Por: Estudio Legal Hernández 

Tratamiento de Datos Personales en el Ámbito Empresarial: ¿Debe el Representante Legal Autorizar su Uso?

Introducción

La protección de los datos personales en Colombia ha adquirido notable relevancia jurídica y práctica desde la promulgación de la Ley 1581 de 2012, que desarrolló el derecho fundamental de habeas data consagrado en el artículo 15 de la Constitución Política. Posteriormente, el marco regulatorio se complementó con decretos reglamentarios —notablemente el Decreto 1074 de 2015 y otras normas conexas, así como con la jurisprudencia administrativa de la Superintendencia de Industria y Comercio (SIC).

En el contexto empresarial surge una pregunta interesante: cuando un representante legal aporta datos (como nombre, cédula, correo, etc.) en relación con sus funciones, ¿es necesario que dicho representante otorgue una autorización explícita para que la empresa los trate? Dicho de otro modo: ¿hasta dónde aplica el deber de autorización en el contexto empresarial, y cuáles son los límites entre datos personales y datos corporativos?

Este artículo profundiza en esos interrogantes, analiza la normativa aplicable y propone criterios y buenas prácticas para empresas.

¿Qué se considera un dato personal?

Según la Ley 1581, un dato personal es toda información vinculada o que pueda asociarse a una persona natural identificada o identificable.
Ejemplo: nombre, número de identificación, dirección, teléfono o correo personal.

No son datos personales los que se relacionan con la actividad corporativa, como:

  • Correo institucional
  • Teléfono corporativo
  • Dirección comercial
  • Cuentas bancarias empresariales

¿Debe el representante legal autorizar el tratamiento de sus datos?

La SIC ha sido clara: no se requiere autorización para tratar datos corporativos de una empresa, incluso si fueron entregados por su representante legal en el ejercicio de sus funciones.

Sin embargo, sí se requiere autorización expresa cuando el tratamiento involucra datos personales del representante que no están directamente relacionados con la gestión empresarial (por ejemplo, su correo electrónico o número personal).

¿Puede una empresa contactar a una persona sin autorización previa?

La respuesta es no, salvo que el propósito del primer contacto sea precisamente solicitar la autorización para tratar los datos personales.

Condiciones mínimas:

  • Debe ser claro que el contacto busca obtener autorización.
  • Si la persona no la otorga, debe cesar todo tipo de comunicación.
  • El silencio no equivale a consentimiento.

Requisitos para una autorización válida

El artículo 12 de la Ley 1581 establece que la autorización debe informar al titular:

  1. Qué tipo de tratamiento se realizará (uso, recolección, almacenamiento, etc.)
  2. La finalidad específica del tratamiento
  3. Si la entrega de datos es facultativa (en el caso de datos sensibles o de menores)
  4. Los derechos que le asisten como titular
  5. La identificación y datos de contacto del responsable del tratamiento

Implicaciones para las Sociedades

Compliance y gestión de datos

  • Diferenciar entre datos personales y corporativos.
  • Implementar mecanismos claros para recolectar y conservar autorizaciones.
  • Mantener evidencia documental del consentimiento.
  • Registrar las bases de datos en el Registro Nacional de Bases de Datos (RNBD) cuando aplique.

Marketing y ventas

  • El primer contacto con un prospecto debe incluir la solicitud de autorización.
  • Las campañas deben respetar los principios de libertad, finalidad y proporcionalidad.
  • Evitar bases de datos compradas o compartidas sin prueba de consentimiento.

Relaciones comerciales y contractuales

  • Incluir cláusulas de protección de datos en contratos con clientes, proveedores o aliados.
  • Garantizar que cualquier tercero que procese datos lo haga conforme a la ley.
  • Auditar periódicamente las bases de datos y eliminar información obsoleta o innecesaria.

Recomendaciones prácticas

  1. Audite sus bases de datos: identifique qué información es personal y cuál es corporativa.
  2. Actualice sus formatos de autorización: asegúrese de incluir todos los elementos exigidos por la ley.
  3. Capacite a su equipo: especialmente a las áreas comercial, jurídica y de tecnología.
  4. Documente todo: conserve evidencia de las autorizaciones y revocatorias.
  5. Revise su política de tratamiento: debe ser pública, clara y estar actualizada según el Decreto 1074 de 2015 y la Circular 2 de 2015 de la SIC.

Conclusión

La protección de datos personales en Colombia se centra exclusivamente en las personas naturales, incluso si actúan como representantes legales de una empresa.

Por ello, las compañías deben actuar con diligencia: distinguir entre datos corporativos y personales, solicitar autorizaciones cuando sea necesario y mantener prácticas de cumplimiento que eviten sanciones de la Superintendencia de Industria y Comercio.

Más allá del cumplimiento legal, una gestión responsable de los datos fortalece la confianza y reputación corporativa, convirtiéndose en un verdadero activo empresarial.

.

Si estás interesado en obtener mayor información y asesoría, no dudes en contactarnos a contacto@estudiolegalhernandez.com y WhatsApp +57 319 6905765

________________________________________________________________

.