Habeas Data

Habeas Data es la Ley 1581 de 2012 en Colombia, que regula el tratamiento de datos personales y obliga a cualquier empresa que almacene información de contactos (leads, clientes, proveedores) a pedir consentimiento explícito antes de enviar comunicaciones automatizadas y a ofrecer derecho al olvido en cada mensaje. Aplica a bases de datos de WhatsApp, email, SMS y CRMs. La Superintendencia de Industria y Comercio (SIC) es el ente vigilante, con multas de hasta 2,000 SMLMV por incumplimiento — cerca de USD 700,000 a tasa actual.

Qué exige la ley, en términos operativos.

Cuatro obligaciones principales. Primero, obtener autorización previa, expresa e informada antes de recolectar datos — no se puede asumir consentimiento. Segundo, informar la finalidad específica del tratamiento (captación comercial, soporte, facturación). Tercero, permitir al titular conocer, actualizar, rectificar y suprimir sus datos (derechos ARCO). Cuarto, registrar la base de datos ante la SIC si maneja más de 100,000 registros o eres persona jurídica con ingresos mayores a 100,000 UVT.

Cómo afecta la automatización de WhatsApp y email.

Si automatizas mensajes salientes (cold outreach por WhatsApp o email marketing masivo), cada contacto debe haber otorgado consentimiento verificable. En WhatsApp Business API, el opt-in se documenta en el canal donde se obtuvo (formulario web, compra previa, pop-up) con fecha y origen. Meta valida esto al aprobar plantillas: si la plantilla es de marketing puro sin relación previa con el contacto, la rechaza. Para email, cada correo debe incluir enlace de desuscripción funcional y dirección física de la empresa.

Responsable y encargado del tratamiento.

El responsable es la empresa dueña de los datos (tu cliente B2B). El encargado es quien procesa los datos por cuenta del responsable (tu agencia, tu BSP, tu proveedor de email). Si implementas un bot de WhatsApp para un cliente, tu agencia actúa como encargado: debes firmar un contrato de tratamiento de datos que especifique finalidad, seguridad, duración y devolución o eliminación al terminar la relación. Sin ese contrato, la responsabilidad legal cae sobre ambas partes.

Multas y sanciones reales.

La SIC ha multado a empresas grandes por USD 100,000 a USD 500,000 por infracciones concretas: envío de SMS sin opt-in, venta de bases de datos, no atender solicitudes de supresión dentro de los 15 días hábiles que fija la ley. En 2024 una entidad financiera fue sancionada con 780 SMLMV por no depurar contactos opt-out. Las multas escalan con reincidencia y pueden llegar a cierre temporal de la operación de tratamiento.

Buenas prácticas al implementar WhatsApp y CRM.

Seis puntos prácticos. Uno, incluye checkbox no pre-marcado en cada formulario con texto explícito de autorización y link a política de tratamiento. Dos, guarda timestamp, IP y origen del consentimiento en el CRM. Tres, en cada plantilla de WhatsApp de marketing incluye “Responde SALIR para no recibir más mensajes” y automatiza el opt-out. Cuatro, revisa la base cada seis meses y elimina contactos sin actividad mayor a dos años. Cinco, publica política de tratamiento de datos en tu sitio con finalidades específicas y canales de contacto del oficial de datos. Seis, si manejas datos sensibles (salud, biometría, menores) aplica requisitos reforzados. Para el detalle de cómo montar flujos WhatsApp legales en Colombia, ver la guía de automatización WhatsApp empresa Colombia 2026.