MÓDULO DE PROTECCIÓN DE DATOS PERSONALES

Especialización Derecho Comercial

Universidad Javeriana
Febrero y marzo 2024

STELLA VANEGAS
Tabla de
contenidos
1. Marco normativo
2. Key elements
3. Principios para el tratamiento de
datos personales
4. Derechos y deberes de las
personas en relación con sus
datos personales
5. ¿Cómo se protegen los datos?
(seguridad y protección)
6. Circulación de datos y
su adecuada protección:
contexto nacional e internacional
7. ¿Qué es el principio de
Accountability?
8. Inteligencia artificial
 El artículo 15 de la Constitución Política de
1991
Ley 1266 DE 2008 modificada por la ley 2157
de 2021
Ley 1581 de 2012

Marco El capítulo 25 del decreto único 1074 de 2015

normativo Decreto 1297 de 2022

Decreto 255 de 2022

Ley 2300 de 2023

 Tipos de datos
DATO PERSONAL: Cualquier
información vinculada o que
pueda asociarse a una o a
varias personas
naturales determinadas o
determinables.

DATO SEMIPRIVADO: Es
aquella información que no es
DATO PRIVADO: Es el dato DATO SENSIBLE: Aquel dato
de naturaleza íntima,
DATO PÚBLICO: Es el dato que por su naturaleza íntima o que afecta la intimidad
reservada ni pública y cuyo
que no sea semiprivado, reservada sólo es relevante del titular o cuyo uso indebido
conocimiento o divulgación
privado o sensible. para el titular de puede generar
puede interesar no sólo a su
la información. su discriminación
titular sino a la sociedad en
general
Key elements Ley 1581 de 2012
TITULAR: Persona natural cuyos datos personales sean objeto de Tratamiento;
AUTORIZACIÓN: Consentimiento previo, expreso e informado del Titular para llevar a
cabo el Tratamiento de datos personales;
TRATAMIENTO: Cualquier operación
o conjunto de operaciones sobre Encargado del Tratamiento: Persona
datos personales (recolección, natural o jurídica que realice el
almacenamiento, uso, circulación o Tratamiento de datos personales por
supresión) cuenta del Responsable del
Tratamiento
Autoridad de protección de Responsable del
datos: Delegatura para la Protección Tratamiento: Persona natural o
de Datos Personales de la jurídica, pública o privada que decida
Superintendencia de Industria y sobre la base de datos y/o el
Comercio Tratamiento de los datos
Oficial de Protección de Datos: área o
persona encargada de velar por el
cumplimiento de la ley.
Ley 1266 de 2008/ habeas data financiero
SUJETOS DEL TRATAMIENTO DE DATOS PERSONALES
Ley 1266 de 2008/ habeas data financiero
SUJETOS DEL TRATAMIENTO DE DATOS PERSONALES

OPERADOR DE LA INFORMACIÓN
Es la persona, entidad u organización que recibe de la
fuente datos personales sobre varios titulares de la
información, los administra y los pone en conocimiento de
los usuarios bajo los parámetros de la Ley. Por ejemplo,
CIFIN y DATACRÉDITO.

USUARIO
Es la persona natural o jurídica que puede acceder a
información personal de uno o varios titulares de la
información suministrada por el operador o la fuente, o
directamente por el titular de la información.
Ley 1266 de 2008/ habeas data financiero

INFORMACIÓN POSITIVA
Permanece de manera indefinida.
INFORMACIÓN NEGATIVA
Término máximo de permanencia de 4 años.
Si la mora es igual o inferior a dos años permanecerá por el
doble del tiempo de la mora, si es superior por el término de
cuatro (4) años, contados a partir de que sea pagada la
obligación.

Ley 2157 de 2021. Art.13. Caducidad del dato negativo, 8 años

a partir de que entre en mora.
LEY 1266 DE 2008 Y LEY 1581 DE 2015
 Principios Principio de libertad:

para el Principio de legalidad en

Principio de finalidad:
El Tratamiento sólo puede
ejercerse con el

tratamiento
materia de Tratamiento consentimiento, previo,
El Tratamiento debe
de datos: expreso e informado del
obedecer a una finalidad
El Tratamiento debe Titular. Los datos
de datos sujetarse a lo establecido
en la ley y en las demás
legítima de acuerdo con la
Constitución y la Ley, la
personales no podrán ser
obtenidos o divulgados sin
personales disposiciones que lo
desarrollen;
cual debe ser informada al
Titular;
previa autorización, o en
ausencia de mandato legal
o judicial que releve el
consentimiento;
 Principios
Principio de
para el Principio de veracidad o
transparencia:
En el Tratamiento debe
Principio de acceso y

