Protección de datos personales en Colombia: riesgos y sanciones

Karolay Argüelles Zubiría ^[1]

Hoy en día, la información es un recurso vital que las organizaciones utilizan para el desarrollo eficiente y estratégico de sus operaciones diarias. Sin embargo, muchos empresarios desconocen las cargas y consecuencias de quien es responsable del tratamiento de datos personales. De ahí que valga la pena preguntarse cuáles son los riesgos que asumen pequeñas y grandes empresas al tratar datos personales de terceros. Para responder, es necesario analizar el régimen de protección del habeas data en Colombia y las sanciones por su incumplimiento.

Sumario:

I. Introducción II. Historia: el habeas data frente a la intimidad III. Conozca la información a la que se le da tratamiento IV. Consecuencias del incumplimiento V. ¿Qué debería tener en cuenta?: Consejos y recomendaciones VI. Conclusión VII. Bibliografía.

1. Introducción

Que las compañías den cumplimiento a las obligaciones que impone el ordenamiento jurídico en materia de privacidad, no ha sido una tarea fácil en el contexto internacional. Durante el transcurso del año 2021 han sido diversos los tipos de sanciones a los que han sido sometidas las empresas por violación al régimen de habeas data. Recientemente, Amazon Inc. fue sancionada por la Unión Europea con una cuantiosa multa por valor de 746 millones de euros por incumplimiento del Reglamento de Protección de Datos de esa comunidad^[2]. Esta es, hasta ahora, la mayor sanción de la historia en materia de privacidad, seguida de aquella impuesta a Google LLC y Google Ireland Limited, por la suma de 100 millones de euros ante la infracción de la directiva europea eprivacy^[3]respecto a las políticas de cookies[4] y navegación.

Por su parte, en Colombia, el ciudadano corporativo no ha sido ajeno a esta situación. Evidencia de esto es que entre los meses de mayo a octubre de 2021, compañías como Claro^[5], Rappi^[6], Comcel^[7], Bimbo^[8] e, inclusive, algunas cámaras de comercio^[9], fueron sometidas a sanciones — aproximadamente 1700 millones de pesos— por parte de la Superintendencia de Industria y Comercio (en adelante, SIC), al tratar inadecuadamente información personal de sus usuarios o clientes, bajo su custodia.

Paralelamente, durante el mes de septiembre, la Fiscalía General de la Nación reportó que son cerca de 364.443^[10] noticias criminales que han ingresado a la institución, dentro de las cuales 2241^[11] corresponden a investigaciones en curso por el delito de violación de datos personales, ¿pero qué es lo que ocurre?

De acuerdo con las dinámicas que rigen el ambiente global, el triunfo de una organización no solo depende de los bienes tangibles que pueda tener, sino también de su habilidad en el aprovechamiento de los recursos intangibles que pueda obtener, tales como el conocimiento del mercado y la información de sus clientes, sobre todo, cuando esta última es confiable, se encuentra actualizada y es completa^[12]. Ello, es lo que ha conllevado que actualmente el tratamiento (esto es, la recolección, almacenamiento, uso, circulación o supresión^[13]) de los datos personales se convierta en una necesidad para la realización de actividades lícitas, legítimas, de interés general o particular de cualquier empresa.

Ante ello, nuestro ordenamiento no se opone al tratamiento, pero espera que el ejercicio esté permeado de legalidad. Esto último en atención a que las regulaciones en la materia exigen que la información tratada por una persona jurídica o natural no solo garantice el cumplimiento de los principios constitucionalmente establecidos para su administración, sino también que su uso sea respetuoso de los derechos humanos y, por tanto, de la legislación aplicable para su protección.

Así las cosas, el adecuado o inadecuado tratamiento de la data podría significar que el ciudadano corporativo se vea enfrentado a determinados riesgos que podrían llevarlo al éxito o al fracaso, si de pensar en sanciones se trata.

De ahí que resulte relevante que nos preguntemos: ¿la información personal es objeto de protección constitucional/legal?, ¿toda información es un dato personal?, ¿cómo puedo captar información de forma legítima?, ¿quiénes son los responsables y encargados de proteger este tipo de información?, ¿a quién puedo entregar la información?, ¿existen limitaciones para su tratamiento?, ¿quién es la autoridad encargada de la vigilancia en materia de datos?, ¿qué tipo de sanciones me pueden ser aplicables?, ¿puedo ir a prisión al no cumplir con el régimen de tratamiento de datos?, ¿qué debería tener en cuenta para no ser sometido a este tipo de riesgo?

Para dar respuesta a los anteriores interrogantes, en el presente escrito se aborda la historia del habeas data, específicamente dónde nace el ámbito de protección de este derecho y su evolución. Enseguida, se explica cómo identificar cuándo nos encontramos ante la presencia de un dato personal, la naturaleza de la información, así como los límites o requisitos a cumplir para su entrega o revelación a terceros. Posteriormente, se analizan los riesgos a los que puede verse enfrentado el ciudadano corporativo en materia de derecho punitivo en caso de infracción de la regulación vigente. Igualmente, se esbozan algunos consejos o recomendaciones a las empresas acerca de qué deberían tener para la protección de la data bajo su responsabilidad y, finalmente, se ofrece una conclusión sobre ello.

1. Historia: El habeas data frente a la intimidad

El derecho al habeas data fue consagrado por el legislador en el artículo 15 de nuestra Constitución Política y se refiere al derecho fundamental a la intimidad. En sus primeros años de vigencia, la Corte Constitucional (en adelante, CC) conceptualizó el habeas data como la garantía que tienen todas las personas de conocer, actualizar y rectificar la información que sobre ellas haya sido recopilada, tratada y distribuida en bancos de datos o archivos, ya sea en entidades públicas o privadas^[14]. No es otra cosa que el poder del que dispone el titular de la información de tener control del uso o tratamiento que se haga sobre sus datos en cualquier repositorio de información.

