Habeas Data y Protección de Datos en Propiedad Horizontal 2026

Q: ¿Cuántos años debe conservar una copropiedad los registros y datos personales?

La Ley 1581 no especifica un plazo de retención. Se recomienda mantener datos de residentes actuales durante toda su permanencia más 2-3 años. Para empleados, se debe cumplir con requisitos tributarios y laborales (mínimo 5 años). Lo importante es tener una política de retención documentada y eliminar datos cuando ya no sean necesarios.

La protección de datos personales se ha convertido en una de las obligaciones más críticas para las copropiedades en Colombia. Con la evolución de la normatividad y el aumento de sanciones por parte de la Superintendencia de Industria y Comercio (SIC), es imperativo que los administradores de fincas y las asambleas de copropietarios comprendan sus responsabilidades legales en materia de Habeas Data y protección de datos personales. Este artículo proporciona una guía completa sobre las obligaciones normativas, los riesgos de incumplimiento y las mejores prácticas para que su copropiedad cumpla con la legislación vigente.

Marco Normativo del Habeas Data en Colombia

El Habeas Data es un derecho fundamental consagrado en la Constitución Política de Colombia que protege a los titulares de datos personales. El ordenamiento jurídico colombiano establece un marco robusto para la protección de datos que aplica de manera directa a las copropiedades.

Artículo 15 de la Constitución Política

El artículo 15 de nuestra Constitución Política reconoce el derecho a la intimidad personal y familiar, e incluye expresamente el derecho al Habeas Data. Este derecho permite a cualquier persona conocer, actualizar y rectificar la información que se haya recogido sobre ella en bancos de datos, así como exigir que se destruya aquella información que sea errada o que sea utilizada de forma discriminatoria. Para las copropiedades, esto significa que los propietarios, arrendatarios, residentes, empleados y proveedores tienen derecho a conocer qué datos se están tratando sobre ellos.

Ley 1266 de 2008 - Habeas Data Financiero

La Ley 1266 de 2008 reguló específicamente el Habeas Data financiero y estableció limitaciones importantes para la recopilación y circulación de información crediticia. Esta ley es fundamental para las copropiedades porque regula el reporte de morosos ante las centrales de riesgo. La ley establece que:

La información crediticia solo puede reportarse cuando existe una deuda exigible demostrada.
Se requiere autorización previa del deudor para reportar ante centrales de riesgo.
El deudor debe ser notificado por lo menos una vez antes del reporte.
Existe derecho a rectificación y cancelación de la información.

Ley 1581 de 2012 - Protección de Datos Personales

La Ley 1581 de 2012 es la legislación principal en materia de protección de datos personales en Colombia. Esta ley define a las copropiedades como "responsables del tratamiento" de datos personales y les impone obligaciones específicas. Entre los principios fundamentales de esta ley se encuentran:

Legalidad: El tratamiento debe tener una base legal.
Finalidad: Los datos solo pueden usarse para fines específicos, explícitos y legítimos.
Libertad: Se requiere consentimiento informado del titular.
Veracidad: Los datos deben ser exactos y actualizados.
Transparencia: El titular debe ser informado sobre el tratamiento.
Acceso y circulación restringida: Solo personal autorizado puede acceder.
Seguridad: Deben implementarse medidas para proteger los datos.
Confidencialidad: El tratamiento debe ser confidencial.

Decreto 1377 de 2013

El Decreto 1377 de 2013 es el reglamentario de la Ley 1581 y establece los procedimientos y requisitos para el tratamiento de datos personales. Define conceptos clave como autorización, aviso de privacidad, y política de tratamiento de datos. Este decreto es especialmente importante porque establece que las copropiedades deben tener una política de tratamiento de datos escrita y publicada.

Circular Única de la SIC

La Superintendencia de Industria y Comercio emite la Circular Única que compilar todas las regulaciones administrativas. Esta incluye disposiciones específicas sobre protección de datos personales y establece los estándares que las copropiedades deben cumplir. La SIC también ha emitido circulares específicas dirigidas al sector de propiedad horizontal, como la Circular 2023-01 que proporciona orientación sobre las obligaciones de tratamiento de datos en copropiedades.

