La respuesta corta: no siempre es ilegal, pero vender bases de datos con información personal sin cumplir las reglas de la Ley de Protección de Datos puede convertirse en una conducta sancionable y, en algunos supuestos, en ilícito penal o civil.
A continuación encontrarás un análisis práctico y jurídico (con leyes, decretos, jurisprudencia reciente y pasos concretos) pensado para abogados, empresarios y estudiantes que necesitan entender cuándo una compraventa de bases de datos es lícita y cómo mitigar riesgos.
Redacción Lexir
Marco legal básico: ¿qué norma regula esto?
Ley 1581 de 2012 (Ley de Protección de Datos Personales)
La Ley 1581/2012 establece el régimen general de protección de datos personales en Colombia: reconoce el derecho constitucional al habeas data y regula autorizaciones, finalidades, deberes del responsable y derechos de los titulares. Cualquier tratamiento (incluida la transferencia o venta de bases de datos) debe respetar esos principios y reglas.
Decreto 1377 de 2013 (reglamentario)
El Decreto 1377 reglamenta aspectos prácticos de la Ley, incluyendo requisitos sobre autorización, comunicaciones previas y obligaciones al transferir o entregar bases de datos a terceros. Define cuándo y cómo se considera transferencia y qué requisitos operativos deben cumplirse.
Superintendencia de Industria y Comercio (SIC)
La SIC es la autoridad encargada de supervisar y sancionar incumplimientos al régimen de datos personales en Colombia. La jurisprudencia administrativa y los conceptos de la Delegatura para la Protección de Datos Personales orientan la interpretación práctica. En los últimos años la SIC ha impuesto sanciones y órdenes de cumplimiento significativas.
¿Vender bases de datos es una “transferencia” o “tratamiento”?
En términos legales la venta de una base de datos que contiene datos personales constituye una transferencia del tratamiento: el titular que adquiere la base pasa a ser responsable del tratamiento (o co-responsable según el contrato) y, por tanto, adquiere obligaciones frente a los titulares de los datos. El supuesto básico: nunca se “vende la titularidad” de los datos (los derechos sobre la información siguen perteneciendo a los titulares), sino que se transfiere la posibilidad de tratarlos bajo nuevas finalidades y reglas.
¿Cuándo sí es lícito vender una base de datos?
Una operación de compraventa o cesión de una base de datos puede ser lícita si se cumplen, al menos, los siguientes requisitos:
Consentimiento válido: los titulares dieron autorización previa, expresa y para la finalidades específicas (salvo excepciones legales). Si no existe consentimiento, la transferencia puede ser ilegal.
Finalidad compatible y informada: la finalidad del comprador debe quedar clara y ser compatible con la autorización original (o debe obtenerse nueva autorización).
Contrato claro entre vendedor y comprador: cláusulas sobre finalidad, deberes de seguridad, acceso, rectificación, supresión y/o suspensión, subcontratación, cesión, métricas de calidad, etc.
Registro en el RNBD (si aplica) y cumplimiento de obligaciones de seguridad: mantener políticas internas de tratamiento y medidas de seguridad.
Prohibición sobre datos sensibles: datos sobre salud, orientación sexual, religión, origen étnico o datos biométricos requieren tratamientos especiales y, en muchos casos, no pueden ser objeto de venta para usos comerciales sin autorización expresa y específica.
Un artículo que sintetiza prácticas y riesgos sobre compraventa de bases de datos coincide en que la operación no está prohibida en abstracto, pero es una transferencia sujeta a las reglas.
¿Cuándo NO se puede vender una base de datos?
Sin autorización ni base legal: vender listas de clientes, prospectos o usuarios sin la autorización prevista por la Ley 1581 es una infracción administrativa.
Cuando contiene datos sensibles sin tratamiento autorizado: vender información de salud, biométrica, opinión política o datos sobre menores sin las autorizaciones legales es especialmente riesgoso.
Si la venta impide el ejercicio de derechos ARCO (acceso, rectificación, actualización y supresión): por ejemplo, plataformas que no permiten a los titulares rectificar o solicitar eliminación. La SIC sanciona estas prácticas.
Divulgación pública de datos no públicos: la Corte Constitucional ha reiterado límites entre información pública y datos personales protegidos; no todo lo que está en la web es “libre” para revender. La jurisprudencia reciente aclara estos límites.
Riesgos y sanciones por vender datos sin cumplir la ley
La Ley 1581 prevé sanciones administrativas que la SIC puede imponer, entre ellas: multas hasta por 2.000 salarios mínimos mensuales legales vigentes (SMLMV), suspensión de actividades relacionadas con el tratamiento hasta por seis meses y cierres temporales o definitivos. Estas sanciones pueden ser sucesivas. Además, hay responsabilidad civil por daños y, en hechos extremos, posibilidad de responsabilidad penal si la conducta encaja en tipos penales relativos a violación de datos (según otros cuerpos normativos).
Ejemplo real reciente: la SIC ha impuesto sanciones y órdenes de cumplimiento (ej.: casos contra plataformas y operadores de datos) donde consideró que no se respetaron autorizaciones ni derechos de los titulares. Esto muestra que la autoridad está activa y sanciona incumplimientos.
