TRATAMIENTO DE DATOS PERSONALES EN PROCESOS ELECTORALES: ALCANCE Y DESAFÍOS DE LA CIRCULAR 002 DE 2026

Por: Valentina Sánchez Castillo

En este contexto, resulta relevante que los titulares de la información conozcan con claridad qué tratamientos están permitidos y cuáles son los mecanismos de protección y defensa frente a eventuales vulneraciones al derecho de habeas data, que en la práctica suelen materializarse en comunicaciones políticas no solicitadas, intrusivas o persistentes.

En este contexto, la Superintendencia de Industria y Comercio (SIC), en su calidad de autoridad nacional encargada de la protección de los datos personales y protector del derecho fundamental al habeas data, expidió la Circular 002 de 2026 por medio de la cual busca establecer lineamientos específicos para el tratamiento de datos personales con fines políticos o electorales, en especial los relacionados con actividades de publicidad, marketing o prospección política y electoral. La expedición de esta circular parte de reconocer que las redes sociales y, en general, las plataformas digitales se han consolidado como los principales canales para la difusión de mensajes políticos, tanto para realizar envíos con alcance masivo como a través de estrategias de comunicación individualizadas. 

Adicionalmente, estos entornos digitales aunado a la inteligencia artificial, posibilitan la elaboración de perfiles y la segmentación de audiencias a partir de las inferencias construidas sobre el comportamiento de los usuarios en línea, lo que permite identificar preferencias políticas e ideológicas, en donde en múltiples casos los titulares de la información  tienen plena conciencia del alcance y finalidad del tratamiento de sus datos.

El marketing político, el cual se ha extendido a los escenarios electorales actuales, involucra con frecuencia el tratamiento de datos sensibles definidos por la Ley 1581 de 2012 como aquellos que afectan la intimidad del titular o cuyo uso puede generar discriminación. En este tipo de datos se encuentran, entre otros, los que “revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos”.

El tratamiento de esta información con fines electorales, no solo plantea los riegos propios en la esfera de la intimidad de los titulares, sino que incide en las condiciones en las que se forma la opinión política del elector, en la medida en la que en muchas ocasiones esta publicidad tiende a presentar contenidos diseñados para confirmar sesgos preexistentes, reforzar posturas polarizadas, y aquí el elector deja de ser un sujeto expuesto a debate público abierto para convertirse en el destinatario de mensajes diseñados algorítmicamente a partir de sus datos personales, situación que se agrava, además, por la exposición recurrente a contenidos desinformativos o noticias falsas que circulan y potencian los efectos de distorsión y manipulación.

Con este panorama, resulta jurídicamente relevante que los electores conozcan los límites y las condiciones que rigen el tratamiento de datos personales con fines políticos y/o electorales, así como los deberes que recaen sobre los sujetos vigilados a quienes resulta aplicable la Circular 002 de 2026 expedida por la SIC. Esto permitirá evaluar la eficacia y efectividad en la regulación emitida, sobre todo teniendo en cuenta que en la práctica una de las situaciones más recurrentes en el contexto electoral es la recepción de comunicaciones con contenido político no solicitado por parte de los ciudadanos a través de distintos medios electrónicos, lo que genera no solo una afectación a la esfera intima del titular, sino incertidumbre jurídica respecto a los mecanismos disponibles para oponerse y revocar la autorización o exigir la supresión de los datos personales.

Así, en primer lugar la Circular 002 de 2026 impone a los responsables del tratamiento de datos la obligación de adoptar distintas medidas técnicas, organizacionales y administrativas que garanticen la prevención, identificación y mitigación de los riesgos asociados al tratamiento de datos personales con fines políticos o electorales asegurando un cumplimiento efectivo y demostrable del régimen legal aplicable. Esta exigencia se enmarca dentro del principio de responsabilidad demostrada (accontability) poniendo en cabeza de quienes realizan tratamiento de datos la carga de estructurar esquemas internos de cumplimiento. 

En este sentido, no resulta suficiente afirmar la existencia de la autorización para realizar el tratamiento de los datos, los sujetos vigilados deben estar en capacidad de acreditarla, es decir, se exige evidenciar que el titular otorgó un consentimiento previo, expreso e informado para la utilización de estos datos en entornos publicitarios. Así mismo, el tratamiento debe ajustarse estrictamente a las finalidades previamente informadas, de modo que cualquier uso distinto o incompatible constituiría una vulneración del principio de finalidad y del régimen de protección de datos personales.

Igualmente, se recalca en la Circular que los sujetos vigilados requieren autorización previa, expresa e informada del titular. Esto implica que elector tenga la posibilidad de conocer previamente las finalidades, usos y tipos de tratamiento que se realizará. En este sentido, se refuerza la necesidad de garantizar que las políticas de tratamiento, avisos de privacidad y mecanismos de autorización sean accesibles en todos los canales de recolección tanto físicos como digitales, debiendo además identificarse de manera clara en dichas políticas al responsable del tratamiento de datos.

