Alcance del Decreto que reglamenta la Ley de habeas data, en lo que respecta al registro nacional de bases de datos

bogota_decretoPor Wilson Rafael Ríos Ruiz

El pasado 13 de mayo de 2014, se dieron dos eventos importantes en lo que respecta al tema de Protección de Datos Personales. El primero a nivel internacional cuando Google sufre otro revés, y el Tribunal de Justicia de la Unión Europea (TJUE), ratifica y respalda, mediante Sentencia la tesis que ha venido sosteniendo de tiempo atrás en contra del buscador y motores de búsqueda, la Agencia Española de Protección de Datos (AEPD), donde se trató el tema del denominado DERECHO AL OLVIDO, tras una acción iniciada por el ciudadano Español Mario Costeja González. Ver el siguiente enlace.

El segundo a nivel local, cuando el Gobierno Nacional expide el Decreto reglamentario No 886 del 13 de mayo de 2014 a través del cual se entra a regular lo atinente al Registro Nacional de Bases de Datos (RNBD) tanto manuales como automatizadas, mencionado en el Art. 25 de la Ley 1581 de 2012, estableciéndolo como un directorio público de las bases de datos personales, sujetas a tratamiento que operen en el territorio nacional y que será administrado por la Superintendencia de Industria y Comercio; y lo más importante, que estará al alcance del todos los ciudadanos. El texto completo del Decreto puede ser visto en el siguinete enlace.

La primera pregunta que surge, es por supuesto, desde cuándo empieza a operar el mencionado registro, en qué condiciones y términos y cuáles son los elementos e información mínima que debe contener este registro. Por lo pronto, podemos manifestar, que conforme al Art. 12 del Decreto 886 del 13 de mayo de 2014, por el cual se reglamenta el RNBD, se tiene que todos los Responsables del Tratamiento de datos personales, deberán inscribir todas sus bases de datos existentes dentro del año siguiente, contado, no a partir del presente Decreto, sino contado a partir del momento en que la Superintendencia de Industria y Comercio (SIC), habilite el registro nacional de bases de datos; y de acuerdo con las instrucciones adicionales que para el efecto imparta la SIC.

Una vez y luego, de que este habilitado y funcionando el registro nacional de bases de datos (RNBD), cada base de datos que se creen con posterioridad a ese plazo, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación.

Otro punto importante, es el que establece el Art. 3 del Decreto, pues será un deber de los responsables del tratamiento de datos personales, inscribir de manera independiente en el RNBD, cada base de datos que se tenga, y que contengan datos personales sujetos a Tratamiento. Aquí, destacamos otro punto importante que deberá tenerse presente no solo por los obligados inscribirse, sino por la misma SIC; pues entendemos la necesidad de registro independiente de todas y cada una de las bases de datos, pero será necesario que no se caiga en duplicación de la información y los datos personales registrados. Lo anterior sin perjuicio de los principios generales y específicos aplicables en la recolección, manejo, uso, tratamiento, almacenamiento e intercambio, de datos personales.

La finalidad del RNBD, como la de todo registro público, será la de brindar publicidad y oponibilidad frente a terceros sobre la existencia de bases de datos de carácter personal y servirá como herramienta de supervisión por parte de los titulares de datos personales. La Corte Constitucional en sentencia C-748 de 2011, al declarar la exequibilidad condicionada del Art. 25 de la Ley 1581 de 2012, y al referirse a la finalidad del RNBD preciso que ´´ debe permitir a cualquier persona determinar quién está haciendo tratamiento de sus datos personales para de esa forma garantizar que la persona pueda tener control efectivo sobre sus datos personales al poder conocer clara y certeramente en qué bases se manejan sus datos personales ´´. Esta es una finalidad que se vuelve una constante en todos los registros similares llevados en otras latitudes.

De igual forma, la SIC, tal y como lo ordeno la Corte Constitucional en la sentencia ya referida, deberá tomar como base para habilitar el RNBD, los estándares internacionales; y agregaríamos nosotros que también a las normas técnicas existentes para garantizar lo relativo a la seguridad de la información como un requisito para el registro de la información y los datos. Así por ejemplo, sugerimos tener en cuenta las norma ISO 9000 y 15489 sobre gestión documental, y las normas ISO 27001 y 27002 sobre seguridad de la información, así como tener presentes las normas de conducta, protocolos y procedimientos que usualmente recomienda la Unidad de Delitos Informáticos de la Fiscalía General, o en el manual de uso de servicios informáticos, o en las políticas de uso de TIC´s establecidas al interior de cada organización o entidad. Para ello será de gran utilidad tener presente lo dispuesto en el literal H) del Art.) 21 de la ley estatutaria 1581 de 2012, y el Art. 26 del Decreto 1377 de 2013. No estaría de más que la SIC., expidiera las directrices necesarias en lo referente a los lineamientos sobre seguridad. Así mismo, manifiesta el alto tribunal constitucional, que se deberá acudir a las experiencias de otros Estados y Países. Seguramente seguiremos las orientaciones de la Agencia Española de Protección de Datos y lo establecido en la Directiva Europea sobre protección de datos personales.

Es importante resaltar la destacada labor que sobre la tutela y protección de los datos personales de los ciudadanos viene realizando la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio, no solo en el desarrollo, divulgación y en particular como autoridad de control y sancionatoria en estos temas. Sobre este particular son ingentes las sanciones que ha impuesto la SIC, a los responsables y encargados de los datos personales. Ver al respecto el siguiente enlace.

Finalmente, para terminar estos comentarios, encontramos pertinente hacer un barrido, resumen y síntesis de las normas que se han expedido hasta la fecha en nuestro País frente al tema de Protección de datos personales. Para ello espesamos por el sustento constitucional dado en el Art. 15 de nuestra carta a través del cual se establece como un derecho fundamental de todo individuo el derecho a conocer, actualizar y rectificar todo tipo de información que se haya recogido sobre ella o que haya sido objeto de tratamiento en bancos o bases de datos y en general en archivos de entidades públicas y privadas. Este precepto constitucional, se encuentra desarrollado y consignado en las siguientes normas: Ley estatutaria No 1266 de 2008, la cual debe ser aplicada junto con la Sentencia de la Corte Constitucional C – 1011 de 2008 que declaro exequible esta norma con algunas modulaciones que hizo esa alta corporación; los Decretos Reglamentarios Decreto 1727 de 2009 y Decreto 2952 de 2010. Recordemos que la Ley 1266 de 2008 brinda protección únicamente a los datos comerciales y financieros, y que por ende no colmaba las expectativas para poder hablar de un grado amplio y completo de protección en Colombia. Por esa razón se expidió la Ley 1581 de 2012 y el Decreto reglamentario 1377 de 2013; buscando ampliar el espectro a otros tipos de datos, tales como datos laborales, académicos, de salud, penales, tributarios y sensibles (Datos sobre origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos). A este inventario, se suma entonces el Decreto No 886 del 13 de mayo de 2014 por medio del cual se reglamenta lo relativo al Registro Nacional de Bases de Datos.