargado del tratamiento: quien realiza el tratamiento por cuenta del responsable.
  • Titular: persona natural cuyos datos son objeto de tratamiento.
  • Autorización: consentimiento previo, expreso e informado del titular, salvo casos de excepción legal.

3. Principios aplicables

El tratamiento de datos personales debe ajustarse a principios como legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad, entre otros reconocidos en la ley y la jurisprudencia.

4. Finalidades del tratamiento en contexto de software y salud

Cuando utilice este sitio o servicios digitales vinculados (por ejemplo, plataformas para gestión de ópticas o prestadores de salud), el tratamiento puede tener finalidades tales como:

  • Administrar la relación contractual y el acceso a la plataforma.
  • Gestionar cuentas de usuario, roles y organizaciones (multi-tenant).
  • Cumplir obligaciones legales, contables, tributarias o de reporte ante entidades competentes cuando corresponda.
  • Mantener la seguridad de la información, trazabilidad y continuidad del servicio.
  • Atender derechos de los titulares y peticiones de autoridades.

Los datos de salud o categorías sensibles están sujetos a reglas más estrictas (autorización, avisos de privacidad, medidas de seguridad reforzadas, etc.). Quien actúe como IPS, óptica u organización usuaria del software suele ser responsable o co-responsable frente a sus pacientes o clientes; el proveedor de tecnología puede actuar como encargado, según lo acordado por escrito y la normativa aplicable.

5. Autorización y aviso de privacidad

Salvo casos en que la ley permita el tratamiento sin autorización (por ejemplo, información requerida por ley, datos de naturaleza pública, situaciones de urgencia médica o sanitaria, entre otros supuestos taxativos), el tratamiento requiere autorización previa del titular, la cual debe constar física, electrónicamente o por cualquier medio que permita su consulta posterior.

El aviso de privacidad debe contener, como mínimo, información sobre la existencia de la política de tratamiento, el uso que se dará a los datos, los derechos del titular y los canales para ejercerlos, entre otros elementos previstos en la normativa.

6. Derechos del titular (habeas data)

El titular puede ejercer frente al responsable, entre otros, los derechos a:

  • Conocer, actualizar y rectificar sus datos.
  • Solicitar prueba de la autorización, salvo excepciones legales.
  • Revocar la autorización y/o solicitar la supresión cuando no exista deber legal o contractual que lo impida.
  • Acceder gratuitamente a sus datos sometidos a tratamiento.
  • Presentar quejas ante la SIC por vulneraciones.

El ejercicio de estos derechos no puede generar condiciones discriminatorias ni restricciones indebidas al titular.

7. Procedimiento de consultas y reclamos

  1. Consulta: el titular o sus causahabientes pueden consultar la información del titular que repose en bases de datos. El responsable debe entregar la información completa y actualizada, salvo que esté legalmente facultado para la abstención o reserva.
  2. Reclamo: el titular o causahabientes que consideren que la información en bases de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan presunto incumplimiento, pueden presentar un reclamo ante el responsable, el cual debe gestionarlo según plazos y reglas legales.

Para iniciar un trámite ante esta organización, utilice los canales oficiales indicados en el sitio (correo, formulario o mesa de ayuda), identificando de forma razonable su solicitud y, cuando sea necesario, acreditando su calidad de titular o representante.

8. Transferencia y transmisión internacional

La transferencia de datos a terceros países u organizaciones internacionales requiere cumplir condiciones de la Ley 1581 de 2012 (por ejemplo, consentimiento informado del titular cuando sea aplicable y garantías sobre el nivel de protección). La transmisión nacional o internacional de datos puede estar sujeta a reglas distintas según el caso; el responsable debe documentar las operaciones conforme a la ley.

9. Seguridad y confidencialidad

El responsable y los encargados deben adoptar medidas razonables de seguridad física, técnica y administrativa para prevenir adulteración, pérdida, consulta, uso o acceso no autorizado. Las personas que intervengan en el tratamiento están sujetas a obligaciones de confidencialidad, incluso después de terminada su relación.

10. Vigencia del tratamiento

Los datos se conservarán mientras sea necesario para las finalidades autorizadas y los plazos legales aplicables. Cumplidos esos fines y plazos, procederá la supresión o el bloqueo cuando corresponda.

11. Autoridad de vigilancia

La Superintendencia de Industria y Comercio (SIC) ejerce vigilancia del cumplimiento de la Ley 1581 de 2012. Los titulares pueden acudir a sus canales institucionales para presentar quejas o consultar orientación oficial.

12. Contacto

Para peticiones relacionadas con habeas data y tratamiento de datos personales, diríjase a los medios de contacto publicados en este sitio web.