9. Compliance de protección de datos personales 133
En términos generales, las principales obligaciones del régimen especial de ha- beas data financiero hacen referencia a: (i) obtener consentimiento expreso, previo e informado de los titulares de datos; (ii) reportar de forma periódica y oportuna al operador (centrales de riesgo crediticio) todas las novedades respecto de los datos que previamente le haya suministrado; (iii) garantizar que la información que se suministre a los operadores de los bancos de datos o a los usuarios sea veraz; y (iv) adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada, entre otras obligaciones.
Régimen sancionatorio en materia de datos personales
 Concepto
Régimen general de protección de datos personales
Régimen de hábeas data financiero
Autoridad
La SIC es la autoridad de protección de datos personales en Colombia; autoridad que tiene a su cargo la vigilancia y supervisión del cumplimiento de la normativa de protección de datos personales.
   La SIC y la Superintenden- cia Financiera de Colombia (“SFC”) son las autoridades encargadas de vigilar y su- pervisar el cumplimiento de la normativa de hábeas data financiero.
 Fase 2
Previa investigación adminis- trativa, la SIC puede imponer a los responsables y encargados del tratamiento las siguientes sanciones:
Multas de carácter perso- nal e institucional hasta por 2.000 salarios mínimos men- suales legales vigentes;
Suspensión de las activi- dades relacionadas con el tratamiento hasta por un término de 6 meses;
Cierre temporal de las ope- raciones relacionadas con el tratamiento;
Cierre inmediato y definitivo de la operación que involu- cre el tratamiento de datos sensibles.
   Previa investigación adminis- trativa, la SIC y la SFC podrán imponer las siguientes sancio- nes:
Multas de carácter perso- nal e institucional hasta
por 1.500 salarios mínimos mensuales legales vigentes;
Suspensión de las activi- dades del banco de datos hasta por 6 meses cuando en el tratamiento de la infor- mación haya una violación grave de la normativa;
Cierre o clausura de opera- ciones del banco de datos, cuando una vez transcurrido el término de suspensión, no se hubiere adecuado la operación al cumplimiento de la normativa.