Manejo del habeas data en copropiedades (1): aspectos generales (con doctrina SIC, 2014 - 2025)

Hola a todos: 

Hoy quiero complementar un tema muy específico que alguna vez traté en una publicación anterior sobre el manejo del habeas data en las copropiedades. 

Aquí, una serie de recomendaciones prácticas para su implementación, teniendo en cuenta proyectos de automatización de edificios. 

1) Los datos biométricos son una categoría especial de datos sensibles (mencionados expresamente los primeros, como parte de los segundos, en el Art. 5 de la Ley Estatutaria 1581 de 2012). Pero no existe una definición legal de datos biométricos, para lo cual propongo esta definición: 

Datos biométricos: Datos personales relativos a las características únicas, mensurables y, en principio inalterables, del ser humano, sean biológicas (físicas, fisiológicas o morfológicas) o asociadas al comportamiento (como huellas dactilares, reconocimiento facial, escaneo de iris o retina, reconocimiento de voz, firma o patrón de escritura, geometría de la mano, forma de caminar y ritmo de tecleo, entre otros) que faciliten y garanticen la identificación de un individuo (persona física), mediante sistemas o procedimientos tecnológicos. Siendo una categoría especial de datos personales (bajo la modalidad de sensibles), que exigen del responsable del tratamiento su consentimiento explícito (obtenido de forma clara y verificable), con finalidad limitada (los datos biométricos solo pueden utilizarse para fines específicos, explícitos y legítimos), minimización de datos (se deben recopilar solo los datos estrictamente necesarios), así como el conocimiento del titular, en cuanto a su derecho de acceder a los datos biométricos, a rectificarlos, solicitar su eliminación y retirar su consentimiento.

2) La Superintendencia de Industria y Comercio (Delegatura de Protección de Datos Personales) ha adelantado, a la fecha presente, las siguientes decisiones administrativas contra propiedades horizontales, por estos motivos: 

Resolución 36901 de 2014 (30 de mayo). Investigado: COSMOCENTRO CIUDADELA COMERCIAL P.H.; en Firme. Asunto: Tratamiento indebido de datos de niños, niñas y adolescentes, seguridad de la información: en el tratamiento de datos personales de niños, niñas y adolescentes, debe observarse el interés prevalente del menor y sus derechos fundamentales.

Resolución 79622 de 2015 (septiembre 30). Investigado: CENTRO COMERCIAL PUERTA DEL NORTE P.H. Modificada por la Resolución 76272 de 2016 (noviembre 3). Asunto: Deber de informar de manera clara la finalidad para la cual se recogen datos personales de un titular: la política de tratamiento de datos personales puede ser el medio mediante el cual se le informe a los titulares la finalidad de la recolección de los datos, sus derechos y los datos del responsable, sin embargo dicha política debe ser puesta en conocimiento al titular. Se impuso sanción de $64.435.000,00 al infractor.

Resolución 60460 de 2017 (septiembre 25). Investigado: EDIFICIO MONSERRAT 74 P.H., en Firme. Asunto: Tratamiento de datos personales en propiedad horizontal – orden administrativa: el régimen de protección de datos personales se aplica a la información que se recolecta de los visitantes para el ingreso a las instalaciones en tal sentido, las fotografía o capturas de imágenes de los titulares corresponden a datos de carácter privado. las fotografías pueden llegar a ser clasificadas en la categoría de datos sensibles siempre y cuando de ellas se pueden extraer mediciones y rasgos particulares del rostro que al ser comparados con un banco de datos permite la identificación inequívoca del titular. Los edificios de propiedad horizontal deben implementar y poner a disposición de los titulares la política de protección de datos personales, aprobada previamente por la alta dirección de la propiedad horizontal y contar con un manual interno de políticas y procedimientos que contemple el procedimiento para la atención de quejas y reclamos. No se impuso sanción al infractor.

Resolución 27708 de 2017 (mayo 22). Investigado: CENTRO COMERCIAL OVIEDO P.H., en Firme. Asunto: Deber de solicitar y conservar copia de la autorización previa, expresa e informada del titular, deber de informar al titular la finalidad del tratamiento de sus datos y responsabilidad demostrada como criterio de atenuación de la sanción: compartir datos personales privados o semiprivados con terceros requiere la autorización previa, expresa e informada del titular, a quien se debe indicar las finalidades del tratamiento de datos. La implementación de políticas y medidas efectivas de protección de datos personales bajo el principio de responsabilidad demostrada se tiene en cuenta como un atenuante al momento de graduar la sanción.

