¿Realmente es necesario tener ese dato sensible?

¿Qué deben tener en cuenta las empresas o entidades antes de solicitar datos sensibles?

En Colombia, los datos personales sensibles están especialmente protegidos por la Ley 1581 de 2012. Esto incluye fotografías, videos, identificación mediante biometría facial o huellas como los biométricos, información de salud, orientación sexual, entre otros. Las empresas que tratan estos datos deben evaluar si su uso es realmente necesario y si existen otras alternativas. Estos datos solo pueden procesarse con la autorización libre, previa, expresa e informada del titular, cumpliendo condiciones especiales como especificar cuáles datos sensibles se recolectan, con qué finalidad y dejar claro que su entrega no es obligatoria. No basta una autorización general.

¿Qué riesgos existen al exigir datos sensibles sin justificación suficiente?

El principal riesgo es la vulneración del principio de libertad. Según la legislación aplicable, ninguna actividad debe condicionarse al suministro de datos sensibles, salvo en los casos previstos expresamente por la ley.

Si una empresa o una entidad impone esta exigencia sin dar opciones, incurre en una práctica sancionable, como ocurrió recientemente en un caso analizado por la Superintendencia de Industria y Comercio (SIC) en la Resolución 16582 de 2025.

¿Qué sucedió en ese caso?

Una empresa exigió el reconocimiento facial como única forma de acceder a una cuenta ya activa, sin ofrecer alternativas. A pesar de que el usuario pidió desactivar la función, se le negó esa posibilidad. La SIC determinó que esto constituía una recolección forzada de datos biométricos y una violación del principio de libertad. La empresa alegó razones de seguridad, pero no logró demostrar que no existieran otros métodos menos intrusivos para validar la identidad.

¿Qué lecciones deja este caso para otras empresas o entidades?

Antes de solicitar un dato sensible, las empresas o entidades deben analizar si es estrictamente necesario y si pueden alcanzar el mismo fin con datos menos delicados. También deben asegurarse de ofrecer al titular alternativas reales y garantizar que la autorización que se otorgue sea realmente libre. Además, deben responder adecuadamente cuando un titular solicite eliminar o limitar el uso de su información.

¿Qué debe hacer una empresa o entidad si decide tratar datos sensibles?

Debe contar con un sistema robusto para documentar la autorización del titular, aplicar medidas reforzadas de seguridad, y tener protocolos claros para atender solicitudes de ejercicio de derechos de los titulares, como revocatoria o supresión. Cualquier canal de atención debe estar alineado con estos procesos. En el caso de la Resolución 16582 de 2025, la empresa no tramitó correctamente la petición del usuario, lo que agravó la infracción.

La recolección de datos sensibles exige una evaluación rigurosa, tanto jurídica como técnica. No basta con declarar que su uso es voluntario: hay que demostrarlo con prácticas claras, opciones reales y un manejo respetuoso de los derechos del titular. El tratamiento de estos datos no puede responder a una imposición de la empresa o entidad, sino a criterios de necesidad, proporcionalidad y legalidad.