tratamiento
circulación restringida:
calidad: garantizarse el derecho del
El Tratamiento sólo podrá
La información sujeta a Titular a obtener del
hacerse por personas
de datos Tratamiento debe ser
veraz, completa, exacta,
Responsable del
Tratamiento o del
autorizadas por el Titular
y/o por las personas
personales actualizada, comprobable y
comprensible.
Encargado del Tratamiento
información acerca de la
previstas en la presente
ley;
existencia de datos que le
conciernan;
 Principio de
Principios Principio de Seguridad:
Confidencialidad:
Garantizar la reserva de la
Principio de
para el La información sujeta a
Tratamiento, se deberá
información, inclusive
después de finalizada su
temporalidad,
razonabilidad y
tratamiento
manejar con las medidas relación con alguna de las
necesidad:
técnicas, humanas y labores que comprende el
Los datos personales a
administrativas que sean Tratamiento, pudiendo sólo
de datos necesarias para otorgar
seguridad a los registros
realizar suministro o
comunicación de datos
tratar deben ser los
estrictamente

personales evitando su adulteración,

pérdida, consulta, uso o
personales cuando ello
corresponda al desarrollo
necesarios para el
cumplimiento de las
finalidades perseguidas con
acceso no autorizado o de las actividades
el tratamiento.
fraudulento autorizadas en la presente
ley y en los términos de la
misma.
Derechos de los Titulares

1 2 3

Conocer, corregir y
actualizar sus datos
personales si son
Solicitar pruebas de
incorrectos, Obtener información
autorización para el
incompletos o usados sobre cómo se usan
uso de sus datos, a
de manera indebida, sus datos personales
menos que la ley lo
incluso si están al solicitarlo.
excluya.
fraccionados o
prohibidos por la ley.
Derechos de los Titulares

4
1 2
5 3
6

Conocer, corregir y Revocar la

Presentar quejas a la
actualizar sus datos autorización y/o
Superintendencia de
personales si son Solicitar pruebas de solicitar la supresión
Industria y Comercio Acceder de forma
incorrectos, autorización para el del
Obtener
dato cuando
información
en el
si se vulneran las gratuita a sus datos
incompletos o usados uso de sus datos, a sobre
Tratamiento
cómo senousan
se
normas de protección personales que
de manera indebida, menos que la ley lo sus datos
respetenpersonales
los
de datos. hayan sido objeto de
incluso si están excluya. principios,
al solicitarlo.
derechos y
Tratamiento.
fraccionados o garantías
prohibidos por la ley. constitucionales y
legales.
 Garantizar al titular el pleno y efectivo
ejercicio del derecho de hábeas data.

Deberes de los Informar al titular sobre la finalidad de la

recolección y los derechos que le asisten

Responsables y
debido a la autorización otorgada.

Encargados del Conservar la información en condiciones de

seguridad necesarias para evitar su alteración,

Tratamiento pérdida, acceso no autorizado o

uso fraudulento.

Informar a la autoridad de protección de datos

cuando se produzcan vulnere la ley o existan
riesgos en la administración de la información
de los titulares
¿Cómo se garantiza el derecho?
Consultas: Los Titulares o sus causahabientes podrán consultar la información
personal del Titular que repose en cualquier base de datos. El Responsable del
Tratamiento o Encargado del Tratamiento deberán suministrar a estos toda la
información contenida en el registro individual o que esté vinculada con la
identificación del Titular.

Reclamos: El Titular o sus causahabientes que consideren que la información

contenida en una base de datos debe ser objeto de corrección, actualización o
supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los
deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable
del Tratamiento o el Encargado del Tratamiento.

Requisito de procedibilidad: El Titular o causahabiente sólo podrá elevar queja

ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite
de consulta o reclamo ante el Responsable del Tratamiento o Encargado del
Tratamiento
 • Políticas de Tratamiento de la
información.
¿Cómo se • Aviso de privacidad.
protegen • Manual de Seguridad de la
los datos? información
• Accountability
AUTORIZACIÓN

El Responsable del tratamiento de los datos debe especificar la finalidad

para la cual se busca la obtención de los datos personales, y debe cumplir
con los demás requisitos establecidos en la ley 1581,Art. 12.

