Guía de cumprimento do consentimento de cookies da Law 1581 de Colombia (2012) para editores en 2026

A Lei Estatutaria colombiana 1581 (2012), complementada polo Decree 1377 regulatorio de 2013 e consolidada no Decree 1074 de 2015, estableceu un dos primeiros marcos completos de privacidade en América Latina. A Superintendencia de Industria y Comercio (SIC) é a autoridade de protección de datos, e a súa Delegatura para la Protección de Datos Personales foi un executor inusualmente activo en relación coa liña de base máis ampla de América Latina. Durante máis dunha década, o SIC emitiu miles de sancións, acumulou un corpus de doutrina vinculante a través de resolucións e opinións conceptuais, e construíu un réxime de rexistro — o Registro Nacional de Bases de Datos (RNBD) — que captura a maioría dos editores en liña con soporte publicitario. Para os operadores que serven tráfico colombiano, o estándar operativo está máis preto das normas europeas do que podería suxerir a versión de 2012 da lei, e as Orientacións do SIC de 2023 sobre rastrexo en liña aliñaron as expectativas do banner de cookies explicitamente con posicións ao estilo EDPB. Esta guía percorre o que require a Law 1581, como o SIC a interpretou para cookies e publicidade de comportamento, e como é o traballo práctico de cumprimento en 2026.

A Law 1581 en síntese

A Law 1581 estrutúrase arredor de oito principios do Article 4: legalidade, finalidade, liberdade, veracidade, transparencia, acceso e circulación restrinxidos, seguridade e confidencialidade. As bases xurídicas baixo o Article 9 son máis estreitas que as do GDPR — a lei colombiana dá ao consentimento un papel máis central e trata outras bases (contrato, interese público, intereses vitais) como excepcións en vez de como bases paralelas. Para o rastrexo en liña, a consecuencia práctica é que o consentimento é case sempre a base operativa, e o SIC raramente aceptou argumentos ao estilo de interese lexítimo para cookies de comportamento.

A lei aplícase a responsables do tratamento e encargados do tratamento que tratan datos persoais de persoas situadas en Colombia, con alcance extraterritorial baixo o Article 2 que captura operadores offshore que se dirixen ao mercado colombiano. O rexistro co RNBD do SIC é obrigatorio por riba de limiares definidos, e o SIC foi visible na persecución de operadores non rexistrados desde 2016.

Como a Law 1581 trata as cookies e o rastrexo en liña

A Law 1581 non contén unha disposición específica sobre cookies; as obrigas de consentimento e información derivan dos Article 4, 9 e 12 da lei e das Orientacións do SIC de 2023 sobre rastrexo en liña. Catro puntos teñen o maior impacto operativo.

Consentimento previo expreso como predeterminado

A posición de longa data do SIC, reafirmada nas Orientacións de 2023, é que o rastrexo non esencial require consentimento previo expreso — a lei colombiana utiliza "expreso e inequívoco" (expreso e inequívoco) como estándar de consentimento, e o SIC leu isto estritamente en liña. O consentimento implícito, o consentimento por desprazamento e as caixas marcadas previamente foron rexeitados en resolucións publicadas.

Categorías granulares e o principio de proporcionalidade

As Orientacións esperan que os banners permitan ao visitante aceptar e rexeitar categorías de forma independente. O SIC encadra a aceptación agrupada de todo como unha violación do principio de proporcionalidade do Article 4(c) — necesario, útil e adecuado non pode converterse en "todo á vez" sen violar a proporcionalidade.

O idioma castelán como predeterminado

O SIC foi explícito en que os avisos de privacidade e os banners de consentimento para públicos colombianos deben estar dispoñibles en castelán, e que o idioma debe reflectir as convencións do castelán colombiano onde difiren das variantes europeas ou doutras variantes latinoamericanas. Os banners só en inglés foron citados como defectos en varias resolucións do SIC.

Transferencia transfronteiriza (Article 26)

O Article 26 regula as transferencias internacionais e require que a xurisdición de destino ofreza un nivel adecuado de protección. O SIC emitiu unha lista de adecuación — unha lista máis pequena que a da UE — e as transferencias a países non incluídos na lista requiren consentimento explícito, salvagardas contractuais ou unha autorización específica do SIC. Para as cookies que enrutan datos a provedores de adtech dos EUA, a expectativa práctica son salvagardas contractuais documentadas.

A postura de execución do SIC

O SIC opera cunha das posturas de execución máis activas de América Latina. Tres patróns configuran o seu enfoque.

Práctica de sancións de alto volume

O SIC emite centos de resolucións de sanción ao ano e publica as principais. O volume crea un corpus inusualmente rico de doutrina vinculante que os operadores poden usar para predicir as expectativas regulatorias — pero tamén significa que os defectos son detectados rapidamente cando chegan as reclamacións.

Inspeccións dirixidas polo RNBD

Moitas inspeccións do SIC comezan co rexistro no RNBD como punto de entrada. Un operador que non se rexistrou, ou cuxo rexistro non está actualizado, é máis probable que atraiga escrutinio que un responsable do tratamento correctamente rexistrado con procesamento comparable.

Coordinación ibero-americana

O SIC participa activamente no Ibero-American Data Protection Network (RIPD) e coordínase coa AAIP de Arxentina, o INAI de México (agora reestruturado), o ANPD de Brasil, o URCDP de Uruguai e o réxime reformado de Chile. Os casos transfronteirizos que implican tráfico colombiano e doutros países iberoamericanos xestíonanse cada vez máis mediante procedementos coordinados.

Unha lista de verificación práctica de cumprimento

Seis preguntas concretas que responder para calquera banner de cookies que serve tráfico colombiano.

Onde encaixa Colombia nunha pila multi-xurisdición

Colombia é un dos catro réximes de protección de datos latinoamericanos máis importantes operativamente xunto con Brasil, México e Arxentina. A versión de 2012 da Law 1581 é anterior ao GDPR, pero a execución activa do SIC e as Orientacións de 2023 aliñaron o estándar operativo estreitamente coas normas europeas. Para os editores que se dirixen cara a operacións pan-latinoamericanas, o marco colombiano emparélase naturalmente co LGPD de Brasil, o LFPDPPP de México e o réxime reformado de Arxentina — unha arquitectura CMP construída con estándares europeos xestiona a maior parte do traballo, con tres complementos específicos de Colombia: rexistro no RNBD onde se aplican os limiares, soporte do idioma castelán colombiano e o patrón de documentación transfronteiriza do Article 26. A converxencia ibero-americana en torno aos estándares aliñados co GDPR está a acelerarse, e a experiencia madura de execución de Colombia convértea na xurisdición rexional onde a postura de cumprimento é probada de forma máis directa.

← Blog Ler todo →