La noción de protección de datos en Colombia nace a partir de la Constitución de 1991. en esta se empieza a tratar esta problemática y a partir de este momento es que el congreso colombiano empieza a expedir leyes al respecto. En primera instancia la corte constitucional realiza el cierre para la jurisprudencia nacional.

Esta ley es la primera que establece el Habeas data en Colombia. Legisla el derecho que tienen los ciudadanos a conocer, actualizar y rectificar la información personal que distintas entidades hayan recogido sobre ellos. Sin embargo, esta ley sólo tiene en cuenta lo relacionado al habeas data financiero.^[2]​^[3]​ En esta época también surge, junto a esta ley, el primer acercamiento del gobierno a la penalización de los crímenes informáticos. Nace la Ley 1273 de 2009.^[4]​

Esta ley incluye la normativa general de la información natural de las personas. También se incluye la definición de datos de tipo sensible y la jurisprudencia de los datos de niños niñas y adolescentes. Así mismo en 2013 se establece el órgano administrativo encargado de estas nuevas facultades. La institución encargada es el Ministerio de Comercio, Industria y Turismo y la 'Superintendencia de Industria y Comercio.^[1]​^[5]​

Actualmente la ley que rige la protección de datos es la Ley 1581 de 2012.

• Legalidad en materia de tratamiento de datos
• Finalidad
• Libertad
• Veracidad o calidad
• Transparencia
• Acceso y circulación restringida
• Seguridad
• Confidencialidad

Datos Sensibles

Estos datos enmarcan todos aquellos que involucren:

• La intimidad del titular.
• Datos cuyo uso indebido puede causar discriminación.
• Datos que revelen origen de raza y etnia.
• Orientación política.
• Convicciones religiosas y/o filosóficas.
• Pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político.
• Los derechos y garantías de partidos políticos de oposición.
• Relativos a la salud, a la vida sexual y los datos biométricos.^[6]​

Datos de niños, niñas y adolescentes

Es deber del Estado y las instituciones educativas dar la información y la capacitación de los representantes legales y tutores acerca de lo relacionado con los riesgos que se enfrentan los menores de edad frente al tratamiento indebido de sus datos personales. También deben proveer información sobre el uso responsable y seguro de sus datos personales, así como las leyes que los protegen.

Derechos de los titulares

El titular de los datos personales tiene los siguientes derechos sobre su información:

• Conocer, actualizar y rectificar sus datos.
• Solicitar pruebas de la autorización, exceptuando los casos que especifica la ley.
• Tener información sobre el uso que se le dan a sus datos, se debe solicitar previamente.
• Presentación de quejas frente a la Superintendencia de Industria y Comercio por infracciones a esta ley, o sus posibles modificaciones.
• Solicitar la revocatoria de los datos o su suspensión si el tratamiento de estos va en contra de la ley estipulada.
• Solicitar sus datos gratuitamente.

Autorización del titular

El titular de los datos debe dar su consentimiento informado previamente al tratamiento de los datos. Este consentimiento se debe dar por cualquier medio, siempre y cuando pueda ser consultado posteriormente.

Casos en que no se necesita autorización

En estos casos no será necesario la autorización previa del titular:

• Cuando los datos sean requeridos por una entidad pública o administrativa por ejercicio de funciones legales u orden judicial.
• Cuando los datos tienen naturaleza pública.
• Urgencia médica o sanitaria.
• Cuando está autorizado por la ley con fines científicos, estadísticos o históricos.
• Registro Civil.

En caso de acceder a los datos de una persona sin su autorización, la entidad deberá enfrentar el proceso contenido por la presente ley.

Suministro de la información

La información podrá ser suministrada por cualquier medio, así lo disponga el titular, y debe ser de fácil lectura, sin trabas ni tecnicismos que obstaculicen su acceso.

Deber de informar al titular

El responsable del tratamiento de los datos debe informar al titular:

• La finalidad y el tratamiento que se le darán a sus datos.
• Si las preguntas tienen relación con datos sensibles o sobre menores de edad se debe hacer explícito su carácter facultativo.
• Los derechos que tiene como titular.
• La información de contacto del responsable del tratamiento de los datos.

Personas a quienes se les puede suministrar información

• A los titulares, sucesores o sus representantes legales.
• Entidades públicas que estén bajo cumplimiento de funciones legales u orden judicial.
• A terceros autorizados por la ley o el titular mismo.

Consultas

El titular de los datos puede consultar toda la información en cualquier momento, sea la entidad tratante pública o privada. La entidad debe responder a la consulta en los siguientes 10 días hábiles. Esta consulta se realizará según el medio que desee el tratante de los datos.

Reclamos

Los reclamos se harán dirigidos al encargado del tratamiento de los datos. Se harán siempre que el titular considere que los datos deben modificarse, actualizarse o el cese de su tratamiento. El encargado del tratamiento de los datos tiene un plazo máximo de 15 días hábiles para responder el trámite. Este tendrá un plazo de respuesta por parte del titular de 2 meses al momento de hacer el reclamo, si después de este tiempo el titular no responde se entenderá que desistió del reclamo. Las quejas o reclamos sólo se podrán hacer ante la Superintendencia de Industria y Comercio una vez se haya vencido el plazo de respuesta del tratante de los datos.

El encargado de la vigilancia y aseguramiento de que los datos personales se tratan de manera que se respeten todo lo establecido en la presente ley es la Superintendencia de Industria y Comercio. Es esta quien impondrá las sanciones a los encargados del tratamiento de los datos cuando estos no cumplan con lo estipulado por la ley. Las sanciones que se pueden otorgar según la gravedad de la falla son:

• Multas personales e institucionales. Estas pueden ser sucesivas si el incumplimiento persiste.
• Suspensión de las actividades relacionadas con el Tratamiento.
• Cierre temporal de las operaciones relacionadas con el Tratamiento.
• Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.

Estas medidas sólo aplican para personas privadas, en caso de que una persona pública necesite sanción, será la Procuraduría General de la Nación el encargado de llevar el caso.^[5]​

Los datos de una persona pueden transferirse a un país tercero siempre y cuando cumpla con los estándares de cuidado en el tratamiento de datos. Los datos podrán ser transferidos si y sólo si:

• El titular lo haya autorizado expresamente.
• Se hace por razones médicas.
• Se trate de operaciones bancarias o bursátiles.
• Se encuentre en un Tratado Internacional en el cual Colombia es miembro.
• Justifique la seguridad del interés público o a la defensa de un proceso judicial.^[7]​

• Portal: Derecho. Contenido relacionado con Derecho.
• Habeas data.
• Autodeterminación informativa.
• Constitución de Colombia.
• Reglamento General de Protección de Datos.