Habeas Data es obligatorio por ley colombiana. ISO 27001 es voluntario pero exigido por clientes corporativos. Las empresas serias los cumplen en paralelo — sin duplicar el esfuerzo.
Habeas Data e ISO 27001 cubren temas relacionados pero NO son lo mismo. Habeas Data es marco legal específico colombiano sobre tratamiento de datos personales; ISO 27001 es marco de gestión de seguridad de la información más amplio (cubre todos los activos, no solo datos personales).
Origen — ISO 27001: norma internacional ISO/IEC 27001:2022. Habeas Data: Ley 1581 de 2012 + Decreto 1377 de 2013 + Circular Externa 002 de 2024 SIC.
Obligatoriedad — ISO 27001: voluntario. Habeas Data: obligatorio para toda empresa colombiana que trate datos personales.
Alcance — ISO 27001: toda la información de la organización (clientes, empleados, financiera, técnica, propiedad intelectual). Habeas Data: solo datos personales (PII).
Autoridad — ISO 27001: entes certificadores acreditados (ICONTEC, SGS, BVQI). Habeas Data: Superintendencia de Industria y Comercio (SIC).
Documentos clave — ISO 27001: Política SGSI, Análisis de riesgos, SoA, Plan de tratamiento. Habeas Data: Política de Tratamiento, Registro de Actividades de Tratamiento (RAT), Aviso de Privacidad, Autorizaciones.
Sanciones — ISO 27001: pérdida de certificado (impacto comercial). Habeas Data: multas hasta 2.000 SMMLV (~COP 2.847M en 2026) + cierre temporal o definitivo.
Notificación de incidentes — ISO 27001: ISO 27035, sin plazo legal. Habeas Data: 15 días hábiles a la SIC cuando afecta datos personales.
Los dos marcos comparten una estructura de trabajo similar. Una organización con ISO 27001 bien implementado tiene cubierto el 60-70% de Habeas Data. Lo común:
Política de tratamiento de información — Habeas Data exige Política de Tratamiento; ISO 27001 exige Política SGSI con sección de privacidad. Se redactan integradas.
Inventario de activos — Habeas Data exige RAT (Registro de Actividades de Tratamiento); ISO 27001 exige inventario de activos de información. El RAT es un subconjunto del inventario ISO.
Análisis de riesgos — Habeas Data exige evaluación de impacto cuando hay tratamiento de alto riesgo; ISO 27001 exige análisis de riesgos generales. Se hacen integrados.
Capacitación al personal — Ambos marcos exigen capacitación en privacidad y seguridad. Se ejecuta un solo programa.
Procedimientos de respuesta a incidentes — Ambos marcos exigen procedimiento documentado. Se redacta uno solo que satisface ambos plazos (15 días SIC + interno ISO 27035).
Contratos con terceros — Habeas Data exige cláusulas de tratamiento con encargados; ISO 27001 exige acuerdos con proveedores (A.5.19-A.5.22). Se redactan cláusulas integradas.
Derechos del titular — Habeas Data exige procedimiento para atender consultas y reclamos (15 días hábiles); ISO 27001 lo cubre como control de privacidad A.5.34.
Aquí los requisitos exclusivos de cada marco. Una empresa que solo certifica ISO 27001 sin atender Habeas Data se expone a multas SIC. Una empresa que solo cumple Habeas Data sin SGSI estructurado se expone a fallar en clientes corporativos y procesos de licitación.
EXCLUSIVO HABEAS DATA — Aviso de Privacidad publicado y entregable al titular en el momento de recolección.
EXCLUSIVO HABEAS DATA — Autorización previa, expresa e informada para tratar datos personales (excepto excepciones legales).
EXCLUSIVO HABEAS DATA — Registro Nacional de Bases de Datos (RNBD) ante la SIC para empresas obligadas (>100 empleados o >$3MM USD ingresos).
EXCLUSIVO HABEAS DATA — Atención a derechos ARCOPO del titular: Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido. 15 días hábiles plazo.
EXCLUSIVO HABEAS DATA — Notificación de incidentes a SIC dentro de 15 días hábiles + notificación a titulares afectados.
EXCLUSIVO HABEAS DATA — Transferencia internacional de datos a países sin nivel adecuado requiere autorización SIC o cláusulas contractuales tipo.
EXCLUSIVO ISO 27001 — Cláusulas 4-10 con análisis de contexto, partes interesadas, liderazgo, planificación, recursos, comunicación, evaluación de desempeño, mejora.
EXCLUSIVO ISO 27001 — Declaración de Aplicabilidad (SoA) con los 93 controles del Anexo A.
EXCLUSIVO ISO 27001 — Auditoría interna anual del SGSI + revisión por la dirección documentada.
EXCLUSIVO ISO 27001 — Certificación externa por ente acreditado (ICONTEC, SGS, BVQI) cada 3 años.
La SIC publicó en agosto 2024 la Circular Externa 002 sobre uso de inteligencia artificial con datos personales en Colombia. Es lectura obligada para cualquier empresa que use IA con datos de personas (asistentes virtuales, recomendadores, scoring crediticio, segmentación, análisis predictivo).
Puntos críticos que afectan al SGSI ISO 27001:
Principio de transparencia algorítmica — el titular debe poder entender cómo la IA usa sus datos para tomar decisiones que le afectan.
