{"id":3786,"date":"2026-02-17T13:30:06","date_gmt":"2026-02-17T18:30:06","guid":{"rendered":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/?p=3786"},"modified":"2026-01-22T16:34:46","modified_gmt":"2026-01-22T21:34:46","slug":"sanciones-en-colombia-por-incumplimientos-en-la-tercerizacion-del-tratamiento-de-datos","status":"publish","type":"post","link":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/datos-personales\/sanciones-en-colombia-por-incumplimientos-en-la-tercerizacion-del-tratamiento-de-datos\/","title":{"rendered":"Sanciones en Colombia por incumplimientos en la tercerizaci\u00f3n del tratamiento de datos"},"content":{"rendered":"<p style=\"text-align: justify;\"><span style=\"font-family: verdana, geneva, sans-serif;\">En el \u00faltimo a\u00f1o, la Superintendencia de Industria y Comercio (SIC) ha intensificado su vigilancia sobre la tercerizaci\u00f3n del tratamiento de datos personales. M\u00e1s de 101 investigaciones derivaron en multas superiores a $5.157 millones, evidenciando fallas tanto de los responsables del tratamiento como de los encargados contratados.<\/span><\/p>\n<p style=\"text-align: justify;\"><strong><span style=\"font-family: verdana, geneva, sans-serif;\">\u00bfCu\u00e1les errores son las m\u00e1s frecuentes de parte de los responsables?<\/span><\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li><span style=\"font-family: verdana, geneva, sans-serif;\">La SIC ha encontrado\u00a0 contratos, incompletos o ambiguos, en los que se delega el tratamiento sin establecer cl\u00e1usulas claras sobre seguridad, confidencialidad y supresi\u00f3n de datos.<\/span><\/li>\n<li><span style=\"font-family: verdana, geneva, sans-serif;\">Tambi\u00e9n se ha evidenciado ausencia de mecanismos de auditor\u00eda y supervisi\u00f3n sobre los terceros, falta de diligencia en su selecci\u00f3n con ausencia de certificaciones, de historial de cumplimiento o de capacidad t\u00e9cnica. En varios casos, los proveedores ni siquiera ten\u00edan pol\u00edticas de protecci\u00f3n de datos alineadas con la Ley 1581 de 2012.<\/span><\/li>\n<li><span style=\"font-family: verdana, geneva, sans-serif;\">Las deficiencias en la supervisi\u00f3n continua ha sido otro punto destacable; pues, los responsables no exigieron reportes peri\u00f3dicos ni trazabilidad de las operaciones realizadas por los terceros; tambi\u00e9n se encontr\u00f3 que hab\u00eda ausencia o desconocimiento sobre el manejo de incidentes de seguridad, lo que en la pr\u00e1ctica condujo a afectaciones de diferentes titulares.<\/span><\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><strong><span style=\"font-family: verdana, geneva, sans-serif;\">\u00bfY qu\u00e9 errores, atribuibles a los terceros encargados, fueron detectados por la SIC?<\/span><\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li><span style=\"font-family: verdana, geneva, sans-serif;\">El uso indebido de la informaci\u00f3n ha sido un factor predominante, encontrando que los encargados habitualmente procesan datos para finalidades distintas a las autorizadas, como el marketing no consentido; a ello se suma la realizaci\u00f3n de transferencias internacionales de datos sin contar con garant\u00edas adecuadas.<\/span><\/li>\n<li><span style=\"font-family: verdana, geneva, sans-serif;\">Con respecto a las medidas de seguridad, las inspecciones evidenciaron insuficiencia; pues, muchas bases de datos se manten\u00edan sin cifrado, el personal acced\u00eda sin mediar autenticaci\u00f3n, e innumerables registros quedaban expuestos en servidores vulnerables. Adicionalmente, se encontr\u00f3 que en sectores como el fintech y el de cobranzas, se produc\u00edan filtraciones a causa de\u00a0 aplicaciones m\u00f3viles mal configuradas.<\/span><\/li>\n<li><span style=\"font-family: verdana, geneva, sans-serif;\">Frente a la notificaci\u00f3n de incidentes, varios encargados omitieron informar oportunamente sobre brechas de seguridad, impidiendo que los responsables alertaran a la SIC y a los titulares.<\/span><\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><strong><span style=\"font-family: verdana, geneva, sans-serif;\">\u00bfQu\u00e9 recomendaciones da la SIC a las organizaciones responsables?