Legal Abogados

SIC refuerza guía sobre protección de datos personales: qué deberían revisar las empresas antes de pedir cédulas, fotos y soportes por WhatsApp o formularios

La orientación pública de la SIC vuelve relevante revisar cómo las empresas piden, usan y conservan datos personales en WhatsApp, formularios, ventas y gestión de proveedores.

Inicio/Noticias/SIC refuerza guía sobre protección de datos personales: qué deberían revisar las empresas antes de pedir cédulas, fotos y soportes por WhatsApp o formularios
SIC refuerza guía sobre protección de datos personales: qué deberían revisar las empresas antes de pedir cédulas, fotos y soportes por WhatsApp o formularios
Noticia05 de jul de 2026

SIC refuerza guía sobre protección de datos personales: qué deberían revisar las empresas antes de pedir cédulas, fotos y soportes por WhatsApp o formularios

La orientación pública de la SIC vuelve relevante revisar cómo las empresas piden, usan y conservan datos personales en WhatsApp, formularios, ventas y gestión de proveedores.

La Superintendencia de Industria y Comercio, a través de su portal oficial de protección de datos personales, mantiene criterios y orientaciones que siguen siendo especialmente relevantes para empresas en Colombia que recolectan información de clientes, trabajadores, prospectos, proveedores o contratistas. Aunque no se trata de una sentencia ni de una reforma aislada, sí es una referencia oficial vigente que conviene revisar de forma práctica, según la fuente consultada el 5 de julio de 2026.

¿Por qué esto merece tratamiento noticioso? Porque en la operación diaria muchas empresas siguen pidiendo documentos por canales informales, almacenando bases de datos sin criterio claro y compartiendo información personal por chat, correo o formularios web sin suficiente trazabilidad. En la práctica, ese desorden suele explotar cuando aparece una queja, una solicitud de supresión, una reclamación interna o una revisión de cumplimiento.

¿Qué debería entender una empresa de esta señal de la SIC?

La lectura empresarial no es simplemente que “hay que tener política de tratamiento”. El mensaje útil es otro: si su empresa pide datos, los usa para vender, contratar, cotizar, perfilar, verificar identidad, pagar, afiliar, despachar o hacer seguimiento, entonces necesita al menos una estructura mínima de legalidad, necesidad y trazabilidad.

Eso aplica, por ejemplo, cuando la empresa:

  • Pide fotos de cédula por WhatsApp.
  • Solicita extractos, certificaciones o referencias por formularios en línea.
  • Conserva hojas de vida o documentos de exempleados sin depuración.
  • Comparte bases de clientes entre áreas sin controles definidos.
  • Recibe datos de proveedores y contactos comerciales sin claridad sobre finalidad.
  • Usa formularios de contacto o campañas digitales sin revisar qué información está capturando realmente.

¿Por qué esto importa hoy a gerentes, RR. HH. y áreas administrativas?

Porque el riesgo ya no está solo en una gran base de datos o en una plataforma sofisticada. Muchas contingencias nacen en procesos cotidianos:

Ventas y servicio al cliente

Un asesor pide más datos de los necesarios para cotizar, atender una devolución o programar una visita. Luego esos soportes quedan circulando por grupos internos o correos sin control.

Contratación y gestión humana

Se almacenan incapacidades, certificados médicos, antecedentes o soportes personales en carpetas compartidas sin criterio de acceso ni conservación.

Compras y proveedores

Se recolectan cédulas, RUT, certificaciones bancarias y contactos personales de terceros, pero nadie define tiempos de conservación, responsables ni protocolos de eliminación.

Canales digitales

La página web o los formularios comerciales piden información excesiva, no explican suficientemente el uso de los datos o no dejan evidencia clara de la autorización cuando esta resulta necesaria.

¿Qué deberían revisar hoy las empresas en Colombia?

Más que copiar formatos, conviene hacer una revisión práctica de operación.

Qué datos se están pidiendo realmente

Muchas empresas no tienen inventario claro de la información que capturan. El primer paso es identificar:

  • Qué datos se piden a clientes.
  • Qué datos se piden a trabajadores y candidatos.
  • Qué datos se piden a proveedores y contratistas.
  • Por qué canal se recolectan.
  • Quién accede a ellos.
  • Dónde se almacenan.

Si el dato pedido sí es necesario

Un error frecuente es pedir “de una vez todo”. Pero en cumplimiento de datos personales, acumular soportes innecesarios aumenta exposición. No todo trámite exige fotocopia de cédula, foto, extracto, firma, referencia o dato sensible.

