Compartir esta página:
25
Junio
2026

¿Qué son los Incidentes de Seguridad y Cuándo Deben Reportarse ante la SIC en Colombia?

Incidentes de seguridad de datos personales: cuándo reportarlos ante la SIC en Colombia

La protección de datos personales se ha convertido en una prioridad para las empresas que administran información de clientes, empleados, proveedores y usuarios. Sin embargo, muchas organizaciones consideran que un incidente de seguridad únicamente ocurre cuando existe un ataque informático sofisticado o un robo masivo de información.

La realidad es diferente. La normativa colombiana en materia de protección de datos personales contempla múltiples situaciones que pueden comprometer la seguridad de la información y que generan obligaciones específicas de gestión y reporte ante la Superintendencia de Industria y Comercio (SIC).

Por esta razón, las empresas deben conocer qué constituye un incidente de seguridad, cuándo debe reportarse y cuáles son las consecuencias de su incumplimiento.

¿Por qué los incidentes de seguridad son un tema crítico para las empresas?

La información personal constituye uno de los activos más valiosos de cualquier organización. La pérdida, alteración, divulgación o acceso no autorizado a los datos personales puede generar consecuencias jurídicas, económicas y reputacionales de gran impacto.

Además de afectar la confianza de clientes, empleados y usuarios, un manejo inadecuado de un incidente de seguridad puede derivar en investigaciones administrativas y sanciones por parte de la SIC.

Por ello, la gestión de incidentes debe formar parte de las estrategias de cumplimiento normativo y gobierno corporativo de las organizaciones.

¿Qué es un incidente de seguridad de datos personales?

Un incidente de seguridad corresponde a cualquier situación que afecte la confidencialidad, integridad o disponibilidad de los datos personales administrados por una empresa.

En otras palabras, se configura un incidente cuando la información personal es utilizada, modificada, divulgada, perdida o accedida de manera no autorizada, o cuando se presentan eventos que comprometen la seguridad de los datos bajo responsabilidad de la organización.

La identificación oportuna de estos eventos resulta fundamental para mitigar riesgos y cumplir las obligaciones regulatorias previstas en la legislación colombiana.

Ejemplos frecuentes de incidentes de seguridad.

Entre los incidentes de seguridad más comunes se encuentran:

  • Pérdida de computadores o dispositivos que contienen información de clientes o empleados.
  • Acceso no autorizado a bases de datos.
  • Envío erróneo de información personal a terceros.
  • Robo de información de empleados, usuarios o clientes.
  • Filtración de bases de datos.
  • Ataques cibernéticos o infecciones por malware.
  • Uso indebido de credenciales de acceso.
  • Exposición de documentos con datos personales en medios no autorizados.

Aunque algunos de estos eventos puedan parecer menores, todos deben ser evaluados jurídicamente para determinar las obligaciones de gestión y reporte correspondientes.

¿Cuándo deben reportarse los incidentes de seguridad ante la SIC?

De conformidad con el numeral 2.3.1. del Capítulo Segundo del Título V de la Circular Única de la Superintendencia de Industria y Comercio, los incidentes de seguridad deben reportarse dentro de los quince (15) días hábiles siguientes al momento en que sean detectados y puestos en conocimiento de la persona o área encargada de atenderlos.

Esta obligación implica que las empresas deben contar con procedimientos internos que permitan:

  • Identificar oportunamente los incidentes relacionados con datos personales.
  • Documentar los hechos ocurridos.
  • Escalar el incidente a las áreas responsables.
  • Evaluar los riesgos jurídicos asociados.
  • Gestionar oportunamente el reporte ante la SIC.

La ausencia de protocolos internos puede ocasionar que la organización incumpla los plazos establecidos por la autoridad de protección de datos.

¿Qué riesgos existen si no se reportan los incidentes de seguridad?

La omisión del reporte de un incidente de seguridad puede dar lugar a investigaciones administrativas y sanciones por parte de la Superintendencia de Industria y Comercio.

Las consecuencias pueden incluir:

  • Multas de hasta dos mil (2.000) salarios mínimos mensuales legales vigentes.
  • Suspensión temporal de actividades relacionadas con el tratamiento de datos personales.
  • Afectación de la reputación empresarial.
  • Pérdida de confianza de clientes, usuarios y aliados comerciales.
  • Incremento de riesgos legales y de responsabilidad corporativa.

Más allá de las sanciones económicas, un incidente mal gestionado puede afectar significativamente la credibilidad y la continuidad operacional de una organización.

Recomendaciones para prevenir y gestionar incidentes de seguridad.

Con el propósito de fortalecer el cumplimiento normativo y reducir riesgos, las organizaciones deberían:

  • Implementar protocolos internos de gestión de incidentes de seguridad.
  • Capacitar periódicamente a los empleados en protección de datos personales.
  • Documentar cualquier evento relacionado con pérdida, divulgación o acceso indebido de información.
  • Realizar evaluaciones periódicas de riesgos.
  • Revisar y actualizar las medidas de seguridad informática y jurídica.
  • Establecer mecanismos de monitoreo y respuesta frente a incidentes.
  • Mantener procedimientos de reporte oportuno ante la SIC.

La prevención y la capacidad de respuesta son elementos esenciales dentro de cualquier programa de protección de datos personales.

¿Por qué es importante contar con asesoría especializada?

La adecuada gestión de los incidentes de seguridad exige una evaluación jurídica y técnica que permita determinar la gravedad del evento, las medidas de contención aplicables y las obligaciones regulatorias derivadas del incidente.

El acompañamiento especializado permite a las organizaciones:

  • Identificar si un evento constituye un incidente de seguridad reportable.
  • Evaluar los riesgos legales y reputacionales.
  • Documentar adecuadamente el caso.
  • Cumplir oportunamente las obligaciones de reporte ante la SIC.
  • Diseñar medidas correctivas y preventivas.

Una respuesta adecuada frente a un incidente de seguridad puede marcar la diferencia entre una contingencia controlada y una investigación administrativa con consecuencias sancionatorias relevantes.


Artículo escrito por Gabriela Insuasty Gutiérrez, abogada de la Universidad de la Sabana, con amplia experiencia en hábeas data y Registro Nacional de Bases de Datos (RNBD).


¿Su empresa cuenta con protocolos para identificar y reportar incidentes de seguridad de datos personales?

En Cárdenas Vega Asesores S.A.S. ayudamos a las organizaciones a evaluar incidentes de seguridad, cumplir las obligaciones de reporte ante la Superintendencia de Industria y Comercio y fortalecer sus programas de protección de datos personales.

Si su empresa requiere asesoría en materia de protección de datos personales, reportes ante la SIC o gestión de incidentes de seguridad relacionados con información personal, nuestro equipo se encuentra disponible para brindarle acompañamiento jurídico especializado. Contáctenos si está interesado(a) en recibir asesoría relacionada con los reportes obligatorios de incidentes de seguridad de datos personales:

Categories: Actualidad Normativa