Puede obtenerse por cualquier medio, ya sea físico o electrónico, desde que
permita su consulta posterior. Y también por conductas inequívocas.
AUTORIZACIÓN
AUTORIZACIÓN DATOS SENSIBLES

Los requisitos de un formato de

autorización para tratar datos sensibles
son:

✓ El titular debe saber que, por tratarse

de datos sensibles, no está obligado a
autorizar su tratamiento;

✓ Es deber del Responsable de los datos,

informar al titular de forma explícita y
previa, cuales datos son sensibles y
cuál será la finalidad del tratamiento
que se les dará.
AUTORIZACIÓN
Datos de Naturaleza Pública.
(principio de finalidad)

EXCEPCIONES Datos relacionados con el

registro civil.

Información requerida por una

entidad en ejercicio de funciones
NO SE REQUIERE legales o por orden judicial.
AUTORIZACIÓN
Tratamiento de información para
fines estadísticos, históricos o
científicos

Casos de urgencia médica o

sanitaria.
POLÍTICAS DE TRATAMIENTO

Los Responsables de bases de datos

deben poner a disposición de los
Titulares de los datos, las políticas
internas que rigen el Tratamiento e
informar sobre las medidas de
seguridad aplicables a su
información.

Así como, deben desarrollar un

Manual Interno de Políticas y
Procedimientos y un Manual de
Seguridad.
POLÍTICAS DE TRATAMIENTO

1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del

CONTENIDO DE LAS POLÍTICAS Responsable.
2. Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando ésta no
se haya informado mediante el Aviso de Privacidad.
Las Políticas de 3. Derechos que le asisten como Titular.
Tratamiento de Datos 4. Persona o área responsable de la atención de peticiones, consultas y reclamos ante
Personales deberán la cual el Titular de la información puede ejercer sus derechos a conocer, actualizar,
rectificar y suprimir el dato y revocar la autorización.
incluir, por lo menos, la
5. Procedimiento para que los Titulares de la información puedan ejercer los
siguiente información: derechos a conocer, actualizar, rectificar y suprimir información y revocar la
autorización.
6. Fecha de entrada en vigencia de la política de Tratamiento de la información y
período de vigencia de la base de datos.
AVISO DE PRIVACIDAD

El Aviso de Privacidad, como mínimo, deberá contener la

siguiente información:

1. Nombre o razón social y datos de contacto del Responsable del Tratamiento. No obstante, lo anterior, cuando se
recolecten datos personales
2. El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.
sensibles, el Aviso de Privacidad
3. Los derechos que le asisten al Titular. deberá señalar expresamente el
carácter facultativo de la respuesta
4. Los mecanismos dispuestos por el Responsable para que el Titular conozca la
a las preguntas que versen sobre
política de Tratamiento de la información y los cambios sustanciales que se
este tipo de datos.
produzcan en ella o en el Aviso de Privacidad correspondiente. En todos los casos,
debe informar al Titular cómo acceder o consultar la política de Tratamiento de
información.
Sanciones
• Ante el incumplimiento de la ley 1581 de 2012 por parte
privados, ya sea por Responsable del Tratamiento o el Encargado
del Tratamiento, la SIC podrá imponer las siguientes sanciones
• a) Multas hasta por el equivalente de dos mil (2.000) SMMLV
• b) Suspensión de las actividades relacionadas con el
Tratamiento hasta por un término de seis (6) meses.
• c) Cierre temporal de las operaciones relacionadas con el
Tratamiento una vez transcurrido el término de suspensión sin que
se hubieren adoptado los correctivos ordenados por la SIC
• d) Cierre inmediato y definitivo de la operación que involucre el
Tratamiento de datos sensibles;
• Ante el incumplimiento de una autoridad pública se encarga la
Procuraduría
 Circulación de datos
La ley 1581 de 2012 prohíbe la transferencia de datos personales de cualquier tipo a países que no
proporcionen niveles adecuados de protección de datos. Un país ofrece un nivel adecuado de
protección de datos cuando cumpla con los estándares fijados por la SIC.
Esta prohibición no aplica ante:

e) Transferencias exigidas
b) Los datos médicos
a) La información para la d) Transferencias por la ley para proteger el
cuando sean necesario
cual el titular ha otorgado c) Transferencias necesarias para cumplir interés público o para el
para la salud del titular o
su autorización para su bancarias un contrato entre el titular ejercicio o defensa de un
por razones de
transferencia. y el responsable derecho en un proceso
higiene pública.
judicial.