Resolución 43530 de 2018 (junio 22). Investigado: EDIFICIO CARRERA SÉPTIMA PROPIEDAD HORIZONTAL, modificada por la Resolución 92618 de 2018. Asunto: Los edificios de oficinas o conjuntos residenciales que se someten al régimen de propiedad horizontal son personas jurídicas responsables del tratamiento de los datos que recolectan, almacenan o usan sobre todas las personas que ingresan a sus instalaciones. por lo tanto, están obligados a obtener la autorización de las personas y deben demostrar que informaron todo lo que ordena el Art. 12 de la Ley 1581 de 2012. Las fotos e imágenes de video vigilancia son datos biométricos, catalogados como información sensible, cuyo tratamiento requiere de autorización previa, expresa, informada y especial. Se impuso sanción de $124.998.720,00 al infractor (Resolución 92618 de 2018, diciembre 11).

Resolución 69438 de 2019 (diciembre 4). Investigado: CONJUNTO RESIDENCIAL HACIENDA PEÑALISA OCOBO. Modificada por la Resolución 43198 de 2020. Asunto: Los edificios de oficinas o conjuntos residenciales que se someten al régimen de propiedad horizontal son personas jurídicas Responsables del Tratamiento de los datos personales que recolectan, almacenan o usan sobre todas las personas que ingresan a sus instalaciones. Por lo tanto, están obligados a obtener la autorización previa e informada de las personas de las cuales realicen tratamiento de datos, y deben demostrar que informaron todo lo que ordena el Art. 12 de la Ley 1581 de 2012. Se impuso sanción de $24.843.480,00 al infractor (Resolución 43198 de 2020, julio 30).

Resolución 34648 de 2020 (julio 2). Investigado: AGRUPACION DE VIVIENDA RINCON DE MANDALAY, en Firme. Asunto: El Responsable debe informar la finalidad del tratamiento de los datos personales del Titular al momento de la recolección y solicitud de autorización previa, expresa e informada. Así mismo debe informar los derechos que le asisten como Titular de la información. Se impuso sanción de $1.016.624,00 al infractor (Resolución 70092 de 2021, octubre 29), inicialmente, de $854.568,00.

Resolución 37971 de 2020 (julio 13). Investigado: CONJUNTO RESIDENCIAL CIUDADELA PARQUE CENTRAL DE OCCIDENTE SEGUNDA ETAPA-PROPIEDAD HORIZONTAL, en Firme. Asunto: El Responsable debe demostrar que cuenta con la autorización previa, expresa e informada otorgada por el Titular para el tratamiento de datos personales, e informar la finalidad de la recolección de manera clara y especifica. Se impuso sanción de $13.167.045,00 al infractor.

Resolución 56959 de 2020 (septiembre 17). Investigado: PROPIEDAD HORIZONTAL CONJUNTO RESIDENCIAL PLAZUELAS DE SANTA ANA, en Firme. Asunto: El Responsable tiene el deber de tratar la información que se encuentra almacenada en su base de datos bajo medidas de seguridad idóneas, que garanticen la custodia de los datos personales que tiene a su cargo, por lo cual se deben establecer las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros y datos personales de los residentes y propietarios.

Resolución 63240 de 2020 (octubre 8). Investigado: CONJUNTO RESIDENCIAL PARQUE CENTRAL BONAVISTA ETAPA II PROPIEDAD HORIZONTAL, en Firme. Asunto: El Responsable debe dar trámite a las consultas y reclamos realizadas por el Titular frente al tratamiento de su información personal contenida en bases de datos, que considere que debe ser objeto de corrección actualización o supresión. Se impuso sanción de $1.637.922,00 al infractor.

Resolución 64277 de 2020 (octubre 14). Investigado: CONJUNTO RESIDENCIAL ALMEIRA TORRES 1,2,3,4 Y 5 PROPIEDAD HORIZONTAL, en Firme. Asunto: El Responsable debe solicitar la autorización, previa, expresa e informada de los Titulares antes de realizar el tratamiento de sus datos personales como el envío de correos electrónicos masivos, y conservar copia de esta, así mismo debe informar al momento de la recolección la finalidad específica del tratamiento. 

