El habeas data es el derecho constitucional que le permite controlar quién usa sus datos personales, para qué y cómo. Está consagrado en el artículo 15 de la Constitución Política de 1991 y desarrollado por la Ley 1266 de 2008 (datos financieros y crediticios) y la Ley 1581 de 2012 (datos personales en general). La Superintendencia de Industria y Comercio (SIC) es la entidad que vigila su cumplimiento en Colombia y ante quien puede poner queja si vulneran sus derechos.
En la práctica, el habeas data es la herramienta que usted usa para borrar datos de centrales de riesgo cuando ya pagó la deuda y venció el plazo de permanencia, para solicitar que una empresa elimine su información de sus bases de datos, o para corregir un reporte erróneo en Datacrédito o CIFIN. Conocer el procedimiento correcto le evita perder tiempo con trámites informales que no tienen respaldo legal.
Qué protege el habeas data: más allá de las centrales de riesgo
El habeas data protege todos los datos personales que una persona, empresa o entidad pública tenga sobre usted, no solo los financieros. Incluye:
- Datos de contacto (teléfono, correo, dirección) que una empresa usa para publicidad sin su consentimiento.
- Información médica o de salud en manos de EPS, IPS o aseguradoras.
- Datos financieros y de comportamiento de pago en Datacrédito (TransUnion) o CIFIN.
- Fotos, videos o información publicada en plataformas digitales sin su autorización.
- Información laboral que una empresa comparte con terceros sin su conocimiento.
- Datos biométricos (huella dactilar, reconocimiento facial) recogidos sin informarle.
La diferencia entre la Ley 1266/2008 y la Ley 1581/2012 es que la primera regula específicamente los datos financieros y crediticios (centrales de riesgo), mientras que la segunda cubre todos los demás datos personales. Para datos en centrales de riesgo, aplica la Ley 1266; para el resto, la Ley 1581.
Sus cinco derechos como titular de datos personales
La Ley 1581 de 2012 reconoce estos derechos a toda persona cuyos datos estén en manos de terceros:
| Derecho | En qué consiste | Plazo respuesta |
|---|---|---|
| Acceso (conocer) | Saber qué datos tienen sobre usted y para qué los usan | 15 días h. |
| Actualización | Pedir que corrijan datos desactualizados o incompletos | 15 días h. |
| Rectificación | Corregir datos erróneos (un reporte que no le corresponde) | 15 días h. |
| Supresión (borrar) | Eliminar sus datos cuando ya no hay base legal para tenerlos | 15 días h. |
| Revocación del consentimiento | Retirar la autorización que dio para usar sus datos (ej: publicidad) | 15 días h. |
El plazo de 15 días hábiles está fijado en los artículos 14 y 15 de la Ley 1581/2012. Si la empresa no responde en ese plazo, puede presentar queja ante la Superintendencia de Industria y Comercio (SIC).
Cuánto tiempo permanecen sus datos en las centrales de riesgo
Este es el punto que más dudas genera. La Ley 1266 de 2008 (artículo 13) establece la regla del doble del tiempo en mora, con un mínimo de 1 año y un tope de 4 años:
- Si estuvo en mora 1 mes, el dato permanece 2 meses después de pagar.
- Si estuvo en mora 6 meses, el dato permanece 12 meses después de pagar.
- Si estuvo en mora 2 años o más, el dato permanece el máximo de 4 años después de pagar.
- Siempre hay un mínimo de 1 año de permanencia después del pago, sin importar cuánto fue la mora.
La caducidad del dato es automática: cuando vence el plazo, Datacrédito y CIFIN deben borrar la información sin que usted tenga que pedirlo. Si no lo hacen, puede presentar queja ante la SIC o solicitar directamente la supresión. No existe ningún pago para borrar más rápido: cualquier empresa que le ofrezca eso es una estafa.
Cómo ejercer el habeas data: procedimiento paso a paso
El procedimiento es el mismo para datos financieros, datos de contacto o cualquier otro tipo de información personal:
- Identifique quién tiene sus datos. Puede ser un banco, una EPS, una empresa de telecomunicaciones, una aplicación digital o una central de riesgo como Datacrédito (TransUnion) o CIFIN.
- Envíe solicitud escrita al responsable de datos. Identifíquese (nombre y cédula), indique qué datos le conciernen y cuál derecho ejerce: acceso, actualización, rectificación, supresión o revocación. Envíe por correo electrónico con acuse de recibo o radicación física.
- Espere la respuesta. El responsable tiene 15 días hábiles para responder (art. 14 Ley 1581). Puede prorrogar por 8 días hábiles adicionales, pero debe avisarle antes de vencer el primer plazo.
- Si no responden o niegan sin justificación: presente queja formal ante la SIC en sic.gov.co. El trámite es gratuito y en línea.