En un principio, la CC consideraba que ese poder del titular sobre sus datos era uno de los elementos que integran la intimidad como derecho de más amplio espectro, entendido como «aquella órbita reservada para cada persona y del que toda persona debe gozar, que busca el aislamiento o inmunidad del individuo frente a la necesaria injerencia de los demás, dada la sociabilidad natural del ser humano»^[15]. En otras palabras, la corporación interpretaba que estos derechos tenían una relación de especie a género^[16], de modo que el habeas data se convertía en una garantía limitada que debía ser concebida como una forma de expresión del segundo.

Sin embargo, con el paso del tiempo y, atendiendo a la existencia de casos en materia de datos, en donde poco o nada se atenta contra la intimidad de una persona,^[17] la CC expidió la sentencia T-552 de 1997. En ella, la Corte categorizó el habeas data como un derecho autónomo y diferenciable de otras garantías constitucionales como la intimidad y el buen nombre, todos concebidos en el artículo 15 de la Constitución Nacional.

Más tarde, a través de sentencia T-307 de 1999, la CC ratificó esta distinción conceptual al afirmar que «el habeas data es un derecho fundamental autónomo que tiene la función primordial de equilibrar el poder entre el sujeto concernido por el dato y aquel que tiene la capacidad de recolectarlo, almacenarlo, usarlo y transmitirlo». Igualmente, esta interpretación fue planteada de la misma forma en las sentencias T-527 del 2000, T-578 de 2001, T-729 de 2002 y C-336 de 2007. Resaltando, en esta última, que la delimitación de los conceptos cobraba vital importancia por cuanto permite «la posibilidad de obtener su protección judicial por vía de tutela de manera independiente; (ii) por la delimitación de los contextos materiales que comprenden sus ámbitos jurídicos de protección; y (iii) por las particularidades del régimen jurídico aplicable y las diferentes reglas para resolver la eventual colisión con el derecho a la información»^[18].

En el año 2012, la CC expidió la sentencia SU-458 de 2012, donde señaló que «el derecho al habeas data es de naturaleza dúctil o proteica, por cuanto tiene doble naturaleza. Por una parte, goza del reconocimiento constitucional como derecho autónomo y, por la otra, ha sido considerado como una garantía de otros derechos», tales como la intimidad. Según la Corporación, a pesar de que el habeas data sea una garantía diferenciable, existe un vínculo estrecho entre estos dos derechos por cuanto, de la naturaleza de la data, dependerá la posible afectación o no a la intimidad de una persona y, en consecuencia, su tipo de circulación. Sobre todo, si nos encontramos ante un tipo de información que implique una protección constitucional reforzada^[19].

Así las cosas, el nivel de intromisión en la esfera de la intimidad se encontrará subordinado a la clase de dato personal que se administra. Por esta razón, es de gran relevancia para las personas naturales y jurídicas entender cuándo se encuentran ante un dato personal e identificar la naturaleza de la información que trata. Lo anterior, por cuanto esto es lo que les permitirá determinar su nivel de protección o reserva, y con ello, a quién hace entrega de los datos personales bajo su custodia.

1. Conozca la información a la que se le da tratamiento

Para empezar, es importante mencionar que no toda información es objeto de protección del derecho constitucional al habeas data. Como su nombre lo indica, un dato personal «es aquel que contiene información sobre condiciones o cualidades de un individuo o de una persona jurídica»^[20]. En principio, la Ley 1581 de 2012, Régimen General de Protección del Habeas Data, en su artículo 3 lo define como «cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables».

En este punto, llama la atención que la norma parece que solo concediera esta garantía en favor de las personas naturales. Sin embargo, la SIC, en concordancia con la CC, ha interpretado que no se trata de una restricción o desconocimiento del derecho a las personas jurídicas^[21], sino que, ciertamente, su cobijamiento nace o se extiende en razón de la existencia de las personas naturales que conforman dichos entes. Así pues, el uso del término resulta ser legítimo^[22].

En los anteriores términos, siempre que nos encontremos ante una información que permita la individualización de una persona, estaremos ante la presencia de un dato personal que debe ser objeto de protección de conformidad con lo dispuesto en la Ley 1581 de 2012 y el Decreto reglamentario 1377 de 2013. En consecuencia, y antes que nada, la tarea de las organizaciones consistirá en conocer cómo identificarlos; entonces ¿cómo pueden hacerlo? Para tal efecto, la CC a través de la sentencia T-729 de 2002 estableció las cualidades de un dato personal:

(i)se refiere a aspectos exclusivos y propios de una persona natural, ii) permite identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita (iv) su tratamiento –captación, administración y divulgación– está sometido a determinados principios.

De ello se puede colegir que, la información de carácter impersonal no será objeto de protección de las normas mencionadas^[23] y que la Corte ha establecido unos criterios que componen este derecho, los cuales en su conjunto se convierten en los principios de la administración de datos personales: libertad, veracidad, necesidad, finalidad, circulación restringida, utilidad, integridad, incorporación, individualidad y caducidad^[24]. De tal manera que estos deberán ser aplicados por los responsables y encargados para alcanzar así un adecuado tratamiento de sus repositorios de información. Ahora bien, ¿quién(es) tienen este deber?