Resolución 77893 de 2020 (diciembre 2). Investigado: CONJUNTO RESIDENCIAL EL TESORO I- PROPIEDAD HORIZONTAL, en Firme. Asunto: Los Responsables deben adoptar medidas apropiadas y pertinentes para evitar que los correos electrónicos personales sean difundidos masivamente y conocidos indiscriminadamente por todos los destinatarios. Es necesaria la implementación de medidas de seguridad para impedir la consulta y acceso no autorizado. Se impuso sanción de $1.000.000,00 al infractor.

Resolución 78030 de 2021 (noviembre 30). Investigado: AGRUPACIÓN DE VIVIENDA VILLAS DE HATO CHICO III – PROPIEDAD HORIZONTAL, en Firme. Asunto: Quedó demostrado que la investigada actuó negligentemente frente al tratamiento de los datos personales de los Titulares en su calidad de Responsable al no haberles solicitado de manera previa, expresa e informada la autorización para el tratamiento, conducta que vulneró de forma real y concreta su derecho fundamental de habeas data.  Así mismo, no puso en conocimiento de los Titulares las finalidades de la recolección de sus datos y los derechos que les asisten como Titulares. Se aclara que no es suficiente presentar como prueba copia de las autorizaciones suscritas por algunos de los Titulares, cuando estas no contienen fecha de creación y/o implementación, así como tampoco fecha de suscripción por parte de los Titulares. Se impuso sanción de $3.195.104,00 al infractor.

Resolución 74046 de 2021 (noviembre 16). Investigado: URBANIZACIÓN COLORS P.H., en Firme. Asunto: Las propiedades horizontales en calidad de Responsables del tratamiento deben cumplir con los siguientes deberes:1. El deber de solicitar y conservar, copia de la respectiva autorización otorgada por el Titular de la información para el tratamiento de su información personal.2. Informar a los Titulares sobre la finalidad de la recolección y los derechos que les asisten en virtud de la autorización otorgada.3. Deber de tramitar las peticiones presentadas por los titulares de forma oportuna. 4. Deber de contar con un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley 1581 del 2012 y, en especial, para la atención de consultas y reclamos. 5. Deber de cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio, dando respuesta a los requerimientos y órdenes impartidas por la autoridad de protección de datos personales. Se impuso sanción de $3.049.872,00 al infractor.

Resolución 55016 de 2021 (agosto 27). Investigado: AGRUPACIÓN DE VIVIENDA RINCÓN DE MANDALAY - PROPIEDAD HORIZONTAL, en trámite (Reposición, 70092 de 2021). Asunto: Los Responsables deben cumplir con el deber de informar la finalidad de la recolección y los derechos que le asisten a los Titulares frente al tratamiento de los datos personales, incluso si están eximidos de solicitar la autorización previa en cumplimiento de un mandato legal. De igual modo, los Responsables deben implementar una Política de Tratamiento de Datos Personales que cumpla con los siguientes requisitos mínimos; (i) nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable (ii) informar al Titular su derecho a presentar quejas ante la SIC (iii) mencionar la fecha de su entrada en vigencia; (iv) mencionar el periodo de vigencia de las Bases de Datos de la sociedad; (iii) los derechos que le asisten como Titular; (iv) la identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento 

Resolución 55003 de 2021 (agosto 27). Investigado: CONJUNTO RESIDENCIAL PARQUES DE PRIMAVERA I ETAPAS I Y II PROPIEDAD HORIZONTAL, en Firme. Asunto: El Responsable debe solicitar y conservar copia de la autorización previa, expresa e informada de los Titulares para el Tratamiento de los datos que recolecta a través de los formularios que usan en sus plataformas digitales, formatos físicos diligenciables, y sistema de video vigilancia. De igual manera, al momento de la recolección se debe informar a los Titulares las finalidades del uso de su información y los derechos que les asisten, prohibiendo así la recopilación de datos sin la especificación clara acerca de su finalidad. Política de Tratamiento de Datos Personales y un manual interno de políticas y procedimientos para: (i) la atención de consultas y reclamos; y (ii) para el ciclo del dato desde la recolección, desde la recolección, almacenamiento, uso, y disposición final. Se impuso sanción de $7.842.528,00 al infractor.