<\/span><\/strong><\/p>\n<p style=\"text-align: justify;\"><span style=\"font-family: verdana, geneva, sans-serif;\">La SIC ha emitido lineamientos claros para reducir riesgos en la tercerizaci\u00f3n:<\/span><\/p>\n<ul style=\"text-align: justify;\">\n<li><span style=\"font-family: verdana, geneva, sans-serif;\">Disponer de contratos completos que Incluyan cl\u00e1usulas sobre finalidades, medidas de seguridad, auditor\u00edas, supresi\u00f3n de datos y responsabilidad compartida.<\/span><\/li>\n<li><span style=\"font-family: verdana, geneva, sans-serif;\">Mantener un debida diligencia en la selecci\u00f3n de proveedores, verificando certificaciones como ISO\/IEC 27001 y 27701, historial de cumplimiento y pol\u00edticas internas de privacidad.<\/span><\/li>\n<li><span style=\"font-family: verdana, geneva, sans-serif;\">Supervisar y auditar peri\u00f3dicamente al encargado, exigi\u00e9ndole reportes de trazabilidad, auditor\u00edas internas tanto t\u00e9cnicas, como documentales, m\u00e1s evidencia verificable del cumplimiento.<\/span><\/li>\n<li><span style=\"font-family: verdana, geneva, sans-serif;\">Establecer protocolos claros de notificaci\u00f3n inmediata frente a incidentes, planes de respuesta a los mismos, y medidas de coordinaci\u00f3n entre responsable y encargado.<\/span><\/li>\n<li><span style=\"font-family: verdana, geneva, sans-serif;\">Desarrollar mecanismos informativos hacia los titulares sobre la participaci\u00f3n de terceros en el tratamiento de sus datos, y contar con procesos de validaci\u00f3n del consentimiento.<\/span><\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><span style=\"font-family: verdana, geneva, sans-serif;\">Las sanciones de la SIC del a\u00f1o en curso demuestran que la tercerizaci\u00f3n no exime de culpa \u00a0al responsable de tratamiento; pues, tanto \u00e9l como el encargado deben cumplir estrictamente con los par\u00e1metros de la Ley 1581 y dem\u00e1s regulaci\u00f3n aplicable. La SIC insiste en que la clave del \u00e9xito en la relaci\u00f3n de outsourcing para el tratamiento de datos personales est\u00e1 en la corresponsabilidad, la trazabilidad y la auditor\u00eda continua.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>En el \u00faltimo a\u00f1o, la Superintendencia de Industria y Comercio (SIC) ha intensificado su vigilancia sobre la tercerizaci\u00f3n&hellip;<\/p>\n","protected":false},"author":5,"featured_media":3833,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2},"_wpas_customize_per_network":false},"categories":[17,244],"tags":[1145,23,1206,1021,32,1205],"class_list":["post-3786","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datos-personales","category-seguridad-de-la-informacion","tag-encargados-del-tratamiento","tag-ley-1581","tag-responsables-del-tratamiento","tag-sanciones-sic","tag-seguridad-de-la-informacion","tag-tercerizacion-de-datos"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2026\/02\/DP-BLOG-230.jpg?fit=1080%2C600&ssl=1","jetpack_shortlink":"https:\/\/wp.me\/p8dSET-Z4","jetpack-related-posts":[{"id":1180,"url":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/preguntas-frecuentes-faq\/que-debo-saber-sobre-el-rnbd-o-registro-de-bases-de-datos-en-colombia\/","url_meta":{"origin":3786,"position":0},"title":"\u00bfQu\u00e9 debo saber sobre el RNBD o Registro de Bases de Datos en Colombia?","author":"Oscar Ordo\u00f1ez","date":"marzo 7, 2023","format":false,"excerpt":"\u00bfQu\u00e9 es el Registro Nacional de Bases de Datos (RNBD) y por qu\u00e9 es importante? El Registro Nacional de Bases de Datos (RNBD) es un registro p\u00fablico que tiene como objetivo verificar la gesti\u00f3n que realizan los responsables para asegurar un adecuado tratamiento de los datos personales y la protecci\u00f3n\u2026","rel":"","context":"En \u00abDatos Personales\u00bb","block_context":{"text":"Datos Personales","link":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/category\/datos-personales\/"},"img":{"alt_text":"cosas que debes saber sobre el rnbd","src":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/03\/Imagen-blog-.jpg?fit=900%2C399&ssl=1&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/03\/Imagen-blog-.jpg?fit=900%2C399&ssl=1&resize=350%2C200 