Volver
Natalia Garzón
Redactora freelance
Cumplimiento
5 min read

Infracción de deberes empresariales respecto al tratamiento de datos

Publicado
February 3, 2026
Conoce con quien haces negocios
Valida identidad, reputación y riesgos en un informe completo y confiable.
Conoce ya
Asegura tus sistemas de cumplimiento
Adopta estándares de transparencia y previene riesgos con nuestra asesoría integral.
Comienza hoy
Suscríbete a nuestro boletín
Recibe noticias, tendencias, contenidos educativos gratuitos y beneficios exclusivos directamente en tu correo.
Al suscribirte, aceptas nuestra Política de Privacidad y das tu consentimiento para recibir actualizaciones de nuestra empresa.
Gracias, hemos recibido tu información de forma correcta
¡Ups! Algo salió mal al enviar el formulario
Share

Los clientes son la esencia de las empresas y son fundamentales a la hora de tomar cualquier tipo de decisión sobre productos y servicios. Es así que protegerlos, proteger sus activos y sus datos no solo es fundamental para las empresas, sino para las entidades reguladoras que entienden esta labor como uno de los pilares de transparencia de toda empresa. Es por eso que cuando surge un inconveniente relacionado con los intereses de los clientes, las consecuencias pueden ir desde daños reputacionales, legales y económicos. A continuación, analizamos qué ocurre con la filtración de datos, cómo afecta a los clientes y qué consecuencias deben asumir las empresas frente a los entes reguladores. 

Sanción de la SIC a Scotiabank 

El 12 de septiembre de 2025, la Superintendencia de Industria y Comercio (SIC), a través de la Resolución 70035, le impuso una sanción administrativa a Scotiabank Colpatria S.A. y a uno de sus ex empleados por vulneración de datos personales entre 2019 y 2022. Según el radicado de la SIC, Scotiabank recibió en septiembre de 2022 una base de datos por parte de Incocredito encontrada en una investigación hecha a un centro de atención telefónica. La empresa que se encarga de llevar a cabo acciones de control de riesgos, la prevención de fraude en medios de pago y ejecución de acciones de orden correctivo a nivel del sector financiero, real y productivo notificó al banco este hallazgo que permitió determinar que la base de datos había sido creada por un funcionario activo en el cargo de director de Informe y Reservas

A partir de esta notificación, Scotiabank adelantó gestiones para investigar a fondo lo que había pasado con la información de clientes, cómo se había dado la filtración, qué datos se habían filtrado, entre otros para poder aportar información a la investigación que adelantaba la SIC desde que el banco hizo el reporte en octubre de 2022 por incidente de seguridad con referencia a la base de datos denominada ‘D_Clientes’. También gestionaron más controles para proteger los datos y a los clientes que se habían visto involucrados en esta filtración y notificaron cada paso y hallazgo ante la SIC. Con esta información, se pudo determinar el nombre del señalado, cómo había llevado a cabo la filtración, a qué empresa le había vendido la información, cuántas bases de datos se crearon y qué información había sido filtrada. 

Tras este panorama, la SIC recabó la información, las gestiones adelantadas, los esfuerzos del banco, las declaraciones del funcionario, entre otros y decidió imponer una sanción pecuniaria a la sociedad Scotiabank Colpatria S.A. de (523) Salarios Mínimos Legales Mensuales Vigentes para el año 2023 equivalentes a Setecientos Millones Ochocientos Treinta Y Seis Mil Setecientos Treinta Y Seis Pesos M/Cte ($700.836.736) por vulnerar el deber que tenían como responsables del tratamiento de datos. E igualmente, le impusieron una sanción pecuniaria al funcionario por valor de Ocho Millones Cuarenta Mil Ciento Noventa Y Dos pesos M/Cte ($8.040.192). 

Más de 700.000 clientes afectados 

El caso de Scotiabank es llamativo porque, aunque tomaron medidas apenas fueron notificados del hallazgo de la base de datos, la filtración venía ocurriendo desde 2019, lo que evidenció un vacío de monitoreo. En la investigación adelantada por Scotiabank, se logró descifrar el 98% de los archivos que salieron del correo del funcionario, con un remanente de 2% imposible de descifrar, y se pudo determinar el total de clientes afectados en el evento fue de setecientos veintiún mil trescientos setenta y uno (721.371). Además, se logró identificar que en el incidente se vieron comprometidos más de 180 tipos de datos como: 

  • Nombres.
  • Direcciones.
  • Tipos de tarjetas.
  • Números de identificación.
  • Franquicias de tarjetas de crédito. 
  • Números de tarjetas de crédito.
  • Direcciones laborales. 
  • Teléfonos personales y laborales. 
  • Números de créditos.
  • Cuotas canceladas y cuotas en mora.
  • Límites de tarjetas de crédito.