Punto clave legal:

La copropiedad es considerada por la ley como "responsable del tratamiento" de datos personales. Esta designación implica la máxima responsabilidad en materia de protección de datos y puede resultar en sanciones significativas de la SIC.

La Copropiedad como Responsable del Tratamiento de Datos

Bajo la Ley 1581 de 2012, la copropiedad (como persona jurídica) es la responsable del tratamiento de datos personales. Esta responsabilidad es una de las más importantes que debe gestionar la administración. El administrador actúa como encargado del tratamiento en nombre de la copropiedad.

Tipos de Datos que Maneja una Copropiedad

Una copropiedad típicamente trata los siguientes tipos de datos personales:

Categoría	Ejemplos de Datos	Clasificación
Propietarios	Nombres, cédulas, números de inmuebles, correos	Ordinarios
Residentes/Arrendatarios	Nombres, documentos, teléfonos, referencias	Ordinarios
Empleados y Servicios	Nómina, datos bancarios, referencias laborales	Sensibles
Visitantes	Placas vehiculares, horas de entrada/salida	Ordinarios
Seguridad	Grabaciones de video, datos biométricos	Sensibles
Morosos	Información de deudas, reportes a centrales de riesgo	Ordinarios (pero regulados)

Datos Sensibles: Especial Protección

La Ley 1581 define como datos sensibles aquellos que revelan origen racial o étnico, creencias religiosas, afiliación política, posición filosófica, pertenencia a sindicatos, datos genéticos, biométricos, salud, vida sexual, y antecedentes penales. Las copropiedades deben reconocer que:

Datos biométricos de acceso: Cuando una copropiedad utiliza sistemas de reconocimiento facial, huella dactilar o iris para control de acceso, está tratando datos sensibles que requieren consentimiento explícito.
Videovigilancia: Las grabaciones que pueden revelar hábitos de vida (especialmente en áreas comunes donde las personas pueden ser identificadas) constituyen datos sensibles.
Información médica: Si la copropiedad mantiene registros de emergencias médicas o información sobre residentes con discapacidades, está tratando datos sensibles.

El Administrador como Encargado del Tratamiento

El administrador de la copropiedad actúa como "encargado del tratamiento" en nombre de la copropiedad. Aunque la responsabilidad legal recae sobre la copropiedad, el administrador es responsable de implementar y supervisar las medidas de protección de datos. Esto incluye:

Asegurar que la política de tratamiento de datos esté en lugar y sea divulgada.
Obtener autorizaciones necesarias de los titulares.
Supervisar el acceso a los datos personales.
Responder a solicitudes de Habeas Data.
Reportar incidentes de seguridad de datos.
Capacitar al personal sobre protección de datos.

Obligaciones Específicas de la Copropiedad

La Ley 1581 de 2012 y su decreto reglamentario establecen obligaciones muy concretas que toda copropiedad debe cumplir:

1. Política de Tratamiento de Datos Personales

Cada copropiedad debe contar con una política escrita de tratamiento de datos personales. Esta política debe incluir:

Identificación de la copropiedad como responsable del tratamiento.
Descripción de los datos que se recopilan y tratan.
Propósitos específicos del tratamiento.
Términos y condiciones del tratamiento.
Derechos de los titulares de datos.
Medidas de seguridad implementadas.
Procedimiento para ejercer derechos (rectificación, actualización, cancelación).
Información de contacto para consultas.

2. Aviso de Privacidad

Además de la política de tratamiento, la copropiedad debe emitir un aviso de privacidad cuando recopila datos. Este aviso debe estar disponible en lugares visibles (tablero de anuncios, sitio web, entrada principal) e informar de manera clara y comprensible sobre:

Qué datos se recopilan.
Para qué propósitos se usan.
A quién se pueden compartir.
Cuáles son los derechos del titular.
Cómo ejercer esos derechos.