Parágrafo 1. En los casos no contemplados, el Responsable deberá suscribir el contrato de

transferencia garantizando que se cumpla con los principios y obligaciones bajo la normativa.
Protección de datos en
transferencias internacionales
• La Corte Constitucional fijó los siguientes elementos para
garantizar un nivel adecuado de protección de datos:
• Unos principios, que abarquen las obligaciones y derechos
de las partes (titular del dato, autoridades públicas,
empresas, agencias u otros organismos que efectúen
tratamientos de datos personales), y de los datos (calidad
del dato, seguridad técnica)
• Un procedimiento de protección de datos que involucre
mecanismos y autoridades que efectivicen la protección de
la información.
• El país al que se transfiera los datos no podrá proporcionar
un nivel de protección inferior al contemplado en Colombia
Protección de datos en
transferencias internacionales
En desarrollo de lo anterior, la SIC estableció los siguientes
estándares de protección del país receptor de la información
personal:
• a) Existencia de normas aplicables al tratamiento de datos
personales.
• b) Consagración normativa de principios aplicables al
Tratamiento de datos
• c) Consagración normativa de derechos de los Titulares.
• d) Consagración normativa de deberes de los Responsables
y Encargados.
• e) Existencia de medios y vías judiciales y administrativas
para garantizar la tutela efectiva de los derechos de los
Titulares y exigir el cumplimiento de la ley.
• f) Existencia de autoridades públicas encargadas de la
supervisión, del cumplimiento de la legislación aplicable y de
la protección de los derechos de los titulares.
Circular Única SIC

3.3. Declaración de conformidad

• Parágrafo: Cuando los Responsables del Tratamiento, que a efectos de cumplir con el
principio de responsabilidad demostrada, suscriban un contrato con el Responsable del
Tratamiento destinatario de los datos o implementen otro instrumento jurídico mediante el
cual señalen las condiciones que regirán la transferencia internacional de datos personales y
mediante las cuales garantizarán el cumplimiento de los principios que rigen el tratamiento,
así como de las obligaciones que tienen a cargo, se presumirá que la operación es viable y que
cuenta con Declaración de Conformidad.
• En consecuencia, los Responsables del Tratamiento podrán realizar dicha transferencia, previa
comunicación remitida a la Delegatura para la Protección de Datos Personales de la
Superintendencia de Industria y Comercio, mediante la cual informen sobre la operación a
realizar y declaren que han suscrito el contrato de transferencia u otro instrumento jurídico
que garantice la protección de los datos personales objeto de transferencia, lo cual podrá ser
verificado en cualquier momento por esta Superintendencia y, en caso de que se evidencie un
incumplimiento, podrá adelantar la respectiva investigación e imponer las sanciones que
correspondan y ordenar las medidas a que haya lugar.
 • La obligación que tienen los Responsables y Encargados
¿Qué es la del tratamiento de datos en Colombia de demostrar la
implementación de medidas efectivas e idóneas para
responsabilidad garantizar el respeto de los derechos de los titulares de
datos
demostrada o • Las políticas internas efectivas deben garantizar:
Accountability? 1. Una estructura administrativa proporcional a la
estructura y tamaño empresarial del responsable
para la adopción e implementación de políticas
2. La adopción de mecanismos internos para poner
en práctica estas políticas (herramientas de
implementación, entrenamiento y programas de
educación)
3. La adopción de procesos para la atención y
respuesta a consultas, peticiones y reclamos de
los Titulares
• Estas condiciones serán tenidas en cuenta al momento
de evaluar la imposición de sanciones por violación a los
deberes y obligaciones establecidos en la ley.
 Ley 2300 de 2023

• Ámbito de aplicación: A todas las personas naturales y jurídicas

que adelanten gestiones de cobranzas de forma directa, por medio de
terceros o por cesión de la obligación o a las relaciones comerciales
entre los productores y proveedores de bienes y servicios privados o
públicos y el consumidor comercial
• Sólo se podrá contactar a los consumidores mediante los canales que
estos autoricen para tal efecto, los cuales deberán ser informados y
socializados previamente
• No se les podrá contactar mediante varios canales dentro de una
misma semana ni en más de una ocasión durante el mismo día.
• Horario: de lunes a viernes de 7:00 am a 7:00 pm y sábados de 8:00
am a 3:00 pm. NO se puede contactar los domingos y festivos.
• Manifestación expresa para ser contactados en otros horarios
Recomendaciones frente a la
Ley 2300 de 2023

Alinear a los actores internos de la organización

Asegurarse de ofrecer a los Titulares los mecanismos eficaces para la selección de sus
canales de preferencia

Autoregulación de la organización en demostración del cumplimiento del principio de

Accountability

Revisar los canales de atención a PQRs con el fin de dar una respuesta oportuna y
adecuada a los Titulares – Capacitación de los equipos
 Medidas
preventivas Al diseñar estrategias de prevención y contención:

en la • ¿Quién cumple el rol de OPD?