- La SIC investiga y puede sancionar con multas de hasta 2.000 SMMLV (artículo 23 Ley 1581), equivalentes a aproximadamente $3.501 millones con el SMMLV de 2026 ($1.750.905).
Cuándo acudir a la SIC y qué puede hacer por usted
La Superintendencia de Industria y Comercio actúa como autoridad nacional de protección de datos personales (Decreto 1377/2013, compilado en el Decreto 1074/2015). Acuda a ella cuando:
- La empresa no responde su solicitud en los 15 días hábiles previstos.
- La empresa niega el derecho sin razón legalmente válida.
- Dice que borró los datos pero siguen apareciendo en las centrales.
- Le envían publicidad sin que usted haya dado autorización.
- Le reportan una deuda que no es suya (posible suplantación o error).
La queja se presenta en sic.gov.co (sección “Protección de Datos Personales”), es gratuita y en línea. Si el dato erróneo en una central de riesgo le causó un daño económico demostrable (le negaron un crédito, por ejemplo), puede pedir indemnización ante la jurisdicción civil.
Ejemplo: habeas data para reporte erróneo en Datacrédito
Carlos pagó su deuda con un banco en enero de 2025 después de 3 meses de mora. Según la Ley 1266, el reporte debería desaparecer de Datacrédito en julio de 2025 (el doble de los 3 meses = 6 meses tras el pago). En agosto de 2025, Carlos sigue reportado. Solicita a Datacrédito (TransUnion) la supresión del dato por correo con fecha cierta. Datacrédito no responde en 15 días hábiles.
Carlos presenta queja ante la SIC con: prueba del pago (extracto bancario), prueba de que envió la solicitud (correo con acuse de recibo) y evidencia de que el reporte sigue activo (certificado de Datacrédito). La SIC abre investigación. Tres meses después, ordena a Datacrédito borrar el reporte y le impone sanción por no haber respondido en el plazo legal. Carlos queda con historial limpio sin haber pagado a nadie por el borrado.
Preguntas frecuentes sobre habeas data en Colombia
¿Cómo solicito el ejercicio del habeas data?
Envíe carta o correo electrónico al responsable de datos (banco, empresa, central de riesgo) con su identificación, descripción de los datos en cuestión y el derecho que quiere ejercer: conocer, actualizar, rectificar, suprimir o revocar autorización. No necesita abogado. El responsable tiene 15 días hábiles para responder. Si no lo hace, presente queja ante la SIC en sic.gov.co. El proceso es gratuito en todas sus etapas.
¿Qué hace la SIC en materia de habeas data?
La SIC es la Autoridad Nacional de Protección de Datos Personales (Decreto 1377/2013). Puede investigar de oficio o por queja, ordenar a empresas que corrijan sus prácticas, y sancionar con multas de hasta 2.000 SMMLV (aprox. $3.501 millones en 2026) o cierre de operaciones en casos graves. También expide guías orientadoras para empresas y ciudadanos sobre el tratamiento correcto de datos personales.
¿Cuál es el plazo para que respondan mi solicitud?
El artículo 14 de la Ley 1581/2012 fija 15 días hábiles para responder consultas sobre datos. Para reclamos (artículo 15), el mismo plazo aplica, pero el responsable puede prorrogar por 8 días hábiles adicionales si le avisa antes del vencimiento del primer término. Guarde siempre la prueba de envío (correo certificado, acuse de recibo electrónico) para demostrar la fecha exacta de su solicitud ante la SIC si necesita quejarse.
¿El habeas data sirve para borrar mis datos de centrales de riesgo?
Sí, pero solo cuando ya venció el plazo legal de permanencia fijado en el artículo 13 de la Ley 1266/2008: el doble del tiempo en mora, mínimo 1 año y máximo 4 años desde el pago. Si ese plazo ya venció y el dato sigue activo, ejerza el derecho de supresión ante la central de riesgo. Para datos erróneos (deudas que no son suyas), puede pedir rectificación en cualquier momento. Lea más en la guía sobre cómo borrar datos de Datacrédito.
¿Quiénes son los vigilantes de datos y qué obligaciones tienen?
Son todas las personas o empresas que recopilan, almacenan o usan datos personales: bancos, EPS, telecomunicaciones, tiendas en línea, apps móviles, colegios y universidades, entre otros. La Ley 1581/2012 les obliga a: pedir autorización previa antes de recoger datos, informar el uso que darán, no usarlos para fines distintos a los autorizados, protegerlos contra accesos no autorizados, y atender las solicitudes de habeas data en los plazos legales. El incumplimiento puede acarrear sanciones de la SIC.
Si su problema es específicamente con las centrales de riesgo, consulte la guía sobre cómo borrar datos de Datacrédito y cómo consultar gratis su historial crediticio. Para denunciar a empresas que no cumplen la ley, revise cómo denunciar ante la SIC como consumidor. Más información en el portal de Justicia y Derechos.