Cómo vender una base de datos legalmente: checklist práctico
| Paso | Qué hacer | Por qué |
|---|---|---|
| 1 | Verificar la base legal (consentimiento, interés legítimo, datos públicos). | Evita sanciones por falta de autorización. |
| 2 | Revisar finalidad original y compatibilidad. | La nueva finalidad del comprador debe ser compatible o requiere nuevo consentimiento. |
| 3 | Contrato de transferencia: responsabilidades, limitación de uso, subencargados, seguridad, indemnidades. | Protege a vendedor y comprador frente a incumplimientos. |
| 4 | Implementar medidas de seguridad técnicas y organizativas. | Obligación legal y requisito para la SIC. |
| 5 | Informar a titulares y ofrecer mecanismo ARCO (cómo solicitar rectificación/supresión). | Garantiza derechos de los titulares. |
| 6 | Excluir datos sensibles o tratarlos con autorización expresa y específica. | Datos especialmente protegidos tienen reglas estrictas. |
| 7 | Mantener registro del RNBD si aplica y evidencias de consentimiento. | Buena práctica probatoria ante controles. |
Clausulas contractuales recomendadas
Definición precisa de datos transferidos y finalidad.
Obligaciones de seguridad y notificación de incidentes.
Prohibición de nuevas cesiones sin autorización.
Cláusula de indemnización por sanciones regulatorias y daños a terceros.
Mecanismos de auditoría y acceso a registros de tratamiento.
Jurisprudencia y pronunciamientos relevantes (selección reciente)
Sentencia T-254 de 2024 (Corte Constitucional): reafirma límites entre información pública y datos personales y recuerda que no toda petición de datos implica autorización para su uso libre; delimita el acceso a información pública frente al habeas data.
La Corte Constitucional ha emitido otras providencias (2024–2025) que han marcado criterios sobre la publicación de providencias y protección de datos personales; la tendencia jurisprudencial enfatiza el equilibrio entre acceso a la información y protección de datos.
Acciones de control y sanciones administrativas de la SIC (2024–2025): la autoridad ha impuesto sanciones a empresas por incumplimientos en el tratamiento y transferencia de datos, lo que demuestra la linealidad entre práctica irregular y sanciones.
Importante: la legislación y la interpretación sancionatoria han tenido actividad reciente; por eso conviene verificar fallos y conceptos concretos cuando se presente un caso real.
Ejemplo práctico (hipotético)
Una empresa X vende a la empresa Y una lista de 120.000 clientes con nombres, teléfonos y correos. El vendedor recogió originalmente los datos para entregar facturas y notificaciones de servicio; no obtuvo autorización expresa para fines comerciales ni para vender la lista. La empresa Y comienza campañas masivas sin informar a los titulares. Resultado probable:
Infracción por falta de base legal para la transferencia.
Orden de la SIC para cesar el tratamiento y multas potenciales (hasta 2.000 SMLMV según la gravedad).
Posibles demandas de los titulares por vulneración de derechos ARCO.
Buenas prácticas y recomendaciones
Antes de comprar o vender, auditar la base de datos (origen, autorizaciones, calidad).
Excluir datos sensibles o tratarlos con extremo cuidado.
Documentar consentimientos: conserva evidencia (formularios, logs, comunicaciones).
Firmar contratos robustos y prever auditorías.
Implementar y documentar medidas de seguridad (cifrado, control de accesos, copias).
Informar a titulares cuando la transferencia implique un cambio significativo en la finalidad.
Consultar asesoría especializada y, si procede, notificar o registrar en el RNBD.
Preguntas frecuentes (FAQ)
1. ¿Puedo vender una base de datos de clientes que contenía sólo nombre y correo?
Sí es posible, pero solo si existe una base legal (consentimiento u otra excepción aplicable) y la finalidad del comprador es compatible con la autorización dada por los titulares; además debe cumplirse con deberes informativos y contratos.
2. ¿Qué pasa si la base tiene números de cédula o historial crediticio?
Si incluye información sensible o altamente identificable (p.ej. números de cédula vinculables a otros datos) aumenta el riesgo y puede requerir autorizaciones específicas o incluso impedir la venta para ciertos fines. La SIC vigila especialmente este tipo de bases.
3. ¿La SIC puede multarme por vender datos sin pedir autorización?
Sí. La SIC puede imponer multas hasta por 2.000 SMLMV, suspender actividades de tratamiento o imponer otras medidas. Además hay riesgos civiles y, en hechos gravísimos, penales.
4. ¿Es suficiente un contrato entre empresas para protegerme?
El contrato es esencial, pero no sustituye la obligatoriedad de contar con consentimiento o base legal frente a los titulares. El contrato protege entre las partes, pero la obligación frente a los titulares subsiste.
5. ¿Qué debo hacer si ya vendí una base sin autorización?
Documentar lo ocurrido, suspender usos que vulneren derechos, informar a la SIC si procede, ofrecer mecanismos ARCO a titulares y buscar asesoría legal para mitigar sanciones y posibles demandas.
Conclusión
Vender una base de datos no es automáticamente ilegal en Colombia, pero sí es altamente regulado. La diferencia entre una operación lícita y una infracción radica en el cumplimiento del régimen de protección de datos: consentimientos, finalidades compatibles, contratos adecuados, medidas de seguridad y respeto por los derechos de los titulares. La Superintendencia de Industria y Comercio ha aumentado su actividad sancionatoria, por lo que la prevención y la documentación son clave.
Fuentes principales consultadas
Ley 1581 de 2012 (régimen general de protección de datos).
Decreto 1377 de 2013 (reglamentario).
Art. 23 Ley 1581 — régimen sancionatorio (multas hasta 2.000 SMLMV).
Sentencia T-254 de 2024, Corte Constitucional (límites entre información pública y protección datos).
Comunicados y sanciones recientes de la Superintendencia de Industria y Comercio (casos prácticos).