La Ley 1581 consagró la figura del responsable y del encargado del tratamiento de datos personales. Los primeros son definidos como aquellos que por sí mismos, o en asocio con otros, deciden sobre los archivos o bases de datos^[25]. Por su parte, el encargado es aquel que en nombre del responsable realiza el tratamiento^[26]. En otras palabras, los responsables son quienes determinan qué datos se tratarán, cuáles son sus fines y los medios del tratamiento; mientras que los encargados no deciden sobre los datos, sino que tratan los mismos por cuenta y bajo responsabilidad del primero. Ello implica —y claro, dependiendo del caso en concreto— que, a la hora de presentarse una presunta violación en materia de data, deberá responder el responsable del tratamiento, en todo caso.

Asimismo, una vez se pueda identificar si nos encontramos ante la presencia de un dato personal, se deberá estudiar la clase de información a tratar, así como el grado de protección constitucional que el derecho fundamental a la intimidad le brinda a cada tipo, pues de ello dependerá que su manejo se realice conforme a la norma. No obstante, esta regulación no contempló una clasificación de la información. De modo que, la CC, a través de su jurisprudencia, desarrolló estas categorías especiales que están orientadas a «clasificar la información desde un punto de vista cualitativo en función de su publicidad y la posibilidad legal de obtener acceso a la misma»^[27]:

• Información pública: Por mandato constitucional o legal estos datos son de libre acceso. Entre estos se encuentran el estado civil de las personas, su profesión u oficio, número de identificación o datos sobre la conformación de la familia, entre otros. «Por su naturaleza, los datos públicos pueden estar contenidos en registros y documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva»[28]. En consecuencia, si un dato no es de naturaleza sensible, privada o semiprivada, es un dato público^[29]. Según la CC, esta información podrá ser obtenida sin reserva alguna, de forma que podrá ser solicitada por cualquier persona directamente y sin el deber de cumplir requisitos^[30].

• Información semiprivada: Entendida como aquella que no tiene una naturaleza sensible o pública, cuya divulgación puede interesar no solo a su titular, sino a cierto grupo de personas. Aquí podemos relacionar los datos referidos a la seguridad social de una persona, su comportamiento financiero, su actividad comercial o de servicios, antecedentes judiciales^[31], su teléfono, dirección de residencia, inclusive su correo electrónico, aún cuando se trate de su correo corporativo. Respecto a su acceso, la CC ha dicho que este tipo de información presenta un grado mínimo de limitación, de manera que esta solo podrá ser obtenida en el marco de los principios de administración de datos personales y revelada por orden de autoridad administrativa en el marco de sus funciones^[32].

• Información privada: Se define como aquella que por su naturaleza íntima solo es relevante para su titular. Según la CC, esta clase de datos se encuentra en el ámbito propio del sujeto a quien le incumbe. Así las cosas, aquí se circunscriben elementos como los «libros de los comerciantes, las historias clínicas, la información extraída a partir de la inspección del domicilio o luego de la práctica de pruebas en procesos penales sujetas a reserva»^[33], «la información genética que reposa en bancos de sangre, esperma, laboratorios, consultorios médicos u odontológicos»^[34], fotografías o capturas de imágenes. Por consiguiente, su nivel de reserva recae en que esta solo podrá ser entregada a terceros por el propio titular o mediando orden de autoridad judicial en el cumplimiento de sus funciones^[35].

• Información sensible: En concordancia con el artículo 3 del Decreto 1377 de 2013, se entiende como «aquella que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación», entran aquí «datos como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos»,  por ejemplo la huella dactilar^[36]o los rasgos faciales^[37]. En consecuencia, teniendo en cuenta que este tipo de información radica en la órbita exclusiva de una persona y su estrecha relación con otros derechos como la libertad, la intimidad y la dignidad, goza de una reserva que solo podrá ser conocida por el titular, o, excepcionalmente, por decisión de autoridad judicial en caso de que se configuren algunas de las circunstancias taxativamente previstas en la ley^[38].

Por ello resulta relevante que las empresas y personas naturales, como responsables y encargados del tratamiento de datos, conozcan los principios y obligaciones que regulan su administración, su naturaleza, así como los límites establecidos para el levantamiento del velo o reserva de la información bajo su custodia. Esto les permitirá reflexionar al momento de hacer entrega de la información a terceros o a una autoridad judicial o administrativa. De ahí depende que pueda evitarse la imposición de sanciones por las autoridades competentes si no lo hacen adecuadamente.

1. Consecuencias del incumplimiento

Nuestra norma estatutaria designó a la SIC como la autoridad de protección de datos en Colombia. Ello a efectos de que vele que en su tratamiento «se respeten los principios, derechos, garantías y procedimientos previstos en la ley»^[39]. En ese sentido, le corresponde a esta autoridad administrativa no solo garantizar el cumplimiento de la legislación en materia de datos e impartir instrucciones sobre los procedimientos a implementar para su adecuada operación, sino también, de «adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data»^[40].

Por ese motivo, en caso de que se materialicen incumplimientos frente a las disposiciones consagradas en este ámbito, la ley advierte que la SIC podrá imponer sanciones que versan desde el pago de una millonaria suma de dinero o el cierre definitivo de una empresa así:^[41]

1. Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó;
2. Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar;
3. Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio;
4. Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.

No obstante, estas sanciones ostentan un carácter variable como quiera que la ley consagra criterios específicos que permiten a la SIC establecer su graduación o nivelación, entre estos:  la dimensión del daño y la puesta en peligro del bien jurídico tutelado; el beneficio económico obtenido por el responsable con la inobservancia de la norma; la reiteración de la conducta omisiva; el incumplimiento o desacato de las órdenes ya impartidas por la SIC y la aceptación de cargos, antes de la expedición de la resolución sancionatoria^[42].