Resolución 31989 de 2021 (mayo 26). Investigado: COPROPIEDAD VINTAGE PROPIEDAD HORIZONTAL, en Firme. Asunto: La autorización para el tratamiento de datos personales puede obtenerse (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del Titular que permitan concluir de forma razonable que este otorgó la autorización. No debe perderse de vista que el Responsable del Tratamiento debe estar en capacidad de probar que obtuvo el consentimiento previo, expreso e informado del Titular. De igual manera, el silencio, en ningún caso puede ser entendido como el otorgamiento de la autorización, la cual, debe ser calificada y gozar de los elementos señalados. Así mismo, el Responsable está obligado a informar la finalidad del tratamiento de los datos personales a los Titulares, y los derechos que le asisten, de forma concomitante al momento de solicitar la autorización.  

Resolución 18327 de 2021 (marzo 31). Investigado: EDIFICIO LOS NOGALES - PROPIEDAD HORIZONTAL, en Firme. Asunto: En virtud del principio de libertad, los Responsables del Tratamiento de datos personales deben requerir la autorización previa, expresa e informada del Titular, y conservar copia de la misma, e informar sobre la finalidad de la recolección y los derechos que le asisten a los residentes de la copropiedad en virtud de la autorización otorgada. De igual modo, el tratamiento de datos sensibles y sobre niños, niñas y adolescentes, tiene una protección especial por parte del legislador estatutario, en ese sentido, el principio de seguridad cobra una relevancia mayor, pues en razón a esa protección especial es imperativo reforzar las medidas técnicas, humanas y administrativas necesarias con el fin de garantizar la seguridad de todos los datos personales de la propiedad horizontal. De igual forma, los Responsables deben implementar: (i) una Manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de las disposiciones establecidas en la Ley 1581 de 2012, (ii) un Manual Interno para la Atención de Consultas y Reclamos para el ejercicio del derecho de habeas data de los Titulares y (iii) un Manual Interno de Políticas de Seguridad que garantice la seguridad de la información frente a la administración de los datos personales para prevenir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información sujeta a Tratamiento, (iv) un Manual con los procedimientos para la recolección, almacenamiento, uso, circulación y supresión de la información, (v) una Política de Tratamiento de Datos Personales. Se impuso sanción de $12.054.256,00 al infractor.

Resolución 15494 de 2021 (marzo 19), modificada por Resolución 40810 de 2021 (junio 30). Investigado: EDIFICIO ESTUDIO 59 - PROPIEDAD HORIZONTAL, en Firme. Asunto: Las Propiedades Horizontales al ser Responsables del tratamiento, deben implementar una Política de tratamiento de datos personales que debe ser puesta en conocimiento de los Titulares, así mismo, deben adoptar un manual interno en el cual se definan los procedimientos para la atención de consultas, reclamos y el ejercicio del derecho de habeas data de los titulares. Además de esto, se requiere una mayor diligencia frente al tratamiento de datos personales a través de sistemas de videovigilancia, informando a los Titulares mediante avisos de privacidad acerca de sus derechos y las Políticas de tratamiento de datos personales establecidas para el cumplimiento del Régimen de Protección de Datos Personales. Se impuso sanción de $2.723.100,00 al infractor (inicialmente, la sanción era de $10.982.400,00).

Resolución 83133 de 2022 (noviembre 25). Investigado: CLUB RESIDENCIAL VIZTA PROPIEDAD HORIZONTAL, en Firme. Asunto: El Responsable no conservó la información personal del titular bajo las medidas de seguridad adecuadas para impedir el acceso por parte de terceros no autorizados a información sensible y semiprivada mediante el envío de un correo electrónico con los datos del titular. Se impuso sanción de $1.140.120,00 al infractor. 

Resolución 77643 de 2022 (noviembre 3). Investigado: CONJUNTO RESIDENCIAL LOS ARRAYANES DE SAUZALITO P.H., en Firme. Asunto: La sociedad Responsable actuó de manera contraria a lo establecido en la Ley, pues realizó el tratamiento de los datos de la titular sin contar con su autorización previa e informada.

Resolución 51683 de 2022 (agosto 4). Investigado: CONJUNTO RESIDENCIAL PARQUES DE PRIMAVERA I ETAPAS I Y II PROPIEDAD HORIZONTAL, en Firme. Asunto: La Responsable del Tratamiento sometió a Tratamiento el correo electrónico de uso personal de los residentes y copropietarios sin haber solicitado su autorización previa, expresa e informada; tampoco informó las finalidades del uso de sus datos personales. Así mismo, faltó al principio de seguridad, al divulgar una captura de pantalla con una fotografía de un menor de edad y las direcciones electrónicas de 7 Titulares de la información. Se impuso sanción de $5.700.600,00 al infractor.

