Todo lo que debe saber sobre el Registro Nacional de Bases de Datos

colombia_tic

Por Heidy Balanta

Hasta abril de 2015 no ha entrado en funcionamiento el Registro Nacional de Bases de Datos, sin embargo, esta no es razón para que las empresas estén tranquilas, toda vez que el proyecto de Circular que establece su funcionamiento está ad portas de empezar a regir.

Para que la entrada en rigor no coja desprevenida a su empresa, presentamos el panorama de todo lo que debe saber sobre este nuevo requisito que deben cumplir todas las empresas colombianas, sin importar su tamaño, capital o sector económico al que pertenezcan.

Marco Legal

El marco legal está dado por la ley 1581 de 2012 y el Decreto 886 de 2014, que a continuación se detallan:

  • Ley 1581 de 2012 – Dicta disposiciones generales para la protección de datos personales
    Establece en su artículo 25 que el Registro Nacional de Bases de Datos es el directorio público de las bases de datos que operan en el país. Este registro será de libre consulta para los ciudadanos.
    Para realizar dicho registro, las empresas deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información cuyo incumplimiento acarrea las sanciones establecidas en la ley.
    Por último, en el parágrafo de este artículo, establece que el Gobierno reglamentará la información que debe contener el Registro, así como los términos y condiciones bajo los cuales se deben inscribir los responsables del tratamiento.
  • Decreto 886 de 2014- Se reglamenta el Registro Nacional de Bases de Datos
    Este decreto establece que las personas naturales y jurídicas, ya sean del sector público o sector privado, deberán realizar la inscripción de las bases de datos que tengan en posesión. El registro de estas bases de datos se debe hacer de manera independiente, es decir, si tiene una base de datos de clientes y otra de empleados, deberá registrarlas individualmente y hacer un procedimiento de registro por cada una.

¿Qué información se solicita en el Registro a los responsables y encargados de la información?

Los datos e información que deben tener disponibles las empresas al momento del registro son los siguientes:

  • Datos de contacto, ubicación e identificación del responsable y del encargado del tratamiento de los datos y del encargo
    En este caso se debe indicar la denominación o razón social, el número de identificación tributaria y datos de ubicación y contacto tanto del responsable, así como del encargado del tratamiento de la base de datos.
  • Canales que dispone la empresa para que los titulares ejerzan sus derechos
    Estos canales son los medios de atención y recepción de los que dispone la empresa para las peticiones, consultas y reclamos que hagan los titulares de la información de sus derechos, conocidas como ARCO (Acceso, Rectificación, Cancelación y Oposición), sobre los datos que se encuentren en esas bases. Uno de los requisitos de estos canales es que deben prever la posibilidad de que el titular ejerza sus derechos a través del mismo medio por el cual fue recogida su información.
  • Nombre y finalidad de la base de datos
    Las empresas deben identificar las bases de datos que inscriban y consignar la finalidad por la cual fueron creadas.
  • Forma de tratamiento de la base de datos (manual y automatizada)
    Las bases de datos manuales son los archivos que se encuentran organizados y almacenados de manera física, y las bases de datos automatizadas son aquellas que se encuentran almacenadas y gestionadas a través de herramientas informáticas.
  • Política de tratamiento de la información
    La empresa debe suministrar a la SIC, a través de este registro, la política de tratamiento de la información.
  • Otra información que debe estar disponible
    Estos son los aspectos que consagra el decreto, no obstante, la Superintendencia en el proyecto de modificación de la Circular Única, incorpora información adicional que debe entregar la empresa al momento del registro, que incluye la información almacenada en la base de datos, las medidas de seguridad de la información, la procedencia de los datos personales, transferencia y transmisión internacional de datos personales, cesión de base de datos, reclamos e incidentes de seguridad.

¿Cuál es el plazo para inscribir las bases de datos en el Registro?

El Decreto estableció que las bases de datos se deben inscribir dentro del año siguiente a la fecha en que se habilite el Registro y las bases que se creen posteriormente, se deben inscribir dentro de los dos meses siguientes contados a partir de su creación. No obstante, en la actualidad el registro no se encuentra habilitado, pero tampoco falta mucho tiempo para esto, puede ser cuestión de semanas, incluso de días para que se dé la habilitación, esto se deduce del proyecto de modificación de Circular que se encuentra en la página de la SIC.
Sanciones

Por lo anterior, es importante que las empresas se preparen para enfrentar estas nuevas disposiciones, conociendo sus obligaciones y así evitar las sanciones que establece la ley, en la cual se refiere a que el incumplimiento del Registro «acarreará las sanciones correspondientes».

Estas sanciones van desde multas de carácter personal e institucional hasta por el equivalente de 2.000 salarios mínimos mensuales legales vigentes, aproximadamente mil doscientos ochenta y ocho millones de pesos ($1.288.700.000).Otras de las sanciones son la suspensión, cierre temporal y cierre inmediato y definitivo de las actividades relacionadas con el tratamiento de datos, entre ellos datos sensibles.