Por Ivan Dario Marrugo Jimenez
Finalmente se llegó el día de la expedición del decreto reglamentario que pone en marcha el registro nacional de bases de datos en Colombia. En efecto, junto con el decreto 1377 de 2013, que reglamentó parcialmente la Ley de protección de datos, empieza a clarificarse el camino para un sistema completo en Colombia a pesar que a nuestro criterio aún faltan otras medidas.
El análisis que hoy podemos hacer del recién expedido Decreto 886 nos lleva a iniciar por la revisión en el aspecto cronológico de su expedición. Debemos anotar que el mismo no se expidió en el tiempo señalado normativamente, toda vez que el Articulo 25 de la Ley 1581 de 2012 menciona en su parágrafo que el gobierno debió reglamentarlo dentro del año posterior a la promulgación de la precitada ley. Si bien el Ministerio de Comercio, Industria y Turismo presentó hace algún tiempo un proyecto de decreto, el cual tuvimos oportunidad de presentar las observaciones respectivas, la mencionada reglamentación espero un tiempo bastante largo para ver la luz.
Es de resaltar los objetivos que vienen a cumplirse con el Registro Nacional de Bases de datos como instrumento orientador del estado actual del fenómeno de los datos personales y su tratamiento automatizado o no. Este primer factor nos lleva a entender que este nuevo proceso, no comporta la construcción de un repositorio central de bases de datos sino como bien lo indica el artículo 25 de la Ley el mismo es un directorio público de las bases de datos sujetas a tratamiento que operan el país y el cual será administrado por la Superintendencia de Industria y Comercio y su principal uso como herramienta de supervisión y monitorización sobre el universo de sujetos obligados y en ultimas como un elemento que permitirá el acceso a la información por parte de los titulares de datos personales.
Frente al cuerpo del decreto se resalta que el mismo guarda alta coincidencia con el proyecto de decreto presentado a consideración el año anterior. Solamente fue eliminado de la información mínima del registro lo relativo a la “vigencia de la base de datos”. Recuérdese en todo caso que todo tratamiento está sujeto a la temporalidad definida por el responsable y las condiciones particulares de las actividades sobre los datos. Por tanto sigue siendo necesario mantener presente que no pueden existir tratamientos infinitos e indefinidos y en la conceptualización en cuanto a la finalidad el tratamiento debe acotarse también en su sujeción temporal.
El capítulo II del Decreto 886 define los elementos mínimos que contendrá el registro sin perjuicio que la Superintendencia de Industria y Comercio, establezca mayores condiciones en cuanto a información en el proceso de registro. Los artículos 6 y 7 del decreto establecen las condiciones en que responsable y encargado presentaran la información del registro. Obsérvese que como sujetos obligados, ambos actores procederán a realizar labores sobre el tratamiento que ejercen, lo cual por efectos operativos conducirá indefectiblemente que exista correlación en bases de datos cuando se trate de un dato personal registrado de forma asincrónica tanto por un responsable como por el encargado. Debemos anotar que el titular podrá escoger a su arbitrio frente a quien presenta reclamación pudiendo acudir directamente al responsable del tratamiento.
El articulo 8 merece un poco más de análisis en lo relacionado con los canales para el ejercicio de derechos ya que la experiencia práctica vivida con ocasión de las actividades del artículo 10 del Decreto 1377, hacen prever al menos como algo factible, el que nuevamente se genere inconvenientes operativos para los sujetos en la actividad del registro. No es totalmente claro de la redacción del mencionado artículo 8vo como pueden los sujetos obligados cumplir con la obligación de mantener el mismo canal por el que se recogió inicialmente el dato. Es bien sabido que los canales se sujetan a la realidad técnica y operativa al momento de la recolección, lo cual en muchos casos es imposible de mantener o reproducir con exactitud en un momento ulterior; Me explico, no necesariamente el canal utilizado en la recolección de datos, como por ejemplo en una rifa, es el canal más adecuado en un momento posterior y la obligación de mantener dicho canal supondría una carga desproporcionada para el responsable.
Los artículos 9, 10 y 11 del decreto, representan la realidad frente al tratamiento adecuado de datos personales por las empresas y organizaciones toda vez que recogen dos elementos fundamentales a la hora de las actividades con datos personales. Uno es la identificación (Nombre y finalidad) que obedece al proceso de clasificación y calificación que deberá realizar el sujeto obligado con el fin de hacer la inscripción de forma correcta al Registro nacional de bases de datos y en segunda medida esta nominación debe estar acorde con la finalidad para la cual fueron recabados los datos personales. El artículo 10 establece las formas de tratamiento, esto es, la modalidad en la que se ejerce el procesamiento de los datos; en términos generales habrá tratamiento automatizado o tratamiento manual – no automatizado. Por su parte, el artículo 11 establece frente a las Políticas de tratamiento plena coincidencia con los artículos 25 de la Ley 1581 de 2012 y el 13 del Decreto 1377 de 2013 como documento estructural y de obligatoria observancia para los responsables dada la fuerza vinculante de las disposiciones de la Política frente a la empresa que las formula.
Por otra parte, el capítulo III del decreto 886 de 2014 establece algunos aspectos procedimentales frente a la actividad del registro. Llama la atención el cambio frente al proyecto de decreto en cuanto a la fecha inicial para el registro el cual paso de un plazo de 6 meses al término total de 1 año que deberá contarse desde el momento en que la Superintendencia de Industria y Comercio abra el registro. Menciona el artículo en comento que la entidad además impartirá otras instrucciones que suponemos se relacionan con aspectos formales tales como: Plazos para el registro, proceso de identificación y autenticación de los usuarios así como otros requisitos, tal como lo menciona el artículo 12 del decreto. El proceso de actualización de la información se realizará en un plazo máximo de 2 meses
Por último es importante resaltar que si bien aún no se han expedido las recomendaciones en materia de medidas de seguridad de orden tecnológico, es cierto que a voces del Art. 26 del Decreto 1377 de 2013, hoy toda empresa en Colombia debe tratar datos personales con medidas que impidan su perdida, adulteración o fuga y que dichas medidas técnicas deberán estar acordes con la naturaleza y tipología de datos personales, el tamaño de la empresa y los riesgos potenciales que el tratamiento podrían causar sobre los derechos de los titulares. Sabemos que la Delegatura de Protección de Datos viene trabajando en las recomendaciones de índole técnica y como se ha expresado en distintas ocasiones, la norma obliga a las empresas a contar con medidas de seguridad, pero no estaría de más el tener un lineamiento sobre los estándares a utilizar en el resguardo de la información.
Si bien es positivo el balance, aún tenemos algunos puntos grises por dilucidar. Por mencionar solo un par tenemos: 1. Las entidades públicas como cumplirán con el deber del registro y sobre todo como se conciliaran los postulados de las normas de protección de datos con los de la Ley de Transparencia y acceso a información pública (De reciente expedición). 2. El deber de informar sobre la ocurrencia de incidentes de seguridad en las organizaciones como se va a realizar? El deber de informar conlleva a entregar información de índole técnica y sensible para las empresas como su arquitectura de sistemas? Esto se hará en un proceso especial con revelación de información reservada?.
Se ha puesto pues, una nueva piedra en la construcción de nuestro Sistema de protección de datos personales y este procedimiento – presente en todas las legislaciones a nivel global – nos permitirá consolidar con elementos objetivos, la actividad legitima de las empresas y entidades en cuanto al tratamiento de los datos personales y de igual forma la expectativa de privacidad de los titulares de datos personales.