Resolución 42771 de 2022 (julio 5). Investigado: TORRES AQUA P.H., en Firme. Asunto: La sociedad investigada no acredito contar con los procedimientos necesarios para solicitar y conservar copia de la autorización previa, expresa e informada de los titulares para el Tratamiento de sus datos personales, tampoco aporto procedimientos para informar debidamente a los Titulares acerca de las finalidades de la recolección de sus datos y de los derechos que les asisten en virtud de la autorización otorgada, faltó al deber de implementar un manual para la atención de consultas y reclamos y una Política de Tratamiento de Datos Personales. Finalmente omitió la atención a los requerimientos de la autoridad de protección de datos personales. Se impuso sanción de $2.850.300,00 al infractor.

Resolución 28367 de 2022 (mayo 12). Investigado: CONJUNTO RESIDENCIAL MIRADOR DE TAKAY- PROPIEDAD HORIZONTAL, en trámite (Reposición 53734 de 2022). Asunto: Esta Superintendencia, ejerce la vigilancia de las funciones de los Responsables y Encargados del Tratamiento y está facultada para ordenar la corrección, actualización o retiro de los datos personales de una base de datos, cuando así se determine dentro de una investigación, por lo tanto, los Responsables deben atender los requerimientos dentro del término legal establecido y acatar las órdenes impartidas; así como demostrar el cumplimiento de los deberes a los que se encuentra obligados. Se impuso sanción de $2.014.212,00 al infractor.

Resolución 67430 de 2023 (octubre 31). Investigado: AGRUPACIÓN DE VIVIENDA QUINTAS DE CASTILLA I -PROPIEDAD HORIZONTAL, en Firme. Asunto: El Responsable no demostró el cumplimiento de las ordenes impartidas por la Autoridad de Protección de Datos Personales, lo cual pone en peligro los derechos de los Titulares y constituye un incumplimiento al deber de atender todas las exigencias legales. Se impuso sanción de $4.962.204,00 al infractor.

Resolución 36786 de 2023 (junio 30). Investigado: AGRUPACIÓN PINOS DE NUEVA CASTILLA - PROPIEDAD HORIZONTAL, en Firme. Asunto: Los Responsables tienen el deber de atender las instrucciones y requerimientos efectuados por la Autoridad de Protección de Datos Personales, y deben acreditar la implementación de: i) Política de Tratamiento de Datos Personales, ii) un manual interno de políticas y procedimientos de seguridad; (iii) un manual interno de políticas y procedimientos para la atención de consultas y reclamos; y (iv) un manual interno de políticas y procedimientos para la recolección, almacenamiento, uso, circulación y supresión de la información. Igualmente, deben solicitar y conservar copia de la autorización previa, e informar las finalidades del tratamiento. Se impuso sanción de $3.817.080,00 al infractor.

Resolución 25134 de 2023 (mayo 11). Investigado: CONJUNTO RESIDENCIAL ALAMEDA DE SAN JOSE AGRUPACIÓN I - PROPIEDAD HORIZONTAL, en trámite. Asunto: Para el cumplimiento de los deberes de los Responsables, se aclara que no importa la forma en que se recolecten los datos personales, siempre que se asegure que la autorización recabada sea previa, expresa e informada y que, en todo caso, se le informe al titular la finalidad de dicha recolección de sus datos personales, así como los derechos que le asisten. Se impuso sanción de $2.035.776,00 al infractor.

Resolución 24750 de 2023 (mayo 8). Investigado: AGRUPACIÓN CIUDAD MILENIO SEGUNDA ETAPA, en Firme. Asunto: El Responsable vulneró el derecho fundamental de habeas data de los titulares al no conservar su información personal bajo medidas de seguridad adecuadas para impedir el acceso por parte de los terceros que recibieron un correo electrónico exponiendo datos personales al ser enviado sin copia oculta. Se impuso sanción de $1.017.888,00 al infractor. 

