“(…) preguntarse por el costo de no reportar un incidente de seguridad no equivale a descifrar el valor de la multa. En la práctica, la sanción pecuniaria atiende solo a la parte visible de un costo regulatorio más extenso (…)”
Desde una perspectiva sancionatoria, debe indicarse que en Colombia no existe una consecuencia específica prevista para la omisión de reportar incidentes de seguridad a la SIC. Ante dicha ausencia, opera el régimen general que faculta a la Superintendencia de Industria y Comercio para imponer multas de hasta 2.000 SMMLV. No obstante, reducir el problema al valor de la multa es insuficiente, porque el verdadero costo comienza antes de la sanción y pasa por no estar preparado jurídica, organizacional y tecnológicamente para afrontar este tipo de situaciones. En consecuencia, la respuesta al interrogante planteado no es de fácil determinación y exige un análisis más amplio que la simple determinación del valor de la multa por no reportar incidentes de seguridad.
Puntualmente, la obligación de reportar los incidentes de seguridad nace del literal n) del artículo 17 y del literal k) del artículo 18 de la Ley 1581 de 2012, normativa clave en protección de datos personales en Colombia. Dichas provisiones establecen que los responsables y encargados del tratamiento deben informar a la SIC cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares. Esta obligación se complementa con el Título V de la Circular Única de la SIC, que exige reportar los incidentes de seguridad de datos personales dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.
Asimismo, aunque la Circular Única de la SIC pareciera definir a los incidentes de seguridad como “(…) la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado (…)”, un análisis integral del régimen permite advertir que la noción de incidente de seguridad informática es más amplia. En la práctica, la determinación de un incidente de seguridad no presupone identificar la mera pérdida, robo y/o acceso no autorizado de información de una base de datos, pues esos son ejemplos puntuales de este tipo de novedades.
Lo sustancial a la hora de analizar la eventual ocurrencia de un incidente de seguridad radica en determinar si se ha visto comprometida la confidencialidad, integridad y/o disponibilidad de datos personales administrados por responsables del tratamiento y/o sus encargados. Precisamente por esa amplitud conceptual, el costo de cumplimiento se incrementa para las organizaciones que no cuentan con criterios internos claros para identificar cuándo una situación debe ser gestionada como un incidente de seguridad de datos personales.
De ahí que, antes de hablar de multas, es necesario realizar investigaciones técnicas y jurídicas que permitan establecer si una situación concreta puede ser calificada como un incidente de seguridad. Ese ejercicio, incluso al margen de una eventual sanción, implica costos internos relevantes de dinero, toma de decisiones y análisis de riesgos operacionales y reputacionales asociados a la gestión de incidentes de seguridad.
Ahora bien, si se analiza únicamente la esfera sancionatoria del problema, el artículo 23 de la Ley 1581 de 2012 establece las sanciones que la SIC puede imponer por el incumplimiento del régimen de protección de datos personales, dentro de las cuales se destacan multas de hasta dos mil (2.000) SMMLV, la suspensión hasta por seis (6) meses de las actividades de tratamiento de datos personales y el cierre inmediato y definitivo de las operaciones que involucren datos personales sensibles.
Adicionalmente, la determinación de la sanción depende de los criterios de graduación sancionatoria, los cuales se desarrollan en el artículo 24 del mismo compendio normativo, a saber: la dimensión del daño o del peligro a los intereses jurídicos tutelados, el beneficio económico obtenido, la reincidencia, la resistencia u obstrucción a la investigación, la renuencia a cumplir órdenes de la SIC y el reconocimiento de la infracción antes de la sanción. Además de esos criterios de estirpe legal, la SIC ha añadido en sus resoluciones (p.ej., Res. 99885/2025 de la SIC) consideraciones de dosificación basadas en el principio de proporcionalidad, ligadas al tamaño empresarial e información de la situación financiera de la organización.
Si se estudia la práctica sancionatoria reciente, algunos casos analizados por la SIC permiten aproximarse a cuánto puede costar el incumplimiento en materia de reporte de incidentes de seguridad. En distintos expedientes, la autoridad ha sancionado la omisión de reporte de incidentes de seguridad con multas equivalentes a 10, 30 y 45 SMMLV (Ver Res. 99885/2025, Res. 99882/2025, y Res. 101746/2025 de la SIC). No obstante, también hay antecedentes más severos en los que las multas han ascendido a 154 SMMLV (Ver Res. 38583/2025 y Res. 108623/2025 de la SIC).
Ese panorama muestra que sí hay un rango empírico observable, pero no una tarifa uniforme, pues un mismo incumplimiento ha dado lugar a multas disímiles, lo cual se podría explicar, en gran medida, por las diferencias en el tamaño empresarial y a la situación financiera de los agentes sancionados. Aun así, el rango identificado no agota la pregunta de cuánto cuesta no reportar, pues solo revela una de las expresiones más visibles del costo regulatorio en protección de datos.
En suma, preguntarse por el costo de no reportar un incidente de seguridad no equivale a descifrar el valor de la multa. En la práctica, la sanción pecuniaria atiende solo a la parte visible de un costo regulatorio más extenso, que incluye una preparación previa, la efectiva adopción o ausencia de políticas de seguridad de la información, protocolos, manuales, capacitaciones, designación de roles internos (p.ej., OPDP y CISO), investigación técnica y análisis jurídico de la situación. En esta materia, el verdadero costo de incumplimiento no está solo en la sanción, sino en la preparación institucional necesaria para investigar, identificar y gestionar adecuadamente este tipo de situaciones, incluyendo su eventual reporte ante la SIC.
Alejandro Gómez Laserna
