De proyecto de ley a decreto reglamentario: Karisma sigue de cerca la norma que moldeará cómo niñas, niños y adolescentes viven internet en Colombia
La Ley 2489 de 2025 de entornos digitales seguros nació como proyecto en el Senado en agosto de 2023. Aunque su propósito, proteger a niñas, niños y adolescentes (NNA) en línea, es loable, desde Karisma identificamos desde el inicio riesgos serios como definiciones vagas que abren la puerta a censura preventiva, una noción de “corresponsabilidad” que traslada cargas estatales a las familias (y dentro de ellas, de forma desproporcionada a las madres), facultades regulatorias sin reserva de ley estatutaria, y la creación de un Sistema Integral de Monitoreo que incluía al Ministerio de Defensa, generando dudas sobre los límites entre protección y vigilancia. El proyecto, además, fue formulado sin escuchar de manera amplia a las infancias, contradiciendo estándares internacionales y locales en la materia, como la Sentencia C-250 de 2019 de la Corte Constitucional, entre otros.
El 16 de junio de 2025, tras radicar nuestros comentarios formales, el proyecto se convirtió en ley. La reglamentación quedó en manos del MinTIC, que publicó el primer borrador del decreto el 31 de diciembre de 2025; con apenas 16 días de plazo para comentarios, en plena temporada de vacaciones. Junto a otras organizaciones, exigimos la ampliación del plazo para intervenir, que se logró hasta el 31 de enero de 2026, y presentamos comentarios conjuntos señalando la falta de mesas previas de participación y varios excesos del borrador frente a la ley. Tras esa primera ronda, el MinTIC abrió mesas sectoriales con sociedad civil, academia y entidades públicas; lo cierto es que la industria y las plataformas digitales, sujetos centrales de la regulación, no participaron en ellas.
El 26 de abril de 2026, después de que concluyera ese proceso de mesas, Karisma presentó comentarios a la nueva versión del decreto, con un documento que reunía siete preocupaciones puntuales más un grupo de observaciones transversales sobre artículos específicos.
La preocupación más estructural fue la del principio de proporcionalidad: aunque el decreto lo menciona en distintos apartados, no logra convertirse en un criterio operativo, porque no hay parámetros para evaluar cuándo una medida es adecuada, necesaria o equilibrada frente a los riesgos que busca mitigar.
Esto se agrava porque buena parte del articulado no se desarrolla directamente en el decreto, sino que se delega a instancias futuras como el Comité Nacional o queda a discreción del MinTIC, lo que es contrario a la naturaleza misma de un decreto reglamentario y amplía la incertidumbre jurídica.
También señalamos que el Ministerio de Defensa seguía apareciendo como actor coordinador dentro del componente de investigación criminal del Sistema Integrado, una función que no corresponde a sus competencias, mismas que están orientadas a la defensa nacional y la fuerza pública, no a la investigación judicial ni al tratamiento de información sensible de población civil, y que puede desdibujar el rol que le corresponde a la Fiscalía, además de generar riesgos en materia de derechos humanos, intimidad y protección de datos.
En la misma línea, advertimos que la verificación de edad se mantenía como obligación exigible, una medida que excede lo previsto en la ley, compromete derechos como la intimidad, el anonimato y la libertad de expresión, y entra en tensión directa con los propios principios de privacidad desde el diseño y minimización de datos que el decreto dice defender; por eso pedimos eliminar esa disposición.
Identificamos además ambigüedad en los sujetos obligados pues el decreto mezcla organizaciones sin ánimo de lucro, organizaciones comunitarias y “la sociedad en general” sin distinguir quién tiene obligaciones concretas y quién es simplemente destinatario de la política; y riesgos de indeterminación normativa en el artículo de definiciones técnicas, que deja un margen demasiado amplio para definir elementos esenciales del decreto en instancias posteriores, sin criterios claros ni mecanismos de control. Sobre este punto recomendamos incluir esas definiciones a normas ya existentes en el ordenamiento colombiano frente a trata y explotación sexual de menores, como la Ley 679 de 2001 y el tipo penal de reclutamiento forzado.
También cuestionamos que el MinTIC se atribuyera la formulación y coordinación de la política pública sin que la ley le otorgara expresamente esa competencia, lo que desborda la facultad reglamentaria; la creación de Mesas Técnicas Operativas que duplican instancias ya previstas para el Comité Nacional de Tecnología, Niñez y Adolescencia. Además de la falta de diferenciación entre operadores según tamaño y capacidad técnica, tanto en las obligaciones generales como en los estándares de accesibilidad digital, imponiendo cargas desproporcionadas a actores pequeños mientras equipara, sin justificación, a operadores de telecomunicaciones con plataformas digitales.
Además, alertamos sobre los esquemas de autorregulación y corregulación propuestos para la relación con la industria: al descansar en compromisos voluntarios, resultan insuficientes para garantizar estándares en materias tan sensibles como el uso de sistemas automatizados, la protección de datos y la mitigación de riesgos en línea. Todo lo anterior amerita una discusión amplia en la que diversos actores de la sociedad construyan soluciones conjuntas, sustentada en estudios previos, revisión de experiencias comparadas y propuestas regulatorias que, dado que están en juego derechos fundamentales, deben tramitarse mediante ley estatutaria y no quedar librada a la voluntad de los actores privados.
Por último, se llamó la atención frente al riesgo de trasladar de forma desproporcionada la carga de prevención a las familias, la ausencia de salvaguardas expresas de minimización de datos en los esquemas de interoperabilidad, y la necesidad de que el informe anual incorpore criterios reales de transparencia y rendición de cuentas.
Finalmente, el 4 de junio de 2026 asistimos a una audiencia pública en el Congreso de la República para discutir el estado del proyecto de decreto y exponer comentarios; se echó de menos la posibilidad de participación de más representantes de la sociedad civil. Allí nos enteramos de que existe una nueva versión del decreto; de la que no teníamos conocimiento previo; misma que ya se encuentra en manos de la Presidencia de la República para su firma. Tras revisar esa versión, constatamos que persisten los problemas de legalidad y constitucionalidad que hemos señalado desde el inicio: esta materia no puede regularse sin el trámite de una ley estatutaria, y el decreto continúa extralimitando la facultad reglamentaria al otorgar facultades que vulneran derechos humanos, el habeas data y la libertad de expresión.
Te invitamos a leer nuestros comentarios completos al decreto reglamentario, que dejamos adjuntos al final de esta página, por si quieres conocer el detalle técnico y jurídico de cada una de estas preocupaciones.