1x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/03\/Imagen-blog-.jpg?fit=900%2C399&ssl=1&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/03\/Imagen-blog-.jpg?fit=900%2C399&ssl=1&resize=700%2C400 2x"},"classes":[]},{"id":3035,"url":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/datos-personales\/la-transferencia-de-informacion-es-mas-que-un-contrato-y-un-acuerdo-de-confidencialidad\/","url_meta":{"origin":3786,"position":1},"title":"La Transferencia de Informaci\u00f3n es m\u00e1s que un contrato y un acuerdo de confidencialidad","author":"Juan C.","date":"octubre 29, 2024","format":false,"excerpt":"Hoy en d\u00eda es muy habitual que las organizaciones hagan tercerizaci\u00f3n de una buena parte de sus procesos, esto a ra\u00edz que es m\u00e1s importante enfocar los esfuerzos en el objeto propio de la organizaci\u00f3n que en procesos rutinarios que otras organizaciones pueden realizar de forma m\u00e1s r\u00e1pida y eficiente.\u2026","rel":"","context":"En \u00abDatos Personales\u00bb","block_context":{"text":"Datos Personales","link":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/category\/datos-personales\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2024\/10\/DP-BLOG-133.jpg?fit=1080%2C600&ssl=1&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2024\/10\/DP-BLOG-133.jpg?fit=1080%2C600&ssl=1&resize=350%2C200 1x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2024\/10\/DP-BLOG-133.jpg?fit=1080%2C600&ssl=1&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2024\/10\/DP-BLOG-133.jpg?fit=1080%2C600&ssl=1&resize=700%2C400 2x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2024\/10\/DP-BLOG-133.jpg?fit=1080%2C600&ssl=1&resize=1050%2C600 3x"},"classes":[]},{"id":1812,"url":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/preguntas-frecuentes-faq\/quien-esta-obligado-a-cumplir-la-ley-de-proteccion-de-datos-en-colombia\/","url_meta":{"origin":3786,"position":2},"title":"\u00bfQui\u00e9n est\u00e1 obligado a cumplir la ley de protecci\u00f3n de datos en Colombia?","author":"Oscar Ordo\u00f1ez","date":"septiembre 19, 2023","format":false,"excerpt":"La Ley de Protecci\u00f3n de Datos Personales en Colombia, tambi\u00e9n conocida como Ley 1581 de 2012 y su Decreto Reglamentario 1377 de 2013, es una normativa crucial que regula el tratamiento de la informaci\u00f3n personal en el pa\u00eds. A medida que la tecnolog\u00eda avanza y la informaci\u00f3n personal se vuelve\u2026","rel":"","context":"En \u00abDatos Personales\u00bb","block_context":{"text":"Datos Personales","link":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/category\/datos-personales\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/09\/1-4.png?fit=906%2C403&ssl=1&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/09\/1-4.png?fit=906%2C403&ssl=1&resize=350%2C200 1x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/09\/1-4.png?fit=906%2C403&ssl=1&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/09\/1-4.png?fit=906%2C403&ssl=1&resize=700%2C400 2x"},"classes":[]},{"id":2880,"url":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/datos-personales\/su-empresa-forma-parte-de-las-que-fallan-en-el-cumplimiento-de-la-ley-1581-segun-la-sic\/","url_meta":{"origin":3786,"position":3},"title":"\u00bfSu Empresa Forma Parte de las que Fallan en el Cumplimiento de la Ley 1581 Seg\u00fan la SIC?","author":"Oscar Ordo\u00f1ez","date":"agosto 6, 2024","format":false,"excerpt":"El reciente estudio realizado por la Superintendencia de Industria y Comercio (SIC) de Colombia ha puesto de manifiesto importantes deficiencias en la seguridad del tratamiento de datos personales en el pa\u00eds. Este an\u00e1lisis revela c\u00f3mo muchas organizaciones colombianas est\u00e1n fallando en proteger adecuadamente la informaci\u00f3n personal, exponiendo tanto a individuos\u2026","rel":"","context":"En \u00abDatos Personales\u00bb","block_context":{"text":"Datos Personales","link":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/category\/datos-personales\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2024\/08\/DP-BLOG-OS-015.jpg?fit=1080%2C600&ssl=1&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2024\/08\/DP-BLOG-OS-015.jpg?fit=1080%2C600&ssl=1&resize=350%2C200 