Evaluación de impacto reforzada — obligatorio realizar PIA (Privacy Impact Assessment) o DPIA (Data Protection Impact Assessment) cuando se use IA con datos personales sensibles.
Derecho a no ser sujeto de decisiones automatizadas — el titular puede pedir intervención humana en decisiones con efectos jurídicos significativos.
Documentación del modelo — origen de datos de entrenamiento, métricas de sesgo, controles de equidad, periodicidad de reentrenamiento.
Compatibilidad con RGPD — la Circular se alinea con el Art. 22 RGPD (decisiones automatizadas) y el Reglamento IA UE.
Si tu organización usa IA (incluida SOFÍA u otros asistentes) con datos personales, debes incorporar estas obligaciones al SGSI: documentación del modelo, evaluación de impacto, política específica de IA responsable. HoldingSoft+ tiene plantillas pre-configuradas para esto.
La estrategia ganadora es construir UN SOLO sistema documental que satisfaga ambos marcos. Esto evita el error frecuente de empresas que mantienen carpetas paralelas (una para Habeas Data + otra para ISO 27001) con información duplicada que se desactualiza.
Una sola política — política general que cubre SGSI + tratamiento de datos personales. Habeas Data y ISO 27001 satisfechos.
Un solo inventario — inventario de activos de información (ISO 27001) que etiqueta cuáles contienen datos personales (Habeas Data RAT). Un solo registro mantenido.
Un solo análisis de riesgos — riesgos generales del SGSI + evaluación de impacto en privacidad (DPIA) cuando se trata PII de alto riesgo. Estructura única.
Un solo procedimiento de incidentes — flujo de trabajo integrado: detección → contención → análisis → notificación (SIC 15 días + interna ISO 27035) → cierre + lecciones aprendidas.
Un solo programa de capacitación — cobertura de privacidad + seguridad + Habeas Data + Circular 002 IA en el mismo currículum.
Un solo procedimiento de derechos del titular — atención a ARCOPO + Habeas Data + Art. 15 RGPD (si aplica).
Tablero único — porcentaje de cumplimiento Habeas Data + % cumplimiento ISO 27001 en una sola vista, alertas cuando cualquiera baja.
HoldingSoft+ centraliza la matriz IPER, COPASST, indicadores y reportes Resolución 0312. Reduce 60-80% el tiempo de gestión SGI.
Cumple Decreto 1072 + Resolución 0312
Estándares mínimos SG-SST + ISO 9001/14001/45001IA SOFÍA con citas verificables
RAG sobre tus documentos, sin alucinacionesDesde USD 30/mes · +40 apps incluidas
Sin penalización por cambiar de planNo, son obligaciones paralelas. ISO 27001 cubre ~60-70% de los requisitos operativos de Habeas Data (políticas, controles, gestión de incidentes) pero NO los formalismos legales colombianos: Aviso de Privacidad, autorización del titular, registro RNBD, plazo de 15 días para responder ARCOPO, notificación a SIC. Una empresa puede estar certificada ISO 27001 e incumplir Habeas Data simultáneamente.
Es obligatorio para empresas con más de 100 empleados O ingresos superiores a 100.000 UVT (≈$5.090M COP en 2026). Empresas más chicas están exoneradas pero pueden registrarse voluntariamente. El registro se hace en línea en el portal de la SIC, una sola vez, con actualización cuando cambian las bases de datos significativamente.
Hasta 2.000 SMMLV (≈COP 2.847 millones en 2026) por cada infracción. La graduación depende de la gravedad: dejar de tener Aviso de Privacidad publicado (leve, 100-500 SMMLV); fuga de datos sensibles sin notificar (grave, 500-1500 SMMLV); reincidencia + tratamiento sin autorización (muy grave, 1500-2000 SMMLV + cierre temporal o definitivo).
Deben cumplir Habeas Data sin excepción. Toda empresa con datos personales de titulares colombianos debe cumplir Ley 1581/2012, independientemente de su origen o políticas corporativas globales. Lo común es ajustar la política corporativa en la filial colombiana para incorporar especificidades de Habeas Data: registro RNBD, atención ARCOPO en español, notificación a SIC, etc.
Sí. La Circular aplica a cualquier responsable o encargado del tratamiento que use IA con datos personales de titulares colombianos, independientemente de su nacionalidad o sede física. Empresas SaaS con sede en US/EU que tratan datos de usuarios colombianos están sujetas — y la SIC tiene jurisdicción para sancionar.
Notificación escrita a través del portal de la SIC con: (1) descripción del incidente; (2) categoría y volumen aproximado de datos afectados; (3) consecuencias probables para titulares; (4) medidas de contención tomadas; (5) medidas para mitigar efectos; (6) responsable interno de contacto. Adicionalmente, si el incidente afecta a más de 100 personas o tiene impacto significativo, se notifica también a los titulares afectados.
Sí, y es lo recomendado. Un solo procedimiento documentado que sigue ISO/IEC 27035 (estructura técnica de gestión de incidentes) + incorpora los plazos y formalismos de Habeas Data (15 días SIC, notificación a titulares). El flujo de trabajo es el mismo; lo que cambia son los outputs según si el incidente afecta datos personales o no.
HoldingSoft+ automatiza la gestión documental, los indicadores y los reportes que aquí se mencionan. Ahorras semanas de trabajo administrativo y reduces el riesgo de hallazgos en auditoría.