En este contexto, vale la pena mencionar que las sanciones indicadas solo podrán ser aplicables a las empresas privadas, dado que, ante el presunto incumplimiento de una entidad pública, la SIC deberá remitir la actuación ante la Procuraduría General para que en el marco de sus funciones adelante la respectiva investigación^[43] y expida la respectiva sanción, la cual podría discurrir entre la imposición de una amonestación por escrito, la suspensión o la destitución e inhabilidad general del funcionario[44]. En este contexto es necesario aclarar que la SIC tiene la competencia para investigar tanto entidades públicas como privadas como sujetos pasivos del régimen que protege el derecho al habeas data. Lo anterior, por cuanto la SIC tiene como finalidad la de proteger al titular del dato personal, mientras que la Procuraduría protege, en particular, la función pública. En consecuencia, la SIC podrá imponer sanciones en la materia y la Procuraduría dirigirá su investigación hacia la conducta del servidor público responsable que incumplió con sus deberes funcionales[45].

Paralelamente a las sanciones de carácter administrativo, el Código Penal, dentro del bien jurídico de la protección de la información y los datos informáticos, consagró el delito de violación de datos personales así: «El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes»^[46]. La concepción de este tipo penal radica en que, con la comisión del punible no solo se lesionan la seguridad, confiabilidad e integridad de la información, sino también la intimidad del ciudadano o del titular como sujeto pasivo de la conducta que tiene derecho a la inviolabilidad de su información personal.

A pesar de la sanción penal prevista por el legislador, cada día las cifras van en aumento. Muestra de ello es que durante el año 2019 fueron aproximadamente 9000 noticias criminales interpuestas por violación de data. Mientras que, para el 2020, fueron cerca de 22.000^[47]. Existe entonces una diferencia significativa del 140 % de incremento. Según los expertos esto podría ser producto de la implementación de los avances tecnológicos obtenidos en la última década, pues se han convertido en escenarios propicios para transgredir la información de carácter personal^[48]. Esto, sumado al desconocimiento de los responsables y encargados de su tratamiento respecto al campo de protección de este derecho y los instrumentos a adoptar para dar cumplimiento a la normativa aplicable. Esto es lo que lleva a que cualquier persona eleve su exposición a este tipo de riesgos.

De ahí que valga la pena preguntarse: ¿qué hacer para disminuir la probabilidad de que esta clase de riesgo se concrete?

• ¿Qué debería tener en cuenta?: Consejos y recomendaciones

Según el artículo 8 de la Ley 1581 de 2012, son derechos de los titulares de la información conocer, actualizar y rectificar sus datos personales, ser informados del uso que se les da por parte del responsable, solicitar prueba de la autorización otorgada a este para su tratamiento^[49] y presentar ante la SIC las quejas por infracciones a la norma^[50]. Por su parte, los responsables tendrán el deber de conservar la información bajo condiciones de seguridad, guardar copia de la autorización obtenida, actualizar y rectificar los datos —en el evento en que sean incorrectos— de forma oportuna, informar al titular sobre la finalidad del tratamiento, así como sus derechos; tramitar las consultas o reclamos presentados por estos y cumplir con las recomendaciones e instrucciones de la SIC, entre otros.^[51]

Sin embargo, a pesar de que los deberes de los responsables son taxativos, si se analizan los motivos más recurrentes para que la SIC haya procedido con la imposición de sanciones en las decisiones administrativas expedidas entre los años 2018 a 2020, encontramos: i) tratar datos sin autorización o una vez otorgada no conservar copia de esta; ii) no atender las consultas o reclamos presentados por los titulares en los tiempos establecidos; iii) no informar a estos sobre sus derechos y las finalidades de la captación de su información y iv) no conservar los datos bajo condiciones de seguridad.

Por ello, la SIC, para facilitar el cumplimiento de la norma, creó la cartilla Formatos modelo para el cumplimiento de obligaciones establecidas en la Ley 1581 de 2012 y sus decretos reglamentarios^[52]. El objetivo de esta consiste en orientar a los responsables del tratamiento acerca de qué deberían tener en cuenta para tratar de lograr la protección de la privacidad. Todo lo anterior a fin de materializar el principio de responsabilidad demostrada, prevista en el artículo 26 del Decreto 1377 de 2013, en el que se dispone que los responsables deberán ser capaces de evidenciar ante la SIC la adopción de medidas apropiadas y efectivas para dar cumplimiento al estatuto nacional de protección de datos. De manera que la Superintendencia deberá evaluar la existencia de tales al momento de imponer sanciones^[53].

Así las cosas, y para empezar, a efectos de evitar sanciones se recomienda la adopción de una política de tratamiento de información que deberá estar disponible para los titulares. Esta debe ser válida, actualizada y encontrarse vigente. En esta oportunidad traemos a colación la multa impuesta a WhatsApp LLC por no contar con una política de datos que debía ser socializada a los usuarios en el territorio colombiano^[54].

También, se deberá contar con un aviso de privacidad que informe a las personas la existencia de esa política de tratamiento de datos, junto a sus características y dónde se encuentra ubicada, además de acreditar su puesta a disposición al público. Igualmente, se deberá solicitar, a los titulares de la información, autorización para el tratamiento de sus datos, comunicándoles su finalidad y sus derechos, además de guardar la respectiva constancia. Exponemos aquí, precisamente, otro caso de penalización a una empresa en Colombia: en el 2020 la compañía Almacenes Éxito recibió sanción pecuniaria por no contar con autorización previa, expresa e informada del titular antes de suministrar información al encargado del tratamiento de los datos recolectados^[55].

