incumplimiento de las disposiciones dispuestas en la norma e imponer las
sanciones pertinentes a los responsables y encargados del tratamiento de datos”19.

Con el fin de alcanzar ese nivel de cumplimiento, el artículo 2 de la Ley 1581 de 2012,
sujeta toda operación de tratamiento de datos personales en el territorio colombiano al
ámbito de aplicación de la norma, extendiendo dicho ámbito de aplicación a
responsables o encargados no establecidos en el territorio colombiano, que les sea
aplicable la legislación colombiana en virtud de normas y tratados internacionales. En
efecto, el artículo 2 dispone lo siguiente:
“Artículo 2º. Ámbito de aplicación. Los principios y disposiciones contenidas en la
presente ley serán aplicables a los datos personales registrados en cualquier base
de datos que los haga susceptibles de tratamiento por entidades de naturaleza
pública o privada.
La presente ley aplicará al tratamiento de datos personales efectuado en territorio
colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento
no establecido en territorio nacional le sea aplicable la legislación colombiana en
virtud de normas y tratados internacionales.”

Sin duda alguna, el precepto jurídico citado extiende el ámbito de aplicación de la ley
estatutaria de protección de datos personales a un sinnúmero de escenarios de
tratamiento de información personal en Colombia, verbigracia, de manera ilustrativa, el
tratamiento de datos personales efectuado por proveedores de servicios de redes
sociales establecidos fuera del país, a través de un “medio”20 situado en territorio
19

Cfr. Corte Constitucional, Sentencia T-058 de 2013. M.P. Alexei Julio Estrada.

20

El Grupo de Trabajo del artículo 29, en el Informe de Trabajo No. 56, relativo a la aplicación
internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos
personales en Internet por sitios web establecidos fuera de la UE, aprobado el 30 de mayo de 2002,
indica que “no es necesario que el responsable tenga un control total sobre los medios. El responsable
del tratamiento puede tener un control variable de estos medios. El control es suficiente cuando el
responsable del tratamiento, al determinar la forma en que estos medios funcionan, toma las decisiones
adecuadas en relación con la naturaleza de los datos y su tratamiento. En otras palabras, el responsable
determina qué datos se recogen, se almacenan, se transfieren, se modifican, etc., de qué forma y con
qué objetivo.” (subrayado fuera del texto original). Igualmente, precisó que “la facultad de disposición del
responsable del tratamiento no debe confundirse con la propiedad o la posesión de los medios, ya sea
por el responsable del tratamiento, o por la persona. De hecho la Directiva no concede ninguna
importancia a la propiedad de los medios.” Igualmente, véase que en el Informe de Trabajo No 179,
adoptado el 16 de diciembre de 2010, el Grupo reitera que: “el concepto de >> recurrir a medios <<
presupone dos elementos: algún tipo de actividad del responsable del tratamiento y la clara intención del
mismo de tratar datos personales // no es necesario que el responsable del tratamiento tenga la
propiedad o pleno control de tales medios para que el tratamiento (...).” (subrayado fuera de texto).
Véase también el Informe de Trabajo No. 223 del 16 de septiembre de 2014, denominado: “Opinion
8/2014 on the Recent Developments on the Internet of Things”, Informe de Trabajo No. 196 del 1 de julio
de 2012, denominado: “Dictamen 05/2012 sobre la computación en la nube.”, Informe de Trabajo No.
Al contestar favor indique el número
de radicación que se indica a continuación:
Radicación: 14-218349- -4-0 – 2016-03-03 16:49:40