Tratamiento de información biométrica en Colombia: reglas, excepciones y buenas prácticas
Publicado enDatos Personales Regulaciones y Normativa

Tratamiento de información biométrica en Colombia: reglas, excepciones y buenas prácticas

No hay comentarios

1) ¿Por qué la biometría es “dato sensible”?

La biometría (huella, rostro, iris, voz, etc.) es dato personal sensible: su uso indebido afecta la intimidad y puede generar discriminación. La ley exige autorización expresa, previa e informada y medidas de seguridad reforzadas, además de aplicar los principios de legalidad, finalidad, necesidad y proporcionalidad. 

2) Marco legal mínimo indispensable

  • Ley 1581 de 2012 – Art. 6 (sensibles): el tratamiento está prohibido, salvo excepciones taxativas (ver §3). (Función Pública, Alcaldía Bogotá)
  • Decreto 1377/2013 (compilado en D. 1074/2015) – menores: reglas especiales para niños, niñas y adolescentes (ver §6). (Función Pública)
  • Doctrina SIC (criterio reiterado): no se puede condicionar una actividad al suministro de datos sensibles (ej., exigir biometría como único medio). (Superintendencia de Industria y Comercio)

3) Excepciones de ley para tratar datos sensibles (Art. 6 Ley 1581)

Puede tratarse biometría (dato sensible) solo cuando se cumpla al menos una de estas causales:

  • Autorización expresa del titular (explícita, libre, informada y diferenciada para el dato sensible).
  • Interés vital del titular cuando esté física o jurídicamente incapacitado (típicamente vida, salud, integridad; autoriza su representante).
  • Fines históricos, estadísticos o científicos (con anonimización/medidas reforzadas).
  • Reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. (Resumen conforme al tenor del Art. 6). (Función Pública, esdegue.edu.co)

Nota clave: “Interés vital” no cubre riesgos patrimoniales comunes (p. ej. prevenir fraude financiero). Es una noción restrictiva ligada a proteger vida, salud o integridad; por eso, si no hay una obligación legal, no puede imponerse la biometría como único camino. (Inferencia jurídica apoyada en el sentido del Art. 6 y doctrina SIC sobre condicionamiento). 

4) Lo permitido (con biometría bien hecha)

  • Consentimiento expreso y diferenciado para la biometría, con texto claro sobre finalidad específica, plazo y derechos (acceso, rectificación, supresión, revocatoria). 
  • Alternativa no biométrica cuando el titular no quiera entregar su dato sensible (p. ej., videollamada asistida, validación documental reforzada, presencial, MFA). La SIC exige no condicionar el servicio a datos sensibles. 
  • Minimización y proporcionalidad: recolectar solo lo estrictamente necesario para la finalidad (validar identidad, controlar acceso crítico, etc.). 
  • Seguridad reforzada: cifrado en reposo y tránsito; controles de acceso; segmentación; bitácoras; pruebas anti-suplantación (liveness); y, de ser posible, plantillas biométricas (no imágenes crudas). 
  • Custodia de evidencias: conservar prueba de autorización y paquete de trazabilidad (fecha/hora, ID transacción, IP/dispositivo, resultado del cotejo, liveness), disponible para requerimientos de titulares o SIC. 
  • Contratos con encargados/subencargados y, si hay almacenamiento/soporte fuera de Colombia, contrato de transmisión internacional que garantice equivalencia de protección. 

5) Lo prohibido (y típico motivo de sanción)

  • Condicionar el acceso a un servicio/producto a entregar biometría (salvo mandato legal expreso). 
  • Autorizaciones tácitas o genéricas: la biometría siempre exige consentimiento expreso y diferenciado
  • Usos distintos a los informados (p. ej., capturar rostro para onboarding y luego reutilizarlo para marketing o vigilancia). 
  • Transferir biometría a terceros (nacionales o internacionales) sin contrato de transmisión y sin salvaguardas. 
  • Retención indefinida: debe existir regla de conservación y supresión segura al cumplirse la finalidad o vencer el plazo. 
  • Consecuencia real: la SIC ha ordenado suprimir biométricos recopilados sin autorización y habilitar mecanismos alternos; también ha impuesto medidas y suspensiones de actividades a empresas por incumplimientos en protección de datos. 

6) Biometría y menores de edad

  • El tratamiento de datos personales de niños, niñas y adolescentes está prohibido, salvo datos públicos y siempre que se respete su interés superior y se cumplan requisitos especiales (consentimiento por representante, finalidad legítima, proporcionalidad). La biometría de menores, por su sensibilidad, requiere un análisis aún más estricto. 

7) ¿Quién responde por qué? (roles)

  • Empresa final (responsable): define finalidades y medios; conserva la prueba principal de autorizaciones; ofrece alternativas a la biometría; atiende derechos de titulares y responde a la SIC.
  • Proveedor/partner (encargado) y subencargados (p. ej., motor biométrico): ejecutan tratamiento bajo instrucciones del responsable; aportan evidencias técnicas y aplican seguridad reforzada. (Se formaliza por contratos de encargo/transmisión). 

8) Checklist operativo para cumplir (y dormir tranquilo)

  • Mapa de tratamiento: qué biometría, para qué, cuánto tiempo, con quién se comparte.
  • Texto de autorización diferenciado para biometría (claro, granular, revocable).
  • Ruta alternativa no biométrica documentada y visible para el usuario.
  • Paquete de evidencia por transacción (timestamp, ID, IP/dispositivo, resultado de cotejo, liveness, hash/plantilla).
  • Política + procedimiento de supresión (con certificación de eliminación).
  • Contrato(s) de encargo + transmisión internacional (si aplica) con cláusulas de seguridad, confidencialidad, subprocesamiento y auditoría.
  • Pruebas anti-spoofing y revisión periódica de desempeño (falsos positivos/negativos).
  • Capacitación a equipos y canal de PQR específico para biometría.
  • Registro de decisiones sobre proporcionalidad (por qué biometría y no otro medio) y evaluación de riesgos (DPIA interna o equivalente).

9) Frases que puedes usar para contextualizar el uso de biometría 

  • “El suministro de biometría es facultativo; si decides no autorizarla, te ofrecemos opciones de validación alternativas para tu vinculación.” 
  • “Tu autorización para biometría es expresa y diferenciada; podrás revocarla en cualquier momento.”

10) Cierre

  • se puede usar biometría bien: con consentimiento expreso, finalidad legítima, alternativas no biométricas, seguridad reforzada y reglas claras de conservación y supresión.
  • No se puede condicionar el servicio a entregar datos sensibles, ni reutilizar la biometría para fines distintos, ni transferirla sin contrato y salvaguardas. Cumplir no solo evita sanciones: aumenta la confianza del usuario y la solidez probatoria del proceso. 

Descubre más desde Blog de Privacidad, Seguridad y Compliance

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Etiquetas:

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja un comentario