Así mismo, deberá adoptarse un manual interno de gestión de datos en donde se evidencie la existencia de una estructura administrativa para el cumplimiento de la ley, los mecanismos establecidos y los ciclos internos para su materialización y, finalmente, los procesos implementados para la atención de consultas o reclamos. Aquí, por ejemplo, encontramos la sanción impuesta al Banco Falabella en el 2019 al carecer de un protocolo implementado para la atención de los requerimientos de los titulares de la información^[56].

No menos importante es tener medidas tecnológicas o condiciones de seguridad necesarias para salvaguardar la información a fin de que no haya adulteración, pérdida, consulta, uso o acceso no autorizado de los datos, o implementación fraudulenta de estos, además de reportar a la SIC y a los titulares los incidentes de seguridad presentados con la información. Tal fue el caso de Royal Films, sancionada en el 2019 por no establecer los controles de seguridad requeridos que impidieran el acceso no autorizado a la información de los usuarios^[57].

Igualmente, se deberá contar con un sistema de administración del riesgo en materia de protección de datos que permita su identificación, medición, control y monitoreo. Esto podrá lograrse con el seguimiento a la ejecución de las medidas adoptadas a través de auditorías periódicas que permitan evaluar con métricas cómo está la empresa en materia de datos y cuál es su nivel de cumplimiento. Del mismo modo, se deberá contar con un oficial de datos o una persona encargada de tramitar los requerimientos presentados, además de velar por la implementación efectiva de las políticas.

Todo lo anterior sumado al establecimiento de protocolos operacionales documentados sobre el mantenimiento, uso, eliminación o anonimización de datos personales. Un ejemplo de ello fue la multa impuesta a Rappi en el 2021 al no remover los datos personales de un usuario a pesar de haberse solicitado su supresión^[58]. Por ese motivo, resulta imprescindible la creación de un inventario de las bases de datos para la identificación de la información que administran y su organización de acuerdo con su criticidad o nivel de reserva constitucional.

Para consecución de lo anterior, estos insumos deberán acompañarse del compromiso de los sujetos obligados partiendo de su alta dirección, pues su acompañamiento y apoyo serán fundamentales para establecer el respeto por la protección de los datos personales. Ello en complemento de la adopción de una política de formación y capacitaciones, pues sería un esfuerzo en vano de la compañía implementar infinidad de políticas si sus empleados ignoran o desconocen las reglas que regulan la materia.

•      Conclusiones

Las personas jurídicas son responsables de la protección de la información personal de sus clientes contenida en bases de datos o repositorios de información. Por ello, la situación de riesgo del ciudadano corporativo frente a la imposición de sanciones resulta ser inminente, no es una cuestión de buena o mala suerte; sobre todo, si las empresas mienten a terceros y así mismas acerca de su estado de observancia, atención y acatamiento de las normas, siendo estas el parámetro de la SIC para la graduación o nivelación de penas en materia punitiva.

Lo anterior hace pensar en la necesidad de establecer una cultura de cumplimiento en nuestro país respecto al marco de protección del derecho de habeas data. En ello radica la importancia de diagnosticar su estado, de planificar y de tener protocolos en el manejo adecuado de datos personales, de manera que pueda darse efectivo cumplimiento a las políticas y regulaciones expedidas en este ámbito. Así las cosas, se convierte en una tarea compleja de grandes y pequeñas empresas el cumplir con las cargas establecidas en materia de protección de datos.

Para nadie es un secreto que la implementación de las recomendaciones presentadas en este escrito conlleva inversión de tiempo, un gran compromiso humano, técnico y, sobre todo, económico de las empresas. Conviene entonces adelantar este esfuerzo si observamos  que la sanción a imponerse por la SIC, además de implicar un alto costo financiero al empresario — alrededor de 1800 millones de pesos— podría llevarlo a la pérdida total de la organización e incurrir en el riesgo elevado de perder su actividad rentística, si de pequeñas o medianas empresas se trata, teniendo en cuenta la dimensión operativa inherente al giro ordinario de los negocios. En Colombia hay 5,4 millones de pymes[59] y, más allá de su tamaño, lo cierto es que, para evitar este tipo de riesgo, resulta necesario adoptar medidas de cumplimiento sobre la materia.

Ahora bien, si pensamos en que este tipo de multa es imponible a grandes compañías en Colombia (como Terpel o Almacenes Éxito), el valor a pagar por estas no sería significativo si revisamos que las mismas pueden recibir ingresos superiores o iguales a 10 billones de pesos al año[60]. En todo caso, se debe tener en cuenta que, el riesgo de violar datos personales también genera un impacto reputacional que se traduce en la merma de la percepción favorable que el entorno social tiene sobre las mismas.

Por ejemplo, imaginemos que una compañía dedicada a la venta de bienes y servicios a través de un aplicativo fuera sancionada por la SIC por permitir la consulta de la información financiera de sus usuarios por parte de terceros no autorizados —números de tarjetas de crédito y claves—, por no adoptar los controles de seguridad necesarios para su protección. Ante este incidente de seguridad, los clientes podrían reaccionar solicitando a esta empresa la supresión de sus datos personales, seguido de la respectiva eliminación de sus cuentas del aplicativo. Todo lo anterior, a efectos de salvaguardar su dinero.  En ese sentido, esto no solo podría ocasionar para la empresa la pérdida de su clientela y la baja competitividad de los productos ofertados frente a otras compañías, sino también la inevitable pérdida de sus ganancias. 

