Heidy Balanta
Consultora y docente en Protección de Datos Personales
hb@escueladeprivacidad.com

A partir de las dos iniciativas legislativas en curso en materia de actualización del régimen normativo de protección de datos personales, el consentimiento deja de ocupar el lugar exclusivo dentro del régimen de protección de datos. Se transforma en una base legal más, coexistiendo con otras alternativas igualmente válidas, como el cumplimiento de obligaciones contractuales, el interés legítimo o el deber legal,  que buscan dar mayor realismo y eficacia al marco normativo. En otras palabras,  el consentimiento ya no será el “requisito rey” al que todo debía adaptarse, sino una opción dentro de un conjunto más amplio de fundamentos jurídicos para legitimar el tratamiento de datos personales.

Hay consenso generalizado en que el régimen normativo de protección de datos personales en Colombia se debe actualizar. Varias voces, reiterativas y con razón, manifiestan que una reforma a este régimen es incluso de mayor relevancia que los propios proyectos de ley sobre inteligencia artificial. Pues los datos, en especial los datos personales, tienen un valor estratégico para todas las industrias.

Actualmente, cursan dos proyectos de ley en la materia. Por un lado, el Proyecto de Ley 214 de 2025, de inciativa del Congreso, y por otro lado, el Proyecto de Ley 274 de 2025, presentado por el Gobierno. Ambos proyectos denotan un esfuerzo por actualizar el régimen de protección de datos. El del Congreso tiene un fuerte enfoque en la norma europea de protección de datos (RGPD), y el del Gobierno también incorpora elementos del RGPD, pero se decanta por fortalecer las figuras existentes en Colombia.

Hay varios aspectos relevantes para resaltar de ambos proyectos, sin embargo, quiero detenerme en uno: las bases legales para el tratamiento de datos personales. Actualmente, Colombia tiene una única base legal expresamente reconocida para el tratamiento de datos personales: la autorización y/o consentimiento (Ley 1581 de 2012, art. 9), el resto son excepciones (Ley 1581 de 2012, art. 10). Esto ha traído muchos problemas. El consentimiento, que debe ser libre, previo y expreso, en la práctica no tiene nada de libre. Las empresas, por temor a incumplir la ley o a recibir una sanción por no obtener la autorización, lo vuelven obligatorio casi en todos los casos. Así, no cumple su función. Como titulares, muchas veces nos vemos obligados a aceptar tratamientos que nos parecen desproporcionados.

En ambos proyectos de ley, se entiende que los tratamientos de datos son legítimos si se utilizan algunas de estas bases legales:

- Sea necesario para el ejercicio de las funciones legales o constitucionales de las autoridades públicas, siempre que se realice en el marco de sus funciones, y según lo establecido en la Constitución y en la ley.

- Sea necesario para el cumplimiento de un deber constitucional o legal exigible al responsable del tratamiento.

- Sea necesario para el cumplimiento de obligaciones nacidas de un negocio jurídico celebrado por el titular, para la ejecución de un contrato en el que el titular es parte o para la aplicación, a petición de este, de medidas precontractuales.

- Sea necesario para proteger la vida o la salud del titular o de otra persona natural.

- Esté precedido de la autorización previa, libre, informada, específica para uno o varios fines, e inequívoca del titular de los datos personales.

- El interés legítimo (esta última no fue incorporada por el proyecto de ley presentado por el Gobierno).

Si se observa, algunas de estas bases legales se encuentran actualmente  como excepciones en el artículo 10 de la Ley 1581 de 2012.

¿Por qué nos debe importar?

Porque el cambio sería radical: el consentimiento dejará de ser la puerta de entrada obligatoria para cualquier tratamiento de datos. Si lo que se debe cumplir es una obligación contractual, y ese cumplimiento exige tratar datos personales, entonces el consentimiento no será la base legal adecuada. En su lugar, la legitimidad del tratamiento estará sustentada en el cumplimiento de obligaciones nacidas de un negocio jurídico celebrado por el titular, en la ejecución de un contrato en el que participa o en la aplicación de medidas precontractuales a su petición. Es decir, el tratamiento se vuelve un requisito natural del vínculo contractual, y no un favor que el titular hace con la firma de autorización. Esta misma lógica se debe aplicar a los tratamientos que se deben soportar en las otras bases legales.

Otra base legal: el cumplimiento de un deber constitucional o legal exigible al responsable del tratamiento. Aunque la Corte Constitucional ya lo había reconocido de facto (Sentencia C-032 de 2021),  y así lo establece el principio de libertad (literal  c), del artículo 4º de la Ley 1581 de 2012), ahora se consagra de manera expresa en la ley, cerrando la puerta a interpretaciones restrictivas y dando más certeza jurídica.

Finalmente, emerge un debate fuerte en torno al interés legítimo. Este fundamento ha sido recogido por el proyecto del Congreso, pero no por el del Gobierno, lo que muestra las diferencias de enfoque entre ambas iniciativas. En la práctica, el interés legítimo permitiría que, cuando ninguna otra base legal justifique el tratamiento de datos, el responsable pueda apoyarse en este fundamento, siempre que realice un ejercicio riguroso de ponderación frente a los derechos del titular. Sin embargo, esta figura tiene carga pesada: en varios países ha sido criticada por prestarse a abusos. Basta recordar casos como el de Facebook, que invoca el interés legítimo para entrenar sus modelos de inteligencia artificial con los datos de millones de usuarios.

La introducción de estas nuevas bases legales supone un cambio de paradigma en la justificación del tratamiento de datos personales. El camino legislativo es incierto, pero lo que está en juego no es menor: de aprobarse, Colombia podría pasar de un régimen rígido y formalista a uno más realista y flexible, aunque con nuevos riesgos de abuso y tensiones éticas. En cualquier caso, lo que se decida marcará las reglas de juego para la economía de los datos en los próximos años.  

Siga nuestro canal de WhatsApp

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.