Lecciones de la SIC para empresas que quieren anticiparse a sanciones

Durante mucho tiempo, muchas empresas han entendido la protección de datos personales como un asunto principalmente documental: políticas internas, manuales, formatos de autorización y capacitaciones periódicas. Sin embargo, una reciente resolución sancionatoria de la Superintendencia de Industria y Comercio (SIC) demuestra que esa aproximación, aunque necesaria, no es suficiente.

El caso analizado deja una enseñanza central: no basta con tener políticas de protección de datos; es indispensable poder demostrar, en un caso concreto, que el tratamiento de la información fue legítimo, autorizado y trazable.

La sanción no se originó en la ausencia de un programa de cumplimiento. Por el contrario, la empresa contaba con medidas internas, protocolos y lineamientos formales. El problema fue otro: no pudo probar que una consulta específica a una central de riesgo estuviera respaldada por una autorización válida del titular ni por una finalidad legítima claramente acreditable.

Para la SIC, la finalidad en el tratamiento de datos personales no se presume. No basta con afirmar que el acceso obedecía a una práctica habitual, a un interés comercial o a una dinámica interna de la empresa. Si no existe evidencia concreta que permita reconstruir por qué se consultó un dato, bajo qué autorización y para qué propósito, la actuación queda jurídicamente desprotegida.

En términos prácticos, esto eleva el estándar para las organizaciones. Ya no se trata únicamente de cumplir en abstracto con la normativa de habeas data, sino de contar con sistemas que permitan explicar, justificar y probar cada actuación específica cuando una autoridad lo exige.

Otro punto relevante del caso es que la empresa intentó atribuir la conducta a un error humano aislado, incluso contrario a sus propias políticas internas. Sin embargo, la SIC fue clara en señalar que la responsabilidad no se diluye por el hecho de que la actuación haya sido individual, equivocada o ajena a las directrices corporativas.

Desde la óptica de la autoridad, lo determinante es que el acceso al sistema estaba habilitado, que la consulta se realizó bajo la estructura empresarial y que el impacto recayó sobre un titular de datos. En otras palabras, si el sistema es de la empresa, el riesgo también lo es.

Este enfoque refuerza una idea clave para la gestión empresarial: el riesgo legal no se delega. Puede mitigarse, controlarse y distribuirse mediante protocolos y contratos, pero la responsabilidad final permanece en la organización que administra la información y obtiene el beneficio potencial de su uso.

Uno de los aspectos más interesantes de la decisión es la manera en que la SIC valoró las medidas de “responsabilidad demostrada” o accountability. La autoridad reconoció que la empresa había implementado programas de protección de datos, capacitaciones, controles internos y mecanismos de cumplimiento. No obstante, fue enfática en algo esencial: la existencia de estas medidas no elimina la infracción cuando esta está probada.

¿Entonces para qué sirve la responsabilidad demostrada? Sirve para modular el impacto de la sanción.

En este caso, las medidas de cumplimiento no evitaron la multa, pero sí influyeron en su graduación. Desde una perspectiva empresarial, esto es un mensaje poderoso: el compliance no garantiza inmunidad, pero sí reduce el costo del error cuando este ocurre, tanto en términos financieros como reputacionales y operativos.

La decisión también evidencia un cambio en el estándar de evaluación de la SIC. Ya no basta con exhibir políticas formales o programas bien redactados. La autoridad está observando si estos sistemas funcionan en la práctica, si previenen accesos indebidos, si dejan rastro verificable y si permiten reconstruir decisiones pasadas con claridad.

En otras palabras, el foco ya no está en lo que la empresa dice que hace, sino en lo que puede probar que hizo.

Para las empresas que manejan datos personales —ya sea de clientes, proveedores, trabajadores o terceros—, este caso plantea una pregunta incómoda pero necesaria: si mañana una autoridad revisara una actuación específica, ¿podría la organización explicar con precisión por qué se accedió a ese dato, bajo qué autorización y con qué respaldo documental?

La protección de datos ha dejado de ser un asunto meramente normativo para convertirse en un componente central de la gestión del riesgo legal. No se trata solo de cumplir con la ley, sino de diseñar sistemas que resistan auditorías, investigaciones y escenarios de crisis.

Al final, este caso deja una lección que trasciende el ámbito de los datos personales. En el entorno empresarial actual, la prevención legal no se mide por la cantidad de documentos archivados, sino por la capacidad de demostrar que las decisiones fueron correctas cuando más importaba.

Porque en la práctica corporativa, no gana la empresa que nunca se equivoca, sino aquella que puede probar que actuó de manera diligente, responsable y jurídicamente sólida antes de que surgiera el problema.

👉 Si quieres evaluar qué tan expuesta está tu empresa en materia de protección de datos y cumplimiento, podemos ayudarte a revisar tu sistema actual e identificar riesgos antes de que se conviertan en sanciones.