Resolución 9406 de 2023 (marzo 1). Investigado: CONJUNTO RESIDENCIAL B.C.H. PRIMER SECTOR – PROPIEDAD HORIZONTAL, en Firme. Asunto: Los Responsables tienen un plazo de diez (10) días hábiles para dar respuesta a las consultas, y de quince (15) días hábiles para dar respuesta a los reclamos, sin embargo, en este caso se evidencia un incumplimiento a este deber, por cuanto la sociedad no respetó los plazos establecidos en la Ley, y dio respuesta al Titular más de 2 años después de la presentación del reclamo. Se impuso sanción de $1.272.360,00 al infractor. 

Resolución 51493 de 2024 (septiembre 4). Investigado: CONJUNTO RESIDENCIAL PARQUES DE PRIMAVERA I ETAPAS I Y II PROPIEDAD HORIZONTAL, en Firme. Asunto: El Responsable no se pronunció sobre tres requerimientos que hizo la Autoridad Nacional de Protección de Datos Personales, con el propósito de acreditar el cumplimiento del Régimen General de Protección de Datos Personales, lo cual constituye un incumplimiento de uno de sus deberes legales.

Resolución 77575 de 2024 (diciembre 12). Investigado: CONJUNTO HABITACIONAL ICATA CLUB RESIDENCIAL - PROPIEDAD HORIZONTAL, en Firme. Asunto: La copropiedad no acreditó haber obtenido la autorización previa, expresa e informada para el tratamiento de datos personales de los titulares al momento de la recolección, especialmente respecto a datos sensibles y de menores de edad, ni informó las finalidades del tratamiento. Asimismo, debe implementar medidas para conservar la información personal bajo condiciones de seguridad adecuadas. Se impuso sanción de $2.540.632,00 al infractor.

Resolución 87408 de 2025 (octubre 28). Investigado: CONJUNTO MULTIFAMILIAR PRADO DE VILLANUEVA ETAPAS 1, 2 ,3 Y 4 P.H., en Firme. Asunto: La sociedad investigada, como Responsable del Tratamiento de datos personales, no acreditó el cumplimiento de las órdenes administrativas impartidas por esta Superintendencia, consistentes en la supresión de los datos personales de un Titular, así como el desarrollo e implementación de unas medidas, políticas y manuales en materia de protección de datos personales. Se impuso sanción de $1.340.032,00 al infractor.

3) De estos casos, son reiterativas las siguientes situaciones: 

a) La copropiedad ni siquiera tiene manual de políticas y procedimientos, así como avisos de privacidad ni autorizaciones para el tratamiento de datos personales. En consecuencia, realiza el tratamiento de datos personales sin ni siquiera pedir autorización. 

b) La copropiedad tiene un manual de políticas, pero no tiene manual de procedimientos para atención a reclamaciones. Si bien ambos conceptos pueden ir en el mismo documento, la ley exige el cumplimiento de ambos reglamentos. El manual de procedimientos debe incluir: (i) procedimientos para la recolección, almacenamiento, uso, circulación y supresión de la información (ciclo de vida del dato); (ii) políticas de seguridad; (iii) atención de consultas y reclamos de los titulares. 

c) Los responsables del tratamiento ponen en conocimiento al titular de la información la política de tratamiento de información personal, después de la recolección de datos personales. Esto ocurre cuando, por ejemplo, implementan un proceso de automatización del edificio sin aprobar primero el manual de políticas y procedimientos. 

d) La política de tratamiento de datos personales, o el aviso de privacidad o la autorización para el tratamiento de datos personales, no cumple con los rquisitos mínimos legales establecidos por el DUR 1074 de 2015. 

e) Los responsables del tratamiento no implementan los procedimientos necesarios para solicitar y conservar copia de la autorización previa, expresa e informada de los titulares, ni elimina la información personal de los titulares respecto de los cuales no conserve copia de la autorización. Tampoco implementan los procedimientos necesarios para informar debidamente a los titulares acerca de las finalidades de la recolección de sus datos y los derechos que les asisten en virtud de la autorización otorgada. 

Las denuncias se desatan generalmente de una manera bastante ingenua. Generalmente, se trata de una comunicación que afecta a un copropietario, y se envia a otros copropietarios en copia visible. Un conflicto que surge por la recolección de datos sobre la propia imagen, en las cámaras de video vigilancia del edificio o conjunto. 