Por todo lo anterior, es importante que las empresas incorporen en su modelo de gestión de riesgos el aspecto regulatorio en materia de datos personales. Así las cosas, resulta imprescindible implementar las medidas que exige nuestro ordenamiento jurídico y hacer énfasis en la efectividad formal y material del sistema, lo que incluye el ámbito subjetivo de los programas de cumplimiento. Por tanto, es una tarea del ciudadano corporativo adelantar un trabajo que permita su monitoreo y actualización permanente a efectos de materializar sus deberes, cuyo incumplimiento puede acarrear sanciones de todo tipo, desde multas hasta prisión. 

• Bibliografía

COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 1581. (18, octubre, 2012). Por la cual se dictan disposiciones generales para la protección de datos personales. Diario oficial. Octubre. 2012. N.^o 48.587.

COLOMBIA. CONGRESO DE LA REPÚBLICA. Decreto 1074 (26, mayo, 2015). Por medio del cual se expide el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo. Diario oficial. Mayo. 2015. N.^o 49523.

COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 599. (24, julio, 2000). Por la cual se expide el Código Penal. Diario oficial. Julio. 44.097.

COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 734. (13, febrero, 2002). Por la cual se expide el Código Único Disciplinario. Diario oficial. Febrero. N.^o 44.708. Artículo 44.

COLOMBIA. CORTE CONSTITUCIONAL. SALA NOVENA DE REVISIÓN . Sentencia T – 552 de 1997. (30, octubre, 1997). M. P.: Vladimiro Naranjo Mesa. Bogotá. Corte Constitucional. Sala Novena de Revisión, 1997.

COLOMBIA. CORTE CONSTITUCIONAL. SALA PLENA. Sentencia C-094 de 2020 .(03, marzo, 2020). M.P.: Alejandro Linares Cantillo. Bogotá. Corte Constitucional. Sala plena, 2020.

COLOMBIA. CORTE CONSTITUCIONAL. SALA PLENA. Sentencia C-1011 de 2018.(16, octubre, 2018). M.P.: Jaime Córdoba Triviño. Corte Constitucional, Sala Plena. 2018.

COLOMBIA. CORTE CONSTITUCIONAL. SALA PLENA. Sentencia C-602 de 2016.(2, noviembre, 2016). M.P.: Alejandro Linares Cantillo. Corte Constitucional, Sala Plena. 2016.

COLOMBIA. CORTE CONSTITUCIONAL. SALA TERCERA DE REVISIÓN . Sentencia T – 020 de 2014. (27, enero, 2014). M. P.: Luis Guillermo Guerrero Pérez. Bogotá. Corte Constitucional. Sala Tercera de Revisión, 2014.

COLOMBIA. CORTE CONSTITUCIONAL. Sentencia C-640 de 2010 M.P.: Mauricio González Cuervo. Bogotá. Corte Constitucional, 2010.

COLOMBIA. CORTE CONSTITUCIONAL. SALA PLENA. Sentencia C-032 de 2021. (18, febrero, 2021). M.P.: Gloria Stella Ortiz Delgado. Bogotá. Corte Constitucional, Sala Plena. 2021.

COLOMBIA. CORTE CONSTITUCIONAL. Comunicado no. 40. Sentencia C-748/11 (6, octubre, 2011) M.P. Jorge Ignacio Pretelt Chaljub. Corte Constitucional 2011.

COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 67645 de 2021 (21, octubre, 2021).

COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 29826 de 2021 (19, mayo, 2021).

COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 60460 de 2021 (29, mayo, 2017).

COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 68369 de 2020 (28, octubre, 2020).

COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 97666 de 2019 (25, abril, 2019).

COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 13526 de 2019 (13, mayo, 2019).

COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 67645 de 2021 (21, octubre, 2021).

COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 37701 de 2021 (21, junio, 2021).

COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 29913 de 2021 (19, junio, 2021).

COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 47226 de 2021 (28, julio, 2021).

COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 39514 de 2021 (28, junio, 2021).

COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Concepto 16-193393-00001-0000 de 2016 (21, junio, 2021).

FISCALÍA GENERAL DE LA NACIÓN. Datos abiertos, Estadísticas agregado de delitos. [Consultado el 16 de octubre de 2021]. Disponible en: https://www.fiscalia.gov.co/colombia/noticia-criminal/

FISCALÍA GENERAL DE LA NACIÓN. Datos abiertos, Estadísticas delitos específicos. [Consultado el 16 de octubre de 2021]. Disponible en: https://www.fiscalia.gov.co/colombia/gestion/estadisticas/delitos/

LAPIEDRA, Rafael; FLÓREZ, Beatriz; PUIG, Alba; MARTÍNEZ, Luis. Introducción a los sistemas de información en las empresas. Universitat Jaume I. Departament d’Administració d’Empreses i Màrqueting [Consultado el 16 de octubre de 2021]. Disponible en: http://repositori.uji.es/xmlui/bitstream/handle/10234/194661/9788418432972.pdf?sequence=1

Organización de los Estados Americanos OEA. Ciberseguridad, riesgos, avances y el camino a seguir en América Latina y el Caribe 2020. Reporte Ciberseguridad 2020. [Consultado el 16 de octubre de 2021]. Disponible en: https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf

PEREZ, Henrique. Amazon recibe la mayor multa de la historia de la Unión Europea en materia de privacidad: 746 millones de euros por no cumplir con el RGPD.  Xataka, 30 de julio de 2021 [Consultado el 16 de octubre de 2021]. Disponible en: https://www.xataka.com/privacidad/amazon-recibe-mayor-multa-historia-union-europea-materia-privacidad-746-millones-euros-no-cumplir-rgpd