• ¿El PIGDP ha sido divulgado y es conocido por el equipo de trabajo?

organización • Si se crea un comité de atención de incidentes, involucrar siempre al OPD

y/o al área que se encargue de datos personales. Hacerlo
interdisciplinario.

frente al • ¿Existe un protocolo de atención de incidentes que tenga en cuenta los

temas de datos personales?

PIGDP
Capacitación:
• Área TI
• Área jurídica
• Área comunicaciones
• Servicio al cliente
• Talento humano
 ¿Qué son?
• Se refiere a la violación de los códigos de
seguridad o la pérdida, robo y/o acceso no
autorizado de datos personales de una base de
datos administrada por el Responsable del
Incidentes Tratamiento o por su Encargado.

de Causas
• Inexistencia de políticas preventivas de
seguridad seguridad
• Errores o negligencia humana
• Casos fortuitos
• Actos maliciosos o criminales
• Fallas en los sistemas de la organización
• Procedimientos defectuosos
 Incidentes de seguridad
¿Qué hacer ante la sospecha de un incidente?

1. Tener claridad sobre los hechos:

•¿Qué sucedió?
•¿A quién le sucedió?
•¿Cómo se enteró?
•¿En qué fecha(s) y durante cuánto tiempo?
•¿Qué tipo de datos están involucrados?

2. Comunicarlo oportunamente a las

personas indicadas:
• Jefe inmediato
• Área Legal / OPD
 ¿Qué es un protocolo de respuesta en el
manejo de incidentes de seguridad?
• Es un marco general que incorpora roles, responsabilidades y acciones que deben ser
desplegadas al interior de las organizaciones para gestionar un incidente de seguridad
• Debe ser documentado, implementado, comunicado y monitoreado.

¿Qué debería incluir el protocolo?

• Una explicación clara de lo que constituye un incidente de seguridad.
• Una estrategia para identificar, contener y mitigar los incidentes de seguridad. Consitente en:

Los roles Linea de Evaluación de Acciones y

Reporte
y responsabilidades tiempo de respuesta lecciones Revisión y cierre
de progreso
del personal ejecución y causas aprendidas
Pasos para
responder a
un incidente
de seguridad
PUNTOS CLAVE A TENER EN CUENTA

• Debida diligencia en la selección de encargados, incluyendo su

PIGDP.
• Contratos con encargados: contenido, roles y responsabilidades,
seguimiento.
• Ante el incidente:
• Comunicaciones – claridad, empatía, reputación
• Tecnología
• Datos personales
• Celeridad – Protocolos claros e implementados
• Contratos claros
• Canales de comunicación con clientes y usuarios.
RESPONSABILIDAD Y
SANCIONES
 ALGUNAS SANCIONES RELEVANTES

“Campaña Amigos que te

premian” Violó el principio de confidencialidad cuando
Por el indebido uso de datos uno de sus empleados divulgó indebidamente
personales sin autorización para más de 324 datos personales privados
campaña publicitaria, fue (correo electrónico sin copia oculta)
sancionada con y fue sancionada con una suma de
COP 207.029.000
una suma de COP 1.306.289.600 CLARO COMFENALCO

Se vulneraron los derechos MARKETING Por no conservar evidencia

fundamentales de protección de BANCOLOMBIA PERSONAL de la autorización otorgada por el
datos y de petición del titular S.A. Titular y no rectificar la información
cuando no se respondió una solicitud previo reporte ante las centrales de
de supresión de la información dentro riesgo, en un caso de suplantación
de los siguientes quince (15) días hábiles a fue sancionada con una suma de
su realización; siendo sancionada con una COP 150.315.120 equivalente a
suma de COP 165.623.200 equivalente 150 SMMLV.
a 166 SMMLV
 LEY 1273 DE 2009

• POR MEDIO DE LA CUAL SE MODIFICA EL CÓDIGO PENAL, SE CREA UN

NUEVO BIEN JURÍDICO TUTELADO – DENOMINADO: ​

“De la Protección de la información y de los datos”