La Circular establece prohibiciones expresas frente a prácticas de contacto no autorizado, en consecuencia, no está permitido agregar personas a grupos de mensajería instantánea o listas de distribución sin consentimiento previo, utilizar bases de datos adquiridas de terceros sin verificar la existencia de una autorización válida, recolectar datos mediante técnicas automatizadas de extracción masiva sin verificar previamente la existencia y validez de la autorización; esto busca limitar las practicas más comunes en escenarios electorales. 

En materia de datos sensibles, la SIC reafirma su carácter excepcional y prohíbe su tratamiento sin autorización previa, expresa e informada. Precisa que es contrario al régimen de protección de datos personales elaborar perfiles que clasifiquen, evalúen o busquen predecir la orientación política de los titulares cuando no se cuente con consentimiento previo, expreso e informado del titular. Así pues, podría interpretarse que la restricción se extiende a cualquier forma de perfilamiento que, aun cuando se base en datos que no sean sensibles en sí mismos, tenga como fin clasificar, evaluar o predecir su orientación política siempre que dicho tratamiento no cuente con el debido consentimiento del titular. 

Bajo este mismo supuesto, la SIC impone en la Circular un deber reforzado de transparencia y libertad aplicable a toda la segmentación usada para personalizar o dirigir publicidad política, conforme a esto se debe informar los criterios de segmentación, la categoría de datos personales utilizados, la fuente de los datos, el tipo de segmentación realizada y si en el proceso se emplearon sistemas de inteligencia artificial. Conforme a lo anterior, cabe señalar que, a diferencia de lo estipulado para el tratamiento de datos sensibles, señalado en el artículo 6 de la Ley 1581 de 2012, el perfilamiento no se encuentra prohibido de manera general en el ordenamiento jurídico ni sometido a contar con una autorización especial, lo que plantea una discusión interpretativa sobre el alcance de los límites introducidos por la Circular frente a prácticas de segmentación basada en datos. 

Finalmente, la Circular exige la habilitación de mecanismos agiles y permanentes para el ejercicio de los derechos a conocer, rectificar, actualizar y suprimir los datos personales, así como también exige a los sujetos vigilados restringir las comunicaciones políticas a sus afiliados limitándose exclusivamente a las autorizaciones dadas. 

Este marco normativo adquiere especial relevancia en la medida en que su conocimiento por parte de los electores constituye una condición necesaria para la protección efectiva de los derechos en el contexto electoral. La difusión de estos estándares no solo permite a la ciudadanía identificar los límites que rigen el tratamiento de sus datos personales con fines políticos, sino también reconocer que la SIC es la autoridad competente para conocer y sancionar eventuales vulneraciones al régimen de protección de datos. Sin embargo, la efectividad de este marco regulatorio no puede evaluarse únicamente a partir de su coherencia normativa, sino desde su capacidad para incidir en prácticas que operan en ecosistemas digitales altamente sofisticados y dinámicos. 

La doctrina ha expuesto lo que se conoce como la paradoja de la privacidad entendida como la divergencia entre las actitudes declaradas de preocupación por la privacidad y el comportamiento real de los individuos al revelar información personal (Acquisti, Brandimarte & Loewenstein, 2015), así, aun cuando los titulares reciben información sobre el tratamiento de sus datos, rara vez se detienen a leer las políticas de privacidad y cuando lo hacen no necesariamente modifican su comportamiento. No obstante, esta brecha entre a transparencia formal y su efectividad practica no elimina el deber de informar, más bien, demuestra que la transparencia por sí sola, no es suficiente para garantizar una protección efectiva de los datos personales, por lo que se podrían requerir mecanismos adicionales que no dependan únicamente de la actuación activa de los titulares. 

En este contexto, conviene advertir que el mayor riesgo no necesariamente proviene de los actores políticos identificados, que de por sí se encuentran obligados a las disposiciones expuestas anteriormente, sino de aquellos que operan en el anonimato, difunden mensajes sesgados, desinformativos o manipuladores sobre candidatos, partidos y procesos electorales. Precisamente por su carácter clandestino, estos actores suelen escapar del seguimiento que impone la Ley, lo que dificulta la trazabilidad de la comunicación política y limita la capacidad de las autoridades para identificar la responsabilidad y sancionar.

En consecuencia, aunque la Circular 002 de 2026 constituye un avance en la regulación del tratamiento de datos personales con fines políticos o electorales, su alcance resulta limitado frente a las dinámicas tecnológicas actuales, la intermediación de múltiples actores, la falta de identificación de los que emiten estos mensajes políticos y la rápida circulación de información en entornos digitales plantean dificultades significativas para garantizar el cumplimiento efectivo de las obligaciones previstas en el régimen de protección de datos personales. 

REFERENCIAS 

Acquisti, A., Brandimarte, L., & Loewenstein, G. (2022). Privacy and behavioral economics. En B. P. Knijnenburg, X. Page, P. Wisniewski, H. R. Lipford, N. Proferes & J. Romano (Eds.), Modern socio-technical perspectives on privacy (pp. 61–78). Springer. https://doi.org/10.1007/978-3-030-82786-1_4

Superintendencia de Industria y Comercio. 2026. Circular Externa No. 002 de 2026 (15 de enero de 2026). Bogotá: Superintendencia de Industria y Comercio. https://sedeelectronica.sic.gov.co/sites/default/files/normativa/Circular%20externa%20002%20de%202026.pdf