PUBLICACIONES SEMANA. Ranking, las 100 empresas más grandes de Colombia y las 900 siguientes. [Consultado el 16 de octubre de 2021]. Disponible en: https://especiales.semana.com/100-empresas-mas-grandes-de-colombia-2018/index.html

QUINTERO, Daniel. ¿Hacia dónde va el control en materia de protección de datos personales? Legis, Ámbito jurídico, 8 de julio de 2021. [Consultado el 16 de octubre de 2021]. Disponible en: https://www.ambitojuridico.com/noticias/tecnologia/hacia-donde-va-el-control-en-materia-de-proteccion-de-datos-personales

^[1]Abogada de la Universidad Autónoma del Caribe, graduada con honores, y Politóloga (énfasis en Gobierno y Políticas Públicas) de la Universidad del Norte. Se ha desempeñado como dependiente judicial en la Defensoría del Pueblo, Regional Atlántico, y ha sido asistente del programa Red Unidos de la Gobernación del Atlántico durante el período 2016-2019. Dentro de la firma Pava & Díaz Arana lidera la gestión de procesos, investigación jurídica y diseño de programas de Buen Gobierno Corporativo (BGC), entre otros asuntos.

^[2] PEREZ, Henrique. Amazon recibe la mayor multa de la historia de la Unión Europea en materia de privacidad: 746 millones de euros por no cumplir con el RGPD.  Xataka, 30 de julio de 2021 [Consultado el 16 de octubre de 2021]. Disponible en: https://www.xataka.com/privacidad/amazon-recibe-mayor-multa-historia-union-europea-materia-privacidad-746-millones-euros-no-cumplir-rgpd.

^[3] QUINTERO, Daniel. ¿Hacia dónde va el control en materia de protección de datos personales? Legis, ámbito jurídico, 8 de julio de 2021. [Consultado el 16 de octubre de 2021]. Disponible en: https://www.ambitojuridico.com/noticias/tecnologia/hacia-donde-va-el-control-en-materia-de-proteccion-de-datos-personales.

^[4]Son ficheros o archivos que se crean en las páginas web visitadas. Su objetivo consiste en “almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo.” Esto último, con el fin de mantener el acceso, recordar preferencias de sitios y ofrecer contenido local relevante. Disponible en: https://www.todostuslibros.com/autor/barante-m-de?

^[5]COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 67645 de 2021 (21, octubre, 2021).

^[6] COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 37701 de 2021 (21, junio, 2021).

^[7] COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 29913 de 2021 (19, junio, 2021).

^[8] COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 47226 de 2021 (28, julio, 2021).

^[9] COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 39514 de 2021 (28, junio, 2021).

^[10] FISCALÍA GENERAL DE LA NACIÓN. Datos abiertos, Estadísticas agregado de delitos. [Consultado el 16 de octubre de 2021]. Disponible en: https://www.fiscalia.gov.co/colombia/noticia-criminal/.

^[11] FISCALÍA GENERAL DE LA NACIÓN. Datos abiertos, Estadísticas delitos específicos. [Consultado el 16 de octubre de 2021]. Disponible en: https://www.fiscalia.gov.co/colombia/gestion/estadisticas/delitos/.

^[12] LAPIEDRA, Rafael; FLÓREZ, Beatriz; PUIG, Alba; MARTÍNEZ, Luis. Introducción a los sistemas de información en las empresas. Univerdadsitat Jaume I. Departament d’Administració d’Empreses i Màrqueting [Consultado el 16 de octubre de 2021]. Disponible en: http://repositori.uji.es/xmlui/bitstream/handle/10234/194661/9788418432972.pdf?sequence=1

^[13] COLOMBIA. Congreso de la República. Ley 1581 de 2012. Artículo 3, lit. g.

^[14] COLOMBIA. CORTE CONSTITUCIONAL. SALA NOVENA DE REVISIÓN . Sentencia T – 552 de 1997. (30, octubre, 1997). M. P.: Vladimiro Naranjo Mesa. Bogotá. Corte Constitucional. Sala Novena de Revisión, 1997.

^[15] COLOMBIA. CORTE CONSTITUCIONAL. SALA PLENA. Sentencia C-094 de 2020. (03, marzo, 2020). M.P.:
Alejandro Linares Cantillo. Bogotá. Corte Constitucional. Sala plena, 2020.

^[16] Ibíd.

^[17] En las centrales de información de entidades crediticias podrían llevarse a cabo ejercicios de recolección incompleta o incorrecta de datos referidos de manera exclusiva al manejo que hacen las personas de sus recursos financieros, hecho que no generaba vulneración a la intimidad del ciudadano.

^[18] COLOMBIA. CORTE CONSTITUCIONAL. Sentencia C-640 de 2010 M.P.: Mauricio González Cuervo. Bogotá. Corte Constitucional, 2010.

^[19] COLOMBIA. CORTE CONSTITUCIONAL. SALA PLENA. Sentencia C-032 de 2021. (18, febrero, 2021). M.P.: Gloria Stella Ortiz Delgado. Bogotá. Corte Constitucional, Sala Plena. 2021.

^[20] Ibíd.

^[21] Es importante hacer hincapié en que este derecho no solo ha sido concebido para personas naturales, sino también para las personas jurídicas o empresas desde el año 1997. Ello, de conformidad con lo dispuesto en las sentencias 462 de 1997 y C-1011 de 2008.

^[22] COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Concepto 16-193393-00001-0000 de 2016 (21, junio, 2021).