3. Autorización de los Titulares

Con excepciones limitadas (como datos necesarios para la administración de la copropiedad), se requiere autorización clara y explícita de los titulares de datos. Para datos sensibles, la autorización debe ser aún más rigurosa. La autorización debe cumplir con requisitos formales:

Ser clara, específica, e informada.
Expresarse por escrito o electrónicamente.
Ser previa al tratamiento.
Ser revocable en cualquier momento.

Requisito de autorización para videovigilancia:

Aunque se debata si la videovigilancia en zonas comunes de una copropiedad requiere autorización individual, la mejor práctica es obtenerla. Esto protege a la copropiedad de futuros cuestionamientos legales.

4. Registro Nacional de Bases de Datos (RNBD)

La SIC mantiene un Registro Nacional de Bases de Datos donde deben inscribirse las bases de datos que se traten en Colombia. Las copropiedades que mantengan bases de datos con información de residentes, empleados o proveedores deben registrarse ante la SIC. Este requisito es especialmente importante y muchas copropiedades aún incumplen.

5. Oficial de Protección de Datos (Data Protection Officer)

La Ley 1581 no obliga a todas las organizaciones a tener un Oficial de Protección de Datos (DPO). Sin embargo, muchas copropiedades grandes (especialmente las que manejan datos sensibles o tienen sistemas complejos) pueden beneficiarse de designar a alguien responsable de supervisar el cumplimiento. Este rol puede ser ejercido por el administrador o delegado en un tercero.

6. Canal de Atención de Peticiones, Quejas y Reclamos (PQR)

La copropiedad debe establecer un canal de atención para que los titulares de datos puedan ejercer sus derechos (acceso, rectificación, cancelación, oposición). Este canal debe estar publicado y ser accesible. La copropiedad tiene obligación de responder dentro de los plazos legales (máximo 10 días hábiles).

Videovigilancia y Datos Biométricos en Propiedad Horizontal

La videovigilancia es una de las áreas de mayor incertidumbre legal en las copropiedades. Aunque es comprensible el deseo de garantizar la seguridad, las cámaras deben instalarse y operarse dentro de marcos legales específicos.

Regulación de Cámaras de Seguridad en Zonas Comunes

Las cámaras de seguridad en zonas comunes de una copropiedad pueden instalarse para proteger la propiedad común, pero están sujetas a limitaciones importantes:

Zonas permitidas: Pasillos, ascensores, entradas principales, parqueaderos, áreas comunes.
Zonas prohibidas: Baños, saunas, áreas que invaden la privacidad.
Notificación clara: Debe existir señalización visible indicando la presencia de cámaras.
Propósito limitado: Las cámaras deben usarse solo para seguridad, no para vigilancia discriminatoria.
Prohibición de audio: La grabación de audio en zonas comunes generalmente está prohibida.

Resolución 2611 de 2022 de la SIC

La SIC emitió esta importante resolución que proporciona orientación específica sobre videovigilancia en espacios públicos y privados. Establece que:

Las copropiedades deben informar de manera clara y visible sobre la videovigilancia.
Los datos biométricos derivados de video (como reconocimiento facial) requieren consentimiento específico.
El tiempo de almacenamiento de grabaciones debe ser limitado (generalmente no más de 30 días sin justificación).
Las grabaciones son datos personales sujetos a protección.

Datos Biométricos para Acceso

Algunos edificios modernos implementan sistemas de reconocimiento facial o de huella dactilar para control de acceso. Estos sistemas tratan datos sensibles y requieren:

Consentimiento explícito y libre de cada usuario.
Información clara sobre cómo se captura, procesa, y almacena la información biométrica.
Medidas de seguridad reforzadas.
Prohibición de transferencia de datos biométricos a terceros sin consentimiento.