 LEY 1273 DE 2009
Artículo Tipificación Modalidad Modo
Acceso Físico
desde el equipo
1. Ingeniería Soci
ACCESO ABUSIVO A UN o
al. 2. Software
SISTEMA INFORMÁTICO. terminal directa
Malicioso.
El que, sin autorización o por fuera de lo acordado, mente afectado
3. Phishing.
acceda en todo o en parte a un sistema informático
269A 4. Vishing.
protegido o no con una medida de seguridad, o se
5. Smishing.
mantenga dentro del mismo en contra de la
Acceso 6. SIM SWAP.
voluntad de quien tenga el legítimo derecho
Remoto. 7. Explotación de
a excluirlo
Vulnerabilidades.
 LEY 1273 DE 2009
Artículo Tipificación Modalidad Modo

Impedir (Supone la
inutilización absoluta
OBSTACULIZACIÓN ILEGÍTIMA DE del sistema, los datos 1. Ransomware de
SISTEMA INFORMÁTICO O RED DE o la red de bloqueo o de
TELECOMUNICACIÓN. telecomunicaciones). cifrado.
El que, sin estar facultado para ello, impida 2. Ataque DoS.
269B
u obstaculice el funcionamiento o el acceso 3. Ataque DDoS.
normal a un sistema informático, a los Obstaculizar 4. Botnet.
datos informáticos allí contenidos, o a una (Supone la 5. Ataque DNS.
red de telecomunicaciones inutilización parcial 6. Buffer Overflow.
del sistema, los datos
o la red de
telecomunicaciones).
 LEY 1273 DE 2009
Artículo Tipificación Modalidad Modo

1. Se realiza por
INTERCEPTACIÓN DE DATOS
Interceptación de datos medios electrónicos,
INFORMÁTICOS. personales (sensibles, informáticos,
El que, sin orden judicial previa intercepte privados o ópticos, magnéticos.
datos informáticos en su origen, destino o semiprivados) 2. Trojanos
269C
en el interior de un sistema informático, o o impersonales (Banker).
las emisiones electromagnéticas provenient (aquellos no referidos a 3. Ataque MitB Man
es de un sistema informático que los personas pero que no in the browser.
trasporte 4. Ataque MitM Man
resultan anónimos).
in the middle.
 LEY 1273 DE 2009
Artículo Tipificación Modalidad Modo
Daño informático o lógico
propiamente dicho sobre 1. Defacement.
datos, sistemas 2. Software Malicioso.
DAÑO INFORMÁTICO. de tratamiento 3. Inyección de
El que, sin estar facultado de información código.
para ello, destruya, dañe, o componentes o soportes 4. Daño físico de
borre, deteriore, altere lógicos del sistema. equipos, partes o
269D
o suprima datos informáticos, componentes de un
o un sistema de tratamiento sistema de
de información o sus partes o información.
Daño físico sobre
componentes lógicos, 5. Alteración, borrado o
infraestructura informática
destrucción de
(Hardware).
Información.
 LEY 1273 DE 2009
Artículo Tipificación Modalidad Modo

USO DE SOFTWARE
MALICIOSO.
Desarrollo de software
El que, sin estar facultado
malicioso.
para ello, produzca, trafique,
adquiera, distribuya,
269E Uso de software malicioso. 1. Software Malicioso.
venda, envíe, introduzca o
extraiga del territorio nacional
Distribución de software
software malicioso u otros
malicioso.
programas de computación de
efectos dañinos
 LEY 1273 DE 2009
Artículo Tipificación Modalidad Modo

VIOLACIÓN DE DATOS
PERSONALES. 1. Ingeniería Social.
Vulneración de la
El que, sin estar facultado para ello, con 2. Software
Confidencialidad,
provecho propio o de un tercero, Malicioso.
Integridad y/o
obtenga, compile, sustraiga, ofrezca, 3. Phishing.
269F Disponibilidad de datos
venda, intercambie, envíe, compre, 4. Vishing.
personales contenidos en
intercepte, divulgue, modifique p emple 5. Smishing.
cualquier medio
e códigos personales, datos personales 6. Explotación de
informático.
contenidos en ficheros, archivos, bases Vulnerabilidades.
de datos o medios semejantes
 LEY 1273 DE 2009
Artículo Tipificación Modalidad Modo