1x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2024\/08\/DP-BLOG-OS-015.jpg?fit=1080%2C600&ssl=1&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2024\/08\/DP-BLOG-OS-015.jpg?fit=1080%2C600&ssl=1&resize=700%2C400 2x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2024\/08\/DP-BLOG-OS-015.jpg?fit=1080%2C600&ssl=1&resize=1050%2C600 3x"},"classes":[]},{"id":3125,"url":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/datos-personales\/que-es-realmente-el-rnbd-en-colombia\/","url_meta":{"origin":3786,"position":4},"title":"\u00bfQu\u00e9 es realmente el RNBD en Colombia?","author":"Oscar Ordo\u00f1ez","date":"marzo 22, 2025","format":false,"excerpt":"En Colombia, la protecci\u00f3n de datos personales es un tema de creciente relevancia y dentro de este marco surge una pregunta clave: \u00bfqu\u00e9 es el Registro Nacional de Bases de Datos (RNBD) y por qu\u00e9 es importante? Aunque muchas empresas piensan que se trata solo de un tr\u00e1mite legal, la\u2026","rel":"","context":"En \u00abDatos Personales\u00bb","block_context":{"text":"Datos Personales","link":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/category\/datos-personales\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2025\/03\/DP-BLOG-OS-082.jpg?fit=1080%2C600&ssl=1&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2025\/03\/DP-BLOG-OS-082.jpg?fit=1080%2C600&ssl=1&resize=350%2C200 1x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2025\/03\/DP-BLOG-OS-082.jpg?fit=1080%2C600&ssl=1&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2025\/03\/DP-BLOG-OS-082.jpg?fit=1080%2C600&ssl=1&resize=700%2C400 2x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2025\/03\/DP-BLOG-OS-082.jpg?fit=1080%2C600&ssl=1&resize=1050%2C600 3x"},"classes":[]},{"id":166,"url":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/preguntas-frecuentes-faq\/como-hacer-el-registro-nacional-de-bases-de-datos\/","url_meta":{"origin":3786,"position":5},"title":"\u00bfc\u00f3mo hacer el registro nacional de bases de datos?","author":"Oscar Ordo\u00f1ez","date":"febrero 10, 2017","format":false,"excerpt":"Muchos responsables a\u00fan se cuestionan sobre c\u00f3mo realizar el registro nacional de bases de datos o RNBD, para resolver esta inquietud es importante conocer lo m\u00e1s b\u00e1sico sobre el mencionado registro.\u00a0 Empecemos entonces por responder las dos preguntas m\u00e1s comunes: \u00bfQu\u00e9 es el RNBD? Es el Directorio p\u00fablico de las\u2026","rel":"","context":"En \u00abDatos Personales\u00bb","block_context":{"text":"Datos Personales","link":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/category\/datos-personales\/"},"img":{"alt_text":"RNBD","src":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2017\/02\/files-1633406_1280.jpg?fit=1200%2C900&ssl=1&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2017\/02\/files-1633406_1280.jpg?fit=1200%2C900&ssl=1&resize=350%2C200 1x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2017\/02\/files-1633406_1280.jpg?fit=1200%2C900&ssl=1&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2017\/02\/files-1633406_1280.jpg?fit=1200%2C900&ssl=1&resize=700%2C400 2x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2017\/02\/files-1633406_1280.jpg?fit=1200%2C900&ssl=1&resize=1050%2C600 3x"},"classes":[]}],"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/posts\/3786","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/comments?post=3786"}],"version-history":[{"count":4,"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/posts\/3786\/revisions"}],"predecessor-version":[{"id":3831,"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/posts\/3786\/revisions\/3831"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/media\/3833"}],"wp:attachment":[{"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/media?parent=3786"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/categories?post=3786"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/tags?post=3786"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}