Tiempo de Almacenamiento de Grabaciones

No existe una regla única sobre cuánto tiempo puede almacenarse una grabación de video, pero la mejor práctica recomendada es:

Por defecto: 30 días máximo.
Con justificación: Hasta 90 días si hay investigación activa de incidentes.
Datos archivados: Deben separarse físicamente y accederse solo con justificación específica.

Habeas Data Financiero y Reporte de Morosos

Una de las aplicaciones más frecuentes de datos personales en copropiedades es el reporte de morosos ante centrales de riesgo. Esta práctica es legal pero altamente regulada.

¿Puede la Copropiedad Reportar Morosos?

Sí, la copropiedad puede reportar deudas de cuotas ordinarias y extraordinarias ante centrales de riesgo crediticio. Esto es un derecho reconocido por la Ley 1266 de 2008. Sin embargo, existen requisitos estrictos que deben cumplirse.

Requisitos Legales para el Reporte

La Ley 1266 de 2008 establece los siguientes requisitos previos al reporte:

Autorización previa: El deudor debe haber autorizado previamente a la copropiedad para reportar ante centrales de riesgo. Esta autorización generalmente está incluida en el acta de transferencia de inmueble, los estatutos, o debe ser una cláusula específica en el acta de asamblea.
Deuda exigible: La deuda debe estar vencida y ser exigible (generalmente, cuotas de más de dos meses vencidas).
Notificación previa: Se debe notificar al deudor por lo menos una vez antes del reporte, informándole de su derecho a rectificación.
Plazo de espera: Algunos juzgados han interpretado que se debe dar un tiempo prudencial entre la notificación y el reporte (generalmente 10 días).
Procedimiento extrajudicial: Algunos estatutos exigen intentar cobro extrajudicial antes de reportar.

Error común en copropiedades:

Muchas copropiedades reportan a centrales de riesgo sin haber notificado previamente al deudor o sin tener autorización. Esto puede resultar en acciones de Habeas Data contra la copropiedad y sanciones de la SIC por violación de la Ley 1266.

Ley 2157 de 2021 - Reforma al Habeas Data Financiero

La Ley 2157 de 2021, conocida popularmente como "borrón y cuenta nueva", reformó el régimen de Habeas Data financiero con cambios significativos:

Cancelación automática: Los datos negativos (reportes de morosidad) se cancelan automáticamente después de 4 años para personas naturales (reducido de los 6-8 años anteriores).
Acceso gratuito a la información: Las personas tienen derecho a conocer sus datos en centrales de riesgo sin costo.
Rectificación más rápida: Se agilizó el procedimiento de rectificación de datos erróneos.
Protección de datos en pandemia: Se incluyeron disposiciones especiales para deudas durante la pandemia COVID-19.

Plazo de Permanencia del Dato Negativo

Después de la reforma, los datos negativos reportados por copropiedades permanecen en las centrales de riesgo así:

Personas naturales: 4 años desde la cancelación de la deuda.
Personas jurídicas: 6 años desde la cancelación de la deuda.
Obligaciones del estado: Plazo más largo dependiendo del caso.

Riesgos de Reportar Sin Cumplir Requisitos

Las sanciones por reportar morosos sin cumplir los requisitos legales incluyen:

Acciones de Habeas Data: El deudor puede demandar directamente ante juzgados civiles para que se cancele el reporte.
Sanciones de la SIC: Multas de hasta 2000 salarios mínimos mensuales legales vigentes (SMLMV) en 2026.
Daño moral: La copropiedad puede ser condenada a pagar indemnización por daño moral si el reporte fue infundado o causó perjuicio.
Reputación: Las afectaciones reputacionales pueden llevar a conflictos con residentes.

Reformas Normativas Recientes que Afectan la Propiedad Horizontal

El marco normativo de la propiedad horizontal ha experimentado cambios significativos en los últimos años. Las copropiedades deben estar atentas a estas reformas.