SUPLANTACIÓN DE SITIOS WEB PARA

CAPTURAR DATOS PERSONALES.
El que con objeto ilícito y sin estar facultado para
1. Falsedad de
ello, diseñe, desarrolle, trafique, venda, ejecute,
identidad Virtual.
programe o envíe páginas electrónicas, enlaces o
Desarrollo, 2. Phishing.
ventana emergentes
Implementación, 3. Vishing.
269G Comercialización o 4. Smishing.
En la misma sanción incurrirá el que modifique el
Utilización de 5. Explotación de
sistema de resolución de nombres de dominio, de
sitios web. Vulnerabilidades.
tal manera que haga entrar al usuario a una IP
6. Ingeniería
diferente en la creencia de que acceda a su banco
Social.
o a otro sitio personal o de confianza, siempre que
la conducta no constituya delito sancionado con
pena más grave.
 LEY 1273 DE 2009
Artículo Tipificación Modalidad Modo

Hurto por medios informáticos y

semejantes Apropiarse de un bien
El que, superando medidas de superando medidas de 1. Ingeniería Social.
seguridad informáticas, realice la seguridad informáticas. 2. Software Malicioso.
conducta señalada en el artículo 3. Phishing.
239 manipulando un sistema 4. Vishing.
269I
informático, una red de sistema 5. Smishing.
electrónico, telemático u otro medio 6. SIM SWAP.
semejante, o suplantando a un Apropiarse de un bien 7. Explotación de
usuario ante los sistemas de suplantando a un usuario Vulnerabilidades.
autenticación y de autorización ante los sistemas de
establecidos autenticación.
 LEY 1273 DE 2009
Artículo Tipificación Modalidad Modo

Transferencia no Consentida de
1. Ingeniería Social.
Activos
2. Software Malicioso.
El que, con ánimo de lucro y valiéndose de
3. Phishing.
alguna manipulación informática o artificio
Transferencias NO 4. Vishing.
269J semejante, consiga la transferencia no
consentidas. 5. Smishing.
consentida de cualquier activo en perjuicio
6. SIM SWAP.
de un tercero, siempre que la conducta no
7. Explotación de
constituya delito sancionado con pena más
Vulnerabilidades.
grave
LEY 1273 DE 2009

Mínimo y
máximo de
los delitos

Pena de
Multa: 100 a
prisión: 36 a
1500 SMLMV
120 meses
Inteligencia
Artificial
Conceptos
relevantes
 La Inteligencia Artificial y
la sociedad digital en nuestros tiempos
 LA NORMATIVA EN PROTECCIÓN DE DATOS PERSONALES Y SU PAPEL
PRECURSOR EN LAS INICIATIVAS REGULATORIAS PARA LA INTELIGENCIA
ARTIFICIAL

• La normativa en Privacidad y
Protección de Datos Personales se
encuentra en un nivel más avanzado
de desarrollo que la regulación de la
IA.

• Esta normativa resulta ser

una herramienta muy útil para
afrontar los retos de la IA, esto dado
el tratamiento intensivo de Datos
Fuerte Personales que se realiza en el
Robusta entrenamiento y uso de la IA.
Moderada
Limitada
Tomado de: https://www.dlapiperdataprotection.com/index.html?t=world-map&c=VE
 ESTADO ACTUAL DE LA REGULACIÓN DE LA INTELIGENCIA ARTIFICIAL.
PRINCIPALES ACTORES E INICIATIVAS

UE
• Libro Blanco sobre la Inteligencia
Artificial, 2020 EEUU
• Ley de Inteligencia Artificial (2024) Modelo para Carta de derechos
relacionados con la IA (Blueprint
for an AI Bill of Rights), 2022

Canadá
Propuesta de Ley de China
Inteligencia Artificial y Normativa provisional
Datos (AIDA) 2022 de regulación de la Inteligencia
Artificial (IA), 2023

Escuela Javeriana de Gobierno y Ética Pública

 ESTADO ACTUAL DE LA REGULACIÓN DE LA INTELIGENCIA ARTIFICIAL.
PRINCIPALES ACTORES E INICIATIVAS

OCDE Principios sobre Inteligencia

Artificial, 2019

UNESCO
Red
Iberoamericana Recomendación sobre la
de Protección de Ética de la Inteligencia
Datos
Recomendaciones generales Artificial, 2021
para el Tratamiento de Datos
en la Inteligencia Artificial,
2019

Escuela Javeriana de Gobierno y Ética Pública

 ESTADO ACTUAL DE LA REGULACIÓN DE LA INTELIGENCIA ARTIFICIAL.
PRINCIPALES ACTORES E INICIATIVAS

Colombia
• Política Nacional para la Transformación Digital
e Inteligencia Artificial - CONPES 3975, 2019
• Marco ético para la Inteligencia Artificial, Otros Proyectos:
Departamento Administrativo de la Presidencia • Perú (Aprobado)
de la República, 2020 • Brasil
• Argentina
• Proyectos de Ley 059 de 2023, 091 de 2023, • México
200 de 2023, 130 de 2023 y 225 de 2024. • Chile