Falta de medidas y de control 

Aunque el banco estaba en todo su derecho de imponer los recursos pertinentes frente a la Resolución, la SIC fue muy clara que este incidente no solo fue consecuencia del abuso y extralimitación de sus funciones, sino también por la falta de medidas y control por parte del banco a los funcionarios que tenían la excepción de la herramienta (DLP) y de aquellos que tenían privilegios de acceso a la información. El banco dentro de las declaraciones que aportó durante la investigación, aseguró que el funcionario previo a su vinculación al Banco, aprobó un estudio de seguridad y durante su trayectoria en la organización no presentó ninguna falta a sus deberes laborales por lo que Scotiabank alega ser solo una víctima más de las acciones de este funcionario que vulnero la confianza y puso en riesgo la información de cientos de clientes. 

Validación y monitoreo como medida de protección 

Aunque es cierto lo que dice el banco respecto a lo difícil que era prever que el funcionario iba a llevar a cabo estas acciones, una validación completa y un monitoreo de sus actividades habría sumado a las pruebas en la investigación y posiblemente podría haber arrojado alguna alerta de las acciones que llevó a cabo durante cuatro años. Hacer un estudio de seguridad como hizo el banco cuando contrató a este funcionario es uno de los pasos más importantes porque verifican que la información aportada por la persona sea correcta, pero sobre todo porque revisa que riesgos puede representar esta persona para las operaciones de la entidad. 

Sin embargo, a veces esos estudios de seguridad pueden ser un poco más integrales si se analiza reputación en línea u otros aspectos que por lo general no son tenidos en cuenta en estas validaciones. Información pública que no es emitida por entidades oficiales también puede arrojar datos de valor para tomar decisiones más informadas. Con el servicio de Tusdatos contemplar estos otros aspectos es fácil, rápido y confiable, ya que permite hacer estudios de seguridad iniciales y llevar a cabo un monitoreo de empleados con el fin de identificar señales de alerta. Además, estas gestiones se soportan con unos reportes que pueden ser archivados para evidenciar que no solo se hicieron las validaciones, sino que se siguió un monitoreo riguroso en caso de que sea necesario en algún proceso contra la empresa. 

Etiquetas

Protección de Datos

Artículos relacionados

Explora más contenido que podría interesarte

Ver todo
Cumplimiento
5 min read

Formas más comunes de lavar dinero y cómo evitarlo en tu empresa

Descubre las técnicas más comunes utilizadas para lavar dinero en empresas y las mejores prácticas para proteger tu organización de estos riesgos.
Leer
Cumplimiento
5 min read

El rol de la UIAF en la lucha contra el LAFT

Guía técnica sobre el Reporte de Operaciones Sospechosas (ROS). Conoce las tipologías de lavado de activos y cómo proteger tu empresa mediante la validación de contrapartes.
Leer
Cumplimiento
5 min read

AML: Qué es, cuál es su importancia y cómo implementarlo en tu empresa

Conoce todo sobre el Anti-Money Laundering (AML), su importancia en la prevención del lavado de activos y cómo implementarlo para cumplir con las regulaciones globales y proteger tu empresa.
Leer
Cumplimiento
5 min read

¿Cómo presentar el Informe 75 SAGRILAFT y PTEE?

Conoce la importancia del Informe 75 y los detalles de cómo hacer frente a este nuevo proceso
Leer
Cumplimiento
5 min read

Guía del Capítulo X: SAGRILAFT y medidas mínimas

¿Qué es SAGRILAFT y el Régimen de Medidas Mínimas? Conozca los sectores obligados por SuperSociedades (APNFD) y el deber de consultar listas GAFI.
Leer
Cumplimiento
5 min read

Contratación efectiva y remota: claves para lograrlo con éxito

Conoce cómo agilizar el proceso de contratación en tu empresa, ahorrar 80% del tiempo y asegurar la validación de seguridad como primer filtro
Leer

¿Quieres modernizar tus procesos de validación de personas y empresas?

Acelera tus procesos de vinculación tomando decisiones rápidas y seguras con tecnología avanzada

Habla con un expertoQuiero comprar