Ley 2195 de 2022 - Transparencia y Anticorrupción

Esta ley introdujo disposiciones de transparencia que aplican a copropiedades, especialmente las de mayor tamaño. Requiere:

Publicación de información sobre administración y decisiones importantes.
Acceso a información pública de la copropiedad.
Responsabilidades sobre divulgación de información.

Ley 2294 de 2023 - Plan Nacional de Desarrollo

Incluye disposiciones específicas sobre propiedad horizontal dirigidas a mejorar la gobernanza, regularización de copropiedades clandestinas, y protección de derechos de propietarios. Las disposiciones de esta ley están en proceso de implementación.

Decretos sobre Asambleas Virtuales

Después de la pandemia COVID-19, se han emitido decretos permitiendo asambleas virtuales bajo ciertos parámetros. Esto ha implicado nuevas consideraciones sobre datos personales, participación, y registro de actas.

Circular 2023-01 de la SIC

Esta circular fue emitida específicamente para copropiedades y proporciona orientación sobre:

Obligaciones de tratamiento de datos personales en copropiedades.
Especificaciones técnicas para sistemas de protección de datos.
Procedimientos para responder Habeas Data.
Requisitos de registro ante la SIC.

Proyecto de Reforma a la Ley 675 de 2001

Existe un proyecto de reforma a la Ley 675 (que regula la propiedad horizontal en Colombia) que busca modernizar la legislación. Aunque aún no ha sido aprobado, se espera que incluya disposiciones sobre protección de datos digitales y mejora de gobernanza.

Sanciones por Incumplimiento

Las sanciones por incumplimiento de la normativa de protección de datos son significativas y constituyen una razón importante para que las copropiedades tomen este tema en serio.

Multas de la SIC

La SIC puede imponer multas de hasta 2000 SMLMV (aproximadamente $180 millones de pesos colombianos en 2026) por violaciones a la Ley 1581 de 2012. Las infracciones más comunes incluyen:

No tener política de tratamiento de datos.
No responder solicitudes de Habeas Data dentro de los plazos establecidos.
No registrarse ante el RNBD de la SIC.
Reporte de morosos sin autorización o notificación previa.
Tratamiento de datos sensibles sin consentimiento explícito.
No adoptar medidas de seguridad adecuadas.

Casos Reales de Sanciones a Copropiedades

Aunque el número de casos públicamente documentados es limitado, existen ejemplos de sanciones impuestas a copropiedades por la SIC:

Sanción a una copropiedad de Bogotá por reportar morosos sin autorización previa (2020).
Sanciones a copropiedades por no tener política de tratamiento de datos (casos varios 2021-2023).
Multas por incumplimiento en respuesta a solicitudes de Habeas Data (casos sin publicación específica).

Responsabilidad del Administrador vs. la Persona Jurídica

La ley es clara: la responsabilidad principal por incumplimiento recae sobre la copropiedad (persona jurídica), no sobre el administrador individual. Sin embargo, esto no exime al administrador de sus deberes ni lo protege de acciones civiles derivadas de su negligencia. Es recomendable que:

El administrador implemente políticas claras y documentadas.
Se capacite regularmente sobre protección de datos.
Se designen responsables específicos para cumplimiento.
Se mantengan registros de cumplimiento.

Checklist Práctico de Cumplimiento en 10 Pasos

A continuación, proporcionamos un checklist práctico para que su copropiedad asegure cumplimiento con la normativa de protección de datos:

