Inicio/Blog jurídico/Tratamiento de datos empresariales: guía de cumplimiento con la SIC
Tratamiento de datos empresariales: guía de cumplimiento con la SIC
Artículo05 de jul de 2026Equipo Legal Abogados

Tratamiento de datos empresariales: guía de cumplimiento con la SIC

Guía práctica sobre tratamiento de datos empresariales: guía de cumplimiento con la sic para identificar documentos, controles y decisiones relevantes.

Actualización editorial del 13 de julio de 2026: «Tratamiento de datos empresariales: guía de cumplimiento con la SIC» se presenta como guía de consulta. Su fuente corresponde a orientación permanente o a un antecedente, no a una noticia del día.

La Superintendencia de Industria y Comercio, a través de su portal oficial de protección de datos personales, mantiene criterios y orientaciones que siguen siendo especialmente relevantes para empresas en Colombia que recolectan información de clientes, trabajadores, prospectos, proveedores o contratistas. Aunque no se trata de una sentencia ni de una reforma aislada, sí es una referencia oficial vigente que conviene revisar de forma práctica, según la fuente consultada el 5 de julio de 2026.

¿Por qué esto merece tratamiento noticioso? Porque en la operación diaria muchas empresas siguen pidiendo documentos por canales informales, almacenando bases de datos sin criterio claro y compartiendo información personal por chat, correo o formularios web sin suficiente trazabilidad. En la práctica, ese desorden suele explotar cuando aparece una queja, una solicitud de supresión, una reclamación interna o una revisión de cumplimiento.

¿Qué debería entender una empresa de esta señal de la SIC?

La lectura empresarial no es simplemente que “hay que tener política de tratamiento”. El mensaje útil es otro: si su empresa pide datos, los usa para vender, contratar, cotizar, perfilar, verificar identidad, pagar, afiliar, despachar o hacer seguimiento, entonces necesita al menos una estructura mínima de legalidad, necesidad y trazabilidad.

Eso aplica, por ejemplo, cuando la empresa:

  • Pide fotos de cédula por WhatsApp.
  • Solicita extractos, certificaciones o referencias por formularios en línea.
  • Conserva hojas de vida o documentos de exempleados sin depuración.
  • Comparte bases de clientes entre áreas sin controles definidos.
  • Recibe datos de proveedores y contactos comerciales sin claridad sobre finalidad.
  • Usa formularios de contacto o campañas digitales sin revisar qué información está capturando realmente.

¿Por qué esto importa hoy a gerentes, RR. HH. y áreas administrativas?

Porque el riesgo ya no está solo en una gran base de datos o en una plataforma sofisticada. Muchas contingencias nacen en procesos cotidianos:

Ventas y servicio al cliente

Un asesor pide más datos de los necesarios para cotizar, atender una devolución o programar una visita. Luego esos soportes quedan circulando por grupos internos o correos sin control.

Contratación y gestión humana

Se almacenan incapacidades, certificados médicos, antecedentes o soportes personales en carpetas compartidas sin criterio de acceso ni conservación.

Compras y proveedores

Se recolectan cédulas, RUT, certificaciones bancarias y contactos personales de terceros, pero nadie define tiempos de conservación, responsables ni protocolos de eliminación.

Canales digitales

La página web o los formularios comerciales piden información excesiva, no explican suficientemente el uso de los datos o no dejan evidencia clara de la autorización cuando esta resulta necesaria.

¿Qué deberían revisar hoy las empresas en Colombia?

Más que copiar formatos, conviene hacer una revisión práctica de operación.

Qué datos se están pidiendo realmente

Muchas empresas no tienen inventario claro de la información que capturan. El primer paso es identificar:

  • Qué datos se piden a clientes.
  • Qué datos se piden a trabajadores y candidatos.
  • Qué datos se piden a proveedores y contratistas.
  • Por qué canal se recolectan.
  • Quién accede a ellos.
  • Dónde se almacenan.

Si el dato pedido sí es necesario

Un error frecuente es pedir “de una vez todo”. Pero en cumplimiento de datos personales, acumular soportes innecesarios aumenta exposición. No todo trámite exige fotocopia de cédula, foto, extracto, firma, referencia o dato sensible.

Cómo se está pidiendo la información

No es igual recibir información por un formulario controlado que por chats personales de asesores o cuentas improvisadas. Si el canal de captura es informal, el riesgo de pérdida, acceso no autorizado o uso inconsistente aumenta.