^[23] Ello, sin perjuicio de aquella contentiva en bases de datos de origen doméstico, seguridad y defensa nacional; prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo; inteligencia y contrainteligencia; archivos con información periodística; data financiera y censos de población nacional —estas últimas al tener su propia regulación Ley 1266 de 2008 y 79 de 1993, respectivamente—, Ley  1581 de 2012. Artículo 2 ámbito de aplicación.

^[24]Sentencia C-032 de 2021. Op. Cit.

^[25]COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 1581. (18, octubre, 2012). Por la cual se dictan disposiciones generales para la protección de datos personales. Diario oficial. Octubre. 2012. No. 48.587. Artículo 3 definiciones.

^[26] Ibíd.

^[27] Sentencia C-640 de 2010. Op. Cit.

[28] COLOMBIA. CONGRESO DE LA REPÚBLICA. Decreto 1074 (26, mayo, 2015). Por medio del cual se expide el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo. Diario oficial. Mayo. 2015. No. 49523

^[29] Ibídem.

^[30] Sentencia C-640 de 2010. Op. Cit.

^[31] COLOMBIA. CORTE CONSTITUCIONAL. SALA TERCERA DE REVISIÓN. Sentencia T – 020 de 2014.(27, enero, 2014). M. P.: Luis Guillermo Guerrero Pérez. Bogotá. Corte Constitucional. Sala Tecera de Revisión, 2014.

^[32] Sentencia C-640 de 2010. Op. Cit.

^[33] COLOMBIA. CORTE CONSTITUCIONAL. SALA PLENA. Sentencia C-1011 de 2018.(16, octubre, 2018). M.P.: Jaime Córdoba Triviño. Corte Constitucional, Sala Plena. 2018.

^[34] COLOMBIA. CORTE CONSTITUCIONAL. SALA PLENA. Sentencia C-602 de 2016.(2, noviembre, 2016). M.P.: Alejandro Linares Cantillo. Corte Constitucional, Sala Plena. 2016.

^[35] Sentencia C-640 de 2010. Op. Cit.

^[36] Ley 1581 de 2012. Op. Cit.  Artículo 5 datos sensibles.

^[37]COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 60460 de 2021 (29, mayo, 2017).

^[38] Ley 1581 de 2012. «Artículo 6. Tratamiento de datos sensibles: Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;

b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;

c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular;

d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares».

^[39] Ley 1581 de 2012. Artículo 19. Autoridad en Protección de Datos. Op. Cit.

^[40] Ibíd. Artículo 21. Funciones.

^[41] Ley 1581 de 2012. Artículo 23. Sanciones. Op. Cit.

^[42] Ley 1581 de 2012. Artículo 24. Criterios para graduar sanciones. Op. Cit.

^[43] Ley 1581 de 2012. Artículo 23. Sanciones. Op. Cit.

[44] COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 734. (13, febrero, 2002). Por la cual se expide el Código Único Disciplinario. Diario oficial. Febrero. No. 44.708. Artículo 44.

[45] COLOMBIA. CORTE CONSTITUCIONAL. Comunicado no. 40. Sentencia C-748/11 (6, octubre, 2011) M.P. Jorge Ignacio Pretelt Chaljub. Corte Constitucional 2011.

^[46] COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 599. (24, julio, 2000). Por la cual se expide el Código Penal. Diario oficial. Julio. 44.097. No. 48.587. Artículo 269F.

^[47] FISCALÍA GENERAL DE LA NACIÓN. Datos abiertos, Estadísticas delitos específicos.

^[48] Organización de los Estados Americanos, OEA. Ciberseguridad, riesgos, avances y el camino a seguir en América Latina y el Caribe 2020. Reporte Ciberseguridad 2020. [Consultado el 16 de octubre de 2021]. Disponible en: https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf.

^[49] La ley dispone que no será necesaria la autorización cuando se trate de datos públicos, urgencias médicas, información para fines históricos o estadísticos y el registro civil de las personas.

^[50] Ley 1581 de 2012, Artículo 8. Derechos de los titulares. Op. Cit.

^[51]Ibíd, Artículo 17. Deberes de los responsables del tratamiento.

^[52]COLOMBIA, MINISTERIO DE INDUSTRIA Y COMERCIO. Cartilla: «Formatos modelo para el cumplimiento de obligaciones establecidas en la Ley 1581 de 2012 y sus decretos reglamentarios».

^[53]COLOMBIA. CONGRESO DE LA REPÚBLICA. Decreto 1377 (27, junio 2013). Por medio del cual se reglamenta parcialmente la Ley 1581 de 2012. Artículo 26.

^[54]COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 29826 de 2021 (19, mayo, 2021).

^[55]COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 68369 de 2020 (28, octubre, 2020).

^[56]COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 97666 de 2019 (25, abril, 2019).

^[57]COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 13526 de 2019 (13, mayo, 2019).

^[58]COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Resolución 67645 de 2021 (21, octubre, 2021).

[59] LA REPÚBLICA [en línea]. En Colombia se crean un total de 93 micronegocios diarios en el comienzo de 2021. [Consultado el 16 de octubre de 2021]. Disponible en: https://www.larepublica.co/especiales/reactivacion-de-las-pyme/en-colombia-se-crean-un-total-de-93-micronegocios-diarios-en-el-comienzo-de-2021-3159461#:~:text=Seg%C3%BAn%20cifras%20del%20Registro%20%C3%9Anico,fue%20de%2088.248%20unidades%20productivas.

[60] PUBLICACIONES SEMANA [en línea]. Ranking, las 100 empresas más grandes de Colombia y las 900 siguientes. [Consultado el 16 de octubre de 2021]. Disponible en: https://especiales.semana.com/100-empresas-mas-grandes-de-colombia-2018/index.html