En una ocasión, se demostró que la copropiedad, por error involuntario, había publicado mal el correo electrónico del responsable para atención a reclamos, y que además, en unos mensajes de correo electrónico, se publicó la información de correos electrónicos en copia visible, a otros copropietarios (no conservó la información personal bajo medidas de seguridad adecuadas para impedir su acceso por parte de los terceros que recibieron el correo electrónico, exponiendo  datos de los titulares de la información, al ser enviados sin la copia oculta de los correos electrónicos de los copropietarios, toda vez que los correos electrónicos tienen la connotación de dato personal, protegido y amparado por la Ley 1581 de 2012).

En otra ocasión, el tema surgió porque una persona quedó grabada en las cámaras de video vigilancia, quitando un cartel para convocatoria de asamblea general, y aseveró que accedía a los datos y a la información del computador de la administradora y del asistente de contabilidad. Se reprochó aquí también que había un chat de WhatsApp en el cual se reunían los teléfonos de rsidentes y copropietarios sin ser un espacion institucional, enviándose fotos y videos (entre ellos, los de la citada grabación) e información de la copropiedad.

En otra oportunidad, se encontró que la investigada, en un mensaje de correo electrónico divulgó una captura de pantalla con la fotografía de un menor de edad y a cada uno de los 7 remitentes puso en conocimiento la dirección electrónica de los otros 6 al enviarse el mensaje sin copia oculta, por lo cual la investigada no conservó la información personal recolectada bajo condiciones de seguridad adecuadas para impedir su consulta, uso o acceso no autorizado o fraudulento.

En otro caso, en un presunto comunicado se acusó a una copropietaria de un delito penal, aparte de dar a conocer datos sensibles a todos los residentes y visitantes.

En otra oportunidad, administración envió un correo electrónico mediante el cual se remitía el manual de convivencia del conjunto, divulgando los correos electrónicos personales de más de 100 personas. Lo mismo se hizo para una convocatoria con el fin de sortear la asignación de parqueaderos, difundiendo los correos electrónicos personales de más de 400 personas. Lo mismo, no se pidió autorización previa para grabar una sesión de asamblea general.

En otro caso, se pedía información (sin política de tratamiento de datos personales), con base en un manual de convivencia, en el cual se consagraba la obligación para todos los propietarios y residentes, de suministrar y actualizar ante administración los datos personales de acuerdo con un formato, so pena de una sanción de 7 SMDLV.

Ni qué decir de los primeros casos, en los cuales se pedía el tratamiento de datos personales para participar en una rifa en un centro comercial, sin cumplimiento alguno a las normas aludidas (política de tratamiento, etc.).

Al efecto, el consentimiento, para que sea válido bajo la Ley 1581 de 2012, debe ser expreso (debe ser inequivoco; el titular debe realizar alguna acción positiva que indique su consentimiento y debe tener la libertad de no consentir), informado (el titular no sólo debe aceptar el tratamiento del dato, sino también tiene que estar plenamente consciente de los efectos de su autorización; esa información debe ser claramente visible, destacada y completa. No basta con ponerla a disposición en algún sitio de la página web, sin que la persona no la conozca) y previo (a la recolección de los datos) (Sent. C - 748 de 2011, y Res. 25134 de 2023 SIC).

4) Más allá de esas decisiones, existe una reciente (Resolución 52185 de 2025, julio 31), mediante la cual la SIC estableció que el conjunto residencial Parque de los Cipreses Edificio Vista al Parque del Salitre Propiedad Horizontal recolectó y trató datos biométricos (con tecnología de reconocimiento facial) sin contar con la autorización previa, expresa e informada de algunos residentes y, adicionalmente, que no suprimió los datos de los titulares que se lo solicitaron. Para la Dirección, con estas conductas, el conjunto residencial vulneró el derecho fundamental al habeas data de los residentes que elevaron la queja. 

Por lo cual (esto es lo novedoso de la decisión) ordenó al conjunto residencial lo siguiente: (a) Suprimir los datos biométricos de los titulares que lo solicitaron y respecto de quienes no se cuente con autorización válida. (b) No condicionar el acceso al conjunto residencial al tratamiento de datos biométricos bajo el entendido de que el reconocimiento facial no debe ser el medio exclusivo de acceso (c) Habilitar mecanismos alternativos de autenticación o ingreso, de carácter no invasivo, que garanticen los derechos de quienes no deseen autorizar el tratamiento de sus datos sensibles.