Paso	Acción Requerida	Plazo Recomendado	Responsable
1	Adoptar Política de Tratamiento de Datos Personales en asamblea general	Mes 1	Administrador + Junta Directiva
2	Publicar Aviso de Privacidad en lugares visibles	Mes 1	Administrador
3	Registrar base de datos ante el RNBD de la SIC	Mes 2	Administrador o Legal
4	Obtener autorizaciones de residentes para tratamiento de datos (especialmente para videovigilancia)	Mes 2-3	Administrador
5	Implementar canal de PQR para solicitudes de Habeas Data	Mes 1	Administrador
6	Auditar sistemas de videovigilancia para cumplimiento (zonas permitidas, señalización, almacenamiento)	Mes 1-2	Administrador + Seguridad
7	Revisar procedimientos de reporte de morosos y garantizar cumplimiento de requisitos	Mes 1	Administrador + Legal
8	Implementar medidas de seguridad física y tecnológica para proteger datos	Mes 2-3	Administrador + IT (si aplica)
9	Capacitar personal administrativo y de seguridad sobre protección de datos	Mes 2	Administrador
10	Documentar cumplimiento y realizar auditorías periódicas (mínimo anual)	Continuo	Administrador + Junta Directiva

Preguntas Frecuentes sobre Habeas Data en Propiedad Horizontal

¿Necesita una copropiedad contar con un Oficial de Protección de Datos?

La Ley 1581 de 2012 no obliga a todas las copropiedades a designar un Oficial de Protección de Datos (DPO). Sin embargo, es altamente recomendable, especialmente en copropiedades grandes (más de 100 unidades) o que manejen sistemas complejos de datos. El DPO puede ser una persona dedicada exclusivamente a este rol o alguien que cumple esta función como parte de sus responsabilidades administrativas. La designación de un DPO mejora significativamente el cumplimiento normativo y reduce riesgos.

¿Cuál es el procedimiento exacto para responder una solicitud de Habeas Data?

Cuando un residente solicita Habeas Data (acceso, rectificación o cancelación de datos), la copropiedad tiene máximo 10 días hábiles para responder. El procedimiento es: (1) Recibir la solicitud por escrito o correo electrónico; (2) Verificar la identidad del solicitante; (3) Acceder a los datos solicitados; (4) Preparar una respuesta clara y documentada; (5) Entregar la respuesta dentro del plazo. Si la solicitud es de rectificación, se debe documentar el cambio realizado. Si es de cancelación, se archiva el dato pero se mantiene constancia del proceso. La Ley 1581 permite prórrogas de hasta 8 días hábiles más si la solicitud es compleja.

¿Puede una copropiedad usar cámaras de vigilancia en apartamentos alquilados o solo en zonas comunes?

Bajo ninguna circunstancia una copropiedad puede instalar cámaras de vigilancia en el interior de unidades privadas (apartamentos), incluso si son alquiladas. Las cámaras solo están permitidas en zonas comunes (pasillos, ascensores, entrada principal, parqueadero, áreas recreativas). Además, debe existir señalización clara indicando presencia de cámaras, y la grabación de audio está generalmente prohibida. Cualquier instalación en zonas privadas violaría el derecho a la intimidad protegido constitucionalmente.

¿Qué sucede si un residente se niega a compartir sus datos personales con la copropiedad?

Si un residente se niega a autorizar el tratamiento de datos para propósitos secundarios (como videovigilancia o análisis estadísticos), tiene ese derecho. Sin embargo, ciertos datos son necesarios para la administración básica de la copropiedad (nombre, teléfono, número de apartamento) y su tratamiento se considera justificado sin necesidad de autorización específica. El residente no puede negar la recolección de datos estrictamente necesarios para la convivencia, pero sí puede negarse a datos adicionales. La copropiedad debe documentar esta negación.

¿Cuántos años debe conservar una copropiedad los registros y datos personales de propietarios, residentes y empleados anteriores?

La Ley 1581 no especifica un plazo de retención, por lo que se aplican los estándares de la legislación civil y comercial. Generalmente, se recomienda mantener datos de residentes actuales durante toda su permanencia más 2-3 años. Para empleados, se debe cumplir con requisitos tributarios y laborales (mínimo 5 años). Para propietarios anteriores, solo se conserva información necesaria para transacciones registrales. Lo importante es tener una política de retención documentada y eliminar datos cuando ya no sean necesarios. Los datos nunca deben archivarse indefinidamente sin justificación.

Habeas Data y Protección de Datos en Propiedad Horizontal: Guía Legal 2026