En una empresa (llamémosla ficticiamente “Grupo papaya”), un gerente general tomó una decisión que parecía lógica: delegar el cumplimiento de la Ley 1581 de 2012 a la persona “más capaz” del equipo.
¿Y quién era esa persona?
La jefe administrativa. Responsable de pagos, contratos, personal, proveedores, compras, presupuesto, comités, juntas, y casi todo lo que implica que la empresa funcione a diario.
¿Resultado?
Un año después, el programa de protección de datos estaba en el mismo lugar que el primer día: en el papel.
¿Por qué sigue pasando esto?
Porque muchas empresas, especialmente pymes y organizaciones con recursos limitados, cometen un error silencioso pero costoso: creen que la protección de datos es una tarea más, no un sistema que requiere gestión, seguimiento y mejora continua.
Así que asignan el tema a:
- El abogado que ya lleva todos los contratos
- El de sistemas, que “sabe de tecnología”
- El jefe administrativo o de talento humano, que “siempre resuelve todo”
Pero no lo ven como lo que es: una responsabilidad transversal que necesita liderazgo, tiempo y decisiones informadas.
El falso sentido de cumplimiento
¿Suena familiar? Frases típicas que hemos escuchado en muchas organizaciones:
- “Eso lo está viendo Andrea, ella es buenísima y siempre se encarga de todo.”
- “El tema ya lo asumió el de TIC… él algo montó en la nube.”
- “La asistente jurídica está revisando eso en sus tiempos libres.”
Delegar así no es estrategia. Es supervivencia. Y en cumplimiento, sobrevivir no es suficiente.
¿Qué pasa cuando delegas mal?
Cuando el tema cae sobre la persona más ocupada (aunque sea brillante), ocurren al menos tres cosas:
- No se prioriza: Siempre hay algo “más urgente”.
- No se entiende a fondo: Se hacen documentos para cumplir, pero sin estrategia.
- No se gestiona como sistema: No hay seguimiento, no hay indicadores, no hay mejora.
Y lo más delicado: la empresa cree que está cumpliendo, cuando en realidad está acumulando riesgos.
¿Y entonces, a quién se debe asignar?
A una persona que tenga:
- Autoridad para tomar decisiones o elevarlas
- Tiempo real para gestionar un sistema (no solo tareas aisladas)
- Acompañamiento técnico y legal (interno o externo)
- Visión transversal del negocio y sus procesos
- Acceso a las herramientas y recursos necesarios
En muchas empresas, esto implica crear una figura interna clara: un responsable real de datos personales, con funciones definidas, tiempo asignado y apoyo para implementar lo que la ley exige.
Reflexión final
Delegar la protección de datos personales no es llenar un formato ni subir una política a la web. Es tomar una postura institucional frente al tratamiento de la información.
Cuando lo delegas por inercia —a quien está más ocupado, al que “de pronto le cabe” o a quien “ya tiene la carga completa”— no estás resolviendo el problema, lo estás ocultando.
Así que antes de asignar a dedo, pregúntate: ¿Queremos cumplir… o simplemente parecer que cumplimos?
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