En relación con la implementación de sistemas de reconocimiento facial en conjuntos residenciales, comerciales o mixtos, la Dirección de Habeas Data de la SIC recordó que: (a) Los conjuntos residenciales son responsables del tratamiento de datos personales y deben cumplir con los deberes de la Ley 1581 de 2012. (b) La biometría implica el uso de datos sensibles, lo que exige mayores garantías de seguridad y protección para los datos personales. (c) Es obligatorio obtener la autorización previa, expresa, informada y cualificada de los titulares, aclarando siempre y de manera previa a obtener la autorización, que la persona no está obligada a autorizar el tratamiento de sus datos sensibles. (d) No se puede condicionar una actividad al suministro de datos sensibles, por lo que exigir datos biométricos como única condición para el ingreso a la propiedad horizontal es desproporcionado y vulnera los derechos fundamentales al habeas data, a la intimidad y a la libre circulación. (e) En caso de que cualquier persona se niegue a suministrar su información sensible, la propiedad horizontal deberá implementar medidas menos invasivas como tarjetas de proximidad, códigos de acceso, personal de seguridad capacitado, etc. (f) Antes de implementar estos sistemas, deben evaluarse los riesgos y una vez implementados, deben adoptarse medidas estrictas de seguridad y confidencialidad durante todo el ciclo de vida de los datos. (g) Una filtración o mal uso de datos biométricos puede tener consecuencias irreversibles para la identidad y seguridad de las personas que entregaron sus datos.

(Superintendencia de Industria y Comercio - SIC. 28 de agosto de 2025. Comunicado: La Superintendencia de Industria y Comercio ordena a un conjunto residencial habilitar mecanismos de ingreso que no impliquen el tratamiento de datos biométricos y suprimir los datos biométricos de residentes que así lo solicitan. Superintendencia de Industria y Comercio - SIC. https://sedeelectronica.sic.gov.co/comunicado/la-superintendencia-de-industria-y-comercio-ordena-un-conjunto-residencial-habilitar-mecanismos-de-ingreso-que-no-impliquen-el-tratamiento).

Lo importante de esta decisión, es que la SIC no prohibió la biometría en conjuntos residenciales, pero sí exige el cumplimiento de la Ley 1581 de 2012 y los derechos fundamentales de intimidad y libre circulación. Que el reconocimiento facial o dactilar son datos sensibles, que deben proveerse de manera voluntaria, por lo cual, ni la asamblea, ni el consejo, ni el administrador, ni un reglamento de propiedad horizontal pueden exigirlos sin autorizacion válida y voluntaria (informada, expresa, voluntaria y revocable) del titular. Que de negarse al tratamiento de datos personales, la copropiedad debe ofrecer métodos alternativos de acceso. Que si se recolectan datos biométricos, se deben eliminar inmediatamente cuando el titular lo solicite o revoque su autorización. 

5) Sobre la aprobación del reglamento (políticas y manual de procedimientos). La Ley 675 de 2001 tiene un quórum decisorio general, equivalente a aquel igual o superior a la mitad más uno de los coeficientes de copropiedad representados en la respectiva sesión, acorde con el Art. 45 de la Ley 675 de 2001. 

Pero también hay un quórum especial, con mayoría calificada del 70% de los coeficientes de copropiedad que integran la Propiedad Horizontal, fijado en el Núm. 1 del Art. 46 Ibíd.: Cambios que afecten la destinación de los bienes comunes o impliquen una sensible disminución en uso y goce.

Aquí viene la pregunta: desarrollar un proyecto de automatización que implique el tratamiento de datos personales, ¿afecta la destinación de los bienes comunes? ¿implica una sensible disminución en uso o goce?

Claramente, no afecta la destinación de dichos bienes comunes. Ahora, en cuanto a que implique una sensible disminución en uso o goce, el tema es muy subjetivo. Mi opinión es que implementar un proyecto de este tipo (que implica el tratamiento de datos personales sensibles, como lo son los datos biométricos) no disminuye por sí mismo el uso o goce, aunque sí lo regula, en el sentido de exigir e implementar esos mecanismos de identificación, necesarios para garantizar la seguridad del edificio o conjunto y de todos los propietarios y residentes. 

Por supuesto, conviene que se logre la aprobación del reglamento mediante la mayoría calificada, para prevenir malos entendidos. 

En próxima publicación, empezaré a abordar con más detalle el contenido mínimo (e ideal, es decir, superior a esos mínimos legales y reglamentarios) de los documentos requeridos por ley.

Hasta una nueva oportunidad, 

Camilo García Sarmiento