Quién responde solicitudes o reclamos

Si un titular pide corrección, actualización o eliminación, la empresa debería tener una ruta interna clara para atender esa gestión, con responsables definidos y evidencia de respuesta.

Cuánto tiempo se conservan los datos

Guardar todo “por si acaso” no es una política. Es un riesgo. Conviene revisar criterios de conservación según finalidad, relación contractual, necesidad operativa y soporte legal aplicable.

Errores comunes que siguen viendo las empresas

Estas son algunas fallas recurrentes:

  • Pedir documentos por WhatsApp personal de vendedores o coordinadores.
  • Reenviar cédulas, historias de atención o certificaciones a múltiples áreas sin necesidad.
  • Usar formularios web que capturan más información de la requerida.
  • No separar datos de clientes activos, prospectos, proveedores y exempleados.
  • Conservar carpetas antiguas sin política de depuración.
  • Tener avisos de privacidad genéricos que no coinciden con la operación real.
  • No documentar quién puede acceder a datos sensibles o reservados.

¿Cómo se conecta esto con riesgo laboral y comercial?

La protección de datos no es un tema aislado del negocio. Tiene impacto directo en varias áreas:

En laboral

El manejo de incapacidades, hojas de vida, llamados de atención, datos familiares o información médica exige más cuidado. Si su empresa quiere fortalecer procesos internos, puede complementar esta revisión con contenidos sobre derecho laboral y con apoyo transversal desde outsourcing legal para empresas.

En comercial

Los equipos de ventas, cartera y servicio al cliente suelen tocar información personal todos los días. Si no hay reglas claras, una contingencia de datos puede mezclarse con reclamos de consumidor, discusiones contractuales o pérdida de confianza comercial.

En proveedores y terceros

No basta con tener documentos. Hay que revisar para qué se pidieron, quién los usa y cómo se resguardan. Esto es especialmente sensible cuando se manejan certificaciones bancarias, contactos de representantes, referencias o soportes tributarios.

Señales de alerta para una pyme

Una pyme debería prender alarmas si identifica alguna de estas situaciones:

  • La empresa depende de chats para recibir documentos personales.
  • No sabe cuántas bases de datos tiene ni quién las administra.
  • Cada área pide información distinta sin criterio común.
  • Se comparten carpetas con acceso abierto a documentos personales.
  • No existe procedimiento claro para responder solicitudes de titulares.
  • Se recogen datos en campañas o formularios sin revisión jurídica previa.

¿Qué puede hacer una empresa desde ya?

Sin prometer soluciones automáticas, sí hay medidas razonables que ayudan a reducir desorden y exposición:

  • Levantar un inventario real de bases, carpetas y canales de captura.
  • Revisar si los formularios piden solo lo necesario.
  • Definir responsables de acceso y respuesta a reclamos.
  • Ordenar criterios de conservación y eliminación.
  • Limitar el uso de WhatsApp y correos informales para documentos sensibles.
  • Alinear políticas, avisos y operación real.

Una lectura práctica para empresas en Colombia

La señal de la SIC importa porque recuerda algo básico: el riesgo de protección de datos no empieza en una sanción, sino en hábitos cotidianos mal diseñados. Pedir más información de la necesaria, usar canales informales o conservar soportes sin criterio puede afectar cumplimiento, reputación y eficiencia operativa.

Si su empresa quiere revisar formularios, flujos de documentos, manejo de datos de trabajadores, clientes o proveedores, en Legal Abogados podemos apoyar una revisión preventiva y aterrizada al negocio. Conozca nuestro servicio de outsourcing legal para empresas o escríbanos por contacto.

Tags

SICprotección de datos personaleshabeas datacumplimiento empresarialWhatsApp empresarialproveedoresclientesempresas Colombia

Siguiente paso

Si este tema se parece a su caso, conviértalo en una revisión puntual

Una lectura aclara contexto, pero una conversación permite aterrizar riesgo, documentos y opciones reales.

Recursos y contacto

Comparta su situación y definamos si conviene una revisión jurídica más específica.

Outsourcing legal

Si el tema se repite en su empresa, revise un acompañamiento jurídico mensual.

Enviar consulta

Comparta su caso y definamos el canal más adecuado para continuar.

Sigue leyendo

Más artículos del blog