Cómo se está pidiendo la información

No es igual recibir información por un formulario controlado que por chats personales de asesores o cuentas improvisadas. Si el canal de captura es informal, el riesgo de pérdida, acceso no autorizado o uso inconsistente aumenta.

Quién responde solicitudes o reclamos

Si un titular pide corrección, actualización o eliminación, la empresa debería tener una ruta interna clara para atender esa gestión, con responsables definidos y evidencia de respuesta.

Cuánto tiempo se conservan los datos

Guardar todo “por si acaso” no es una política. Es un riesgo. Conviene revisar criterios de conservación según finalidad, relación contractual, necesidad operativa y soporte legal aplicable.

Errores comunes que siguen viendo las empresas

Estas son algunas fallas recurrentes:

  • Pedir documentos por WhatsApp personal de vendedores o coordinadores.
  • Reenviar cédulas, historias de atención o certificaciones a múltiples áreas sin necesidad.
  • Usar formularios web que capturan más información de la requerida.
  • No separar datos de clientes activos, prospectos, proveedores y exempleados.
  • Conservar carpetas antiguas sin política de depuración.
  • Tener avisos de privacidad genéricos que no coinciden con la operación real.
  • No documentar quién puede acceder a datos sensibles o reservados.

¿Cómo se conecta esto con riesgo laboral y comercial?

La protección de datos no es un tema aislado del negocio. Tiene impacto directo en varias áreas:

En laboral

El manejo de incapacidades, hojas de vida, llamados de atención, datos familiares o información médica exige más cuidado. Si su empresa quiere fortalecer procesos internos, puede complementar esta revisión con contenidos sobre derecho laboral y con apoyo transversal desde outsourcing legal para empresas.

En comercial

Los equipos de ventas, cartera y servicio al cliente suelen tocar información personal todos los días. Si no hay reglas claras, una contingencia de datos puede mezclarse con reclamos de consumidor, discusiones contractuales o pérdida de confianza comercial.

En proveedores y terceros

No basta con tener documentos. Hay que revisar para qué se pidieron, quién los usa y cómo se resguardan. Esto es especialmente sensible cuando se manejan certificaciones bancarias, contactos de representantes, referencias o soportes tributarios.

Señales de alerta para una pyme

Una pyme debería prender alarmas si identifica alguna de estas situaciones:

  • La empresa depende de chats para recibir documentos personales.
  • No sabe cuántas bases de datos tiene ni quién las administra.
  • Cada área pide información distinta sin criterio común.
  • Se comparten carpetas con acceso abierto a documentos personales.
  • No existe procedimiento claro para responder solicitudes de titulares.
  • Se recogen datos en campañas o formularios sin revisión jurídica previa.

¿Qué puede hacer una empresa desde ya?

Sin prometer soluciones automáticas, sí hay medidas razonables que ayudan a reducir desorden y exposición:

  • Levantar un inventario real de bases, carpetas y canales de captura.
  • Revisar si los formularios piden solo lo necesario.
  • Definir responsables de acceso y respuesta a reclamos.
  • Ordenar criterios de conservación y eliminación.
  • Limitar el uso de WhatsApp y correos informales para documentos sensibles.
  • Alinear políticas, avisos y operación real.

Una lectura práctica para empresas en Colombia

La señal de la SIC importa porque recuerda algo básico: el riesgo de protección de datos no empieza en una sanción, sino en hábitos cotidianos mal diseñados. Pedir más información de la necesaria, usar canales informales o conservar soportes sin criterio puede afectar cumplimiento, reputación y eficiencia operativa.

Si su empresa quiere revisar formularios, flujos de documentos, manejo de datos de trabajadores, clientes o proveedores, en Legal Abogados podemos apoyar una revisión preventiva y aterrizada al negocio. Conozca nuestro servicio de outsourcing legal para empresas o escríbanos por contacto.

Publicado por

Equipo Legal Abogados

Palabras clave

SICprotección de datos personaleshabeas datacumplimiento empresarialWhatsApp empresarialproveedoresclientesempresas Colombia

Lea y actúe

Si esta novedad cambia el escenario, conviértala en una consulta puntual

Una noticia ayuda a entender contexto, pero la siguiente decisión depende de documentos, tiempos y riesgo real.

Ruta empresarial

Convierta la novedad en una decisión concreta sobre contratos, riesgos o estructura del negocio.

Hablar con el equipo

Cuente su caso y revisemos si la novedad ya exige acción concreta.

Más novedades

Noticias relacionadas