La Superintendencia de Industria y Comercio (SIC) impuso una multa al Banco Davivienda por infracciones a la ley de protección de datos personales. La sanción, de primera instancia, asciende a $268.006.400. Esta decisión se tomó mediante la Resolución 47347 de 2025 del 18 de julio de 2025. Davivienda informó sobre la multa a través de su mecanismo de información relevante, indicando supuestas vulneraciones a la Ley 1581 de 2012 y el Decreto 1074 de 2015.

Según el banco, esta sanción responde a “un hecho aislado de un exfuncionario”, aunque la entidad no precisó mayores detalles sobre el incidente. Davivienda enfatizó que la sanción no se encuentra en firme y que, a través de su equipo jurídico, interpondrá los recursos legales necesarios contra la decisión proferida por el regulador. Esto indica que el proceso legal aún está en curso.

La Ley 1581 de 2012 es el marco general en Colombia para la protección de datos personales. Esta norma se deriva del derecho fundamental al habeas data. Define qué se entiende por dato personal, dato sensible y tratamiento de datos. Además, fija los principios que deben regir cualquier actividad relacionada con la recolección, almacenamiento, uso o circulación de información personal. Reconoce a los titulares derechos como conocer, actualizar, rectificar y suprimir sus datos, así como revocar la autorización de uso cuando lo consideren necesario.

Claves de la normativa y obligaciones para las empresas

Por su parte, el Decreto 1074 de 2015 complementa la Ley 1581. Regula aspectos prácticos y establece obligaciones específicas para empresas y entidades que manejan datos personales. Define los contenidos mínimos de las políticas de tratamiento de datos y los procedimientos para atender consultas y reclamos. También determina las condiciones para la transferencia y transmisión internacional de datos, buscando un nivel adecuado de protección.

Estas normas buscan asegurar que el tratamiento de datos personales en Colombia sea transparente, seguro y respetuoso de los derechos ciudadanos. Obligan a los responsables y encargados del tratamiento a adoptar medidas técnicas y administrativas de seguridad. Además, deben inscribir sus bases de datos en el Registro Nacional, si aplica, y responder oportunamente a solicitudes de titulares.

Los bancos, como responsables del tratamiento de datos, deben cumplir con principios de legalidad, finalidad, libertad, veracidad, transparencia, acceso restringido, seguridad y confidencialidad. Solo pueden recolectar y usar datos personales con autorización previa, expresa e informada del titular, salvo excepciones legales, como requerimientos judiciales o administrativos. Este caso pone de manifiesto la importancia de reforzar los mecanismos de seguridad y control en todas las entidades.