“(…)la propia SIC ha indicado que en el tratamiento de datos personales también aplica el principio de realidad sobre las formas, de modo las cosas son lo que son en la realidad y no lo que las partes dicen que son en el contrato. (…)”
Alejandro Gómez Laserna 
Uno de los aspectos más sensibles en el flujo de datos personales consiste en asumir que los roles que se definen formalmente para las partes en un contrato coinciden con la realidad operacional. Cuando existe una divergencia entre lo estipulado y la práctica, se activan riesgos legales que, al ser analizados por la Superintendencia de Industria y Comercio, están detonando órdenes administrativas que incluso han implicado reestructuración de modelos de negocio.
Para aterrizar la discusión, es importante recordar que, en materia de tratamiento de datos personales, la Ley 1581 de 2012 distingue entre dos tipos de roles. Por una parte, describe al Responsable del Tratamiento como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros decide sobre una base de datos personales y/o el tratamiento de datos personales. Por la otra, describe al Encargado del Tratamiento como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros realiza el tratamiento de datos personales por cuenta del Responsable del Tratamiento.
A su vez, de acuerdo con el Decreto 1377 de 2013 (compilado en el Decreto 1074 de 2015), el flujo de datos personales existente entre el Encargado y Responsable del Tratamiento es denominado como transmisión y debe ser regulado por medio de cláusulas o acuerdos de transmisión de datos personales.
De lo anterior se sigue que el análisis para determinar los roles en el tratamiento de datos personales no depende de la simple autodenominación contractual de una de las partes como Encargado o Responsable del Tratamiento, sino de la efectiva verificación del papel que cada una juega respecto de la información a la que accede. De hecho, al estudiar este tipo de situaciones, la propia SIC ha indicado que en el tratamiento de datos personales también aplica el principio de realidad sobre las formas (p.ej. Res. 59876 de 2020 de la SIC), de modo que las cosas son lo que son en la realidad y no lo que las partes dicen que son en el contrato.
El anterior entendimiento ha tomado tal fuerza que el mismo fue plasmado en la instrucción No. 11 de la Circular Externa 001 de 2025 de la SIC, la cual desarrolla una regla que dicta que, aun cuando en los contratos de transmisión de datos personales se designe formalmente a una parte como Encargado del Tratamiento, si en la práctica esta determina los fines y medios del tratamiento, se considerará que es un Responsable del Tratamiento y, por ende, deberá asumir las obligaciones impuestas por la ley a dicho rol.
En consecuencia, este contexto debería llamar especialmente la atención de los centralizadores de información, integradores tecnológicos, proveedores de almacenamiento y plataformas de procesamiento que, en principio, se limitan a apoyar a Responsables del Tratamiento. No obstante, dependiendo de la realidad de sus operaciones de tratamiento y del uso que le den a la información, pueden llegar a correr el riesgo de terminar ocupando una posición material y decisiva sobre los datos personales que tratan, convirtiéndose así en Responsables del Tratamiento de facto. De igual manera, este riesgo se extiende a filiales locales o proveedores que participan activamente en la explotación económica de los datos personales, derivando en su reconocimiento como Corresponsables del Tratamiento, como se evidenció en la Res. 59876 de 2020 de la SIC.
Por lo anterior, no cualquier proveedor de servicios puede ampararse sin un análisis previo en la figura del Encargado de Tratamiento, dado que la adopción de dicho rol es meramente instrumental respecto de la información cuyo tratamiento se encomienda y exige que, desde una perspectiva contractual y material, se realice el tratamiento de los datos personales exclusivamente por cuenta y bajo las instrucciones del Responsable de Tratamiento. Por lo anterior, la pregunta por el rol no debería resolverse solo desde lo jurídico, sino a partir de una conversación con quienes gestionan y aprovechan los datos personales dentro de la organización, como las áreas de producto y mercadeo.
Las implicaciones asociadas a este tipo de situaciones son sustanciales, dado que, si en la realidad una organización actúa como Responsable del Tratamiento, entonces le son exigibles las obligaciones propias de ese rol, como fue exigido por la SIC en la Res. 43121 de 2024 y Res. 64962 de 2025. A modo de ejemplo, se destaca la obligación de obtener y conservar las autorizaciones para el tratamiento de datos personales, la implementación y publicación de una Política de Tratamiento de Datos Personales, así como la inscripción de las bases de datos tratadas bajo el rol de Responsable del Tratamiento ante el Registro Nacional de Bases de Datos, cuando de acuerdo con el nivel de activos le resulte aplicable, entre otras obligaciones establecidas en el artículo 17 de la Ley 1581 de 2012 y su normativa reglamentaria.
En suma, si un modelo de negocio o un Programa Integral de Gestión de Datos Personales se estructura bajo un rol principal de Encargado del Tratamiento, pero en la práctica la organización controla los fines o los medios esenciales del tratamiento de los datos personales que en principio trata por cuenta y bajo las instrucciones de terceros, el riesgo sancionatorio no es menor y acarrea el cumplimiento de las obligaciones propias del Responsable del Tratamiento. Puntualmente, como la definición de los roles en el tratamiento de datos personales en operaciones sofisticadas no siempre es tan fácil de definir, suele ser mucho más valioso revisarlas con anticipación, con una mirada conjunta entre el equipo jurídico y las áreas del negocio que realmente gestionan el dato, que esperar a que la SIC termine haciendo ese juicio por la organización.
Alejandro Gómez Laserna