Escuela Javeriana de Gobierno y Ética Pública

Riesgos en el uso de la
inteligencia artificial: Éticos
Generación de resultados sesgados o discriminatorios

Ausencia de neutralidad de la Inteligencia Artificial

Falta de transparencia respecto del uso de la información por

parte de la Inteligencia Artificial (Caja negra del algoritmo)

Exceso de confianza en el uso de las herramientas de Inteligencia

Artificial e impacto adverso en el comportamiento humano

Responsabilidad sobre la IA en situaciones de peligro

Datos Personales Datos Personales
de calidad recolectados a
usados en el través del uso de Rastreo y nivel
entrenamiento la herramienta intrusivo de
inicial de la de Inteligencia vigilancia
Inteligencia Artificial
Artificial

Riesgos en el uso de la
Riesgos en el uso de la inteligencia
inteligencia artificial: Privacidad
artificial: privacidad
 Imposibilidad de extraer
y/o eliminar los Datos
Perfilamiento y una vez han sido
manipulación de la integrados en el
información aprendizaje de la
herramienta de
Inteligencia Artificial

Riesgos en el uso de la
Riesgos en el uso de la inteligencia
inteligencia artificial: Privacidad
artificial: privacidad
 Propiedad Intelectual

Violación de Acuerdos y de la
Riesgos en Confidencialidad

Riesgos
el uso deenla Revelación de
información
confidencial por parte Violación del régimen de
Protección de Datos Personales
elinteligencia
de la organización y/o
uso de la sus funcionarios

artificial: Competencia
inteligencia
Legales
Desleal

artificial: • Plagio
• Difamación
Legales • Responsabilidad por
uso incorrecto o
errores de la
Inteligencia Artificial
• Violación de
Derechos
Fundamentales
 Riesgos en el uso de la inteligencia
Riesgos en el uso de la
artificial: Seguridad de la información
inteligencia artificial: Seguridad

Suplantación de Ciberataques y
explotación de
identidad y fraudes vulnerabilidades

Filtración de Datos Desinformación y

Personales compartidos manipulación
 Retos regulatorios

Manipulación del comportamiento, clasificación

social, vigilancia masiva, entre otros.
PROHIBIDO
Acceso al empleo, educación y servicios RIESGO
públicos, componentes de seguridad de EVALUACIÓN DE
ALTO
los vehículos, aplicación de la ley CONFORMIDAD
Suplantación, chatbots, reconocimiento de RIESGO
emociones, categorización biométrica, deep OBLIGACIÓN DE
fake
LIMITADO
TRANSPARENCIA
Riesgos residuales o restantes RIESGO
MÍNIMO
 PUNTOS A CONSIDERAR FRENTE A LA REGULACIÓN E IMPLEMENTACIÓN DE
LA INTELIGENCIA ARTIFICIAL

• Reacción oportuna y previsión ante nuevos escenarios y desarrollos

tecnológicos
• Generación de normas flexibles que se ajusten a los cambios sociales y
económicos generados por la Inteligencia Artificial
• Articulación de las diferentes Autoridades para regulación y entendimiento
común sobre la Inteligencia Artificial
• Definición de una autoridad encargada de la gobernanza y supervisión de la
implementación de la Inteligencia Artificial

Escuela Javeriana de Gobierno y Ética Pública

Conclusiones
• Nuestra cultura como país y como región debe hacer parte de la discusión y del
diseño de estas herramientas. No se trata de aceptar y adoptar sin criterio las
herramientas y regulaciones que vienen de otros países.

• Se requiere un rol activo de autoridades y organizaciones con el fin de que las

personas entiendan las ventajas y riesgos del uso de IA.

• Aplicación de principios de no opacidad, claridad, transparencia, accountability,

derecho de acceso y gestión del ciudadano.

• Es importante contar con indicadores que nos informen acerca de quiénes usan
herramientas, con qué finalidades y qué resultados arroja su implementación.

• La generación de políticas y regulación alrededor de la Inteligencia Aritificial

necesita contar con una métrica que permita medir su impacto en la colectividad.
 Contacto
https://vanegasmorales.com/

¡GRACIAS!
Vanegas Morales Consultores

[email protected]

@VMConsultoresCO