Todo lo que debe saber sobre el Registro Nacional de Bases de Datos

Las entidades públicas y privadas (medianas y grandes) del país tendrán que registrar sus bases de Datos que contengan información personal.

Adicionalmente, Sin importar las características, TODAS las empresas deben implementar un Sistema de Gestión de Seguridad de Información - SGSI-, que les permita garantizar la confidencialidad, integridad y disponibilidad de la información, tanto en formato físico como electrónico.

Marco Legal

El marco legal está dado por la ley 1581 de 2012 y el Decreto 886 de 2014, que a continuación se detallan:

  • Ley 1581 de 2012 – Dicta disposiciones generales para la protección de datos personales Establece en su artículo 25 que el Registro Nacional de Bases de Datos es el directorio público de las bases de datos que operan en el país. Este registro será de libre consulta para los ciudadanos.Para realizar dicho registro, las empresas deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información cuyo incumplimiento acarrea las sanciones establecidas en la ley.Por último, en el parágrafo de este artículo, establece que el Gobierno reglamentará la información que debe contener el Registro, así como los términos y condiciones bajo los cuales se deben inscribir los responsables del tratamiento.
  • Decreto 886 de 2014- Se reglamenta el Registro Nacional de Bases de Datos Este decreto establece que las personas naturales y jurídicas, ya sean del sector público o sector privado, deberán realizar la inscripción de las bases de datos que tengan en posesión. El registro de estas bases de datos se debe hacer de manera independiente, es decir, si tiene una base de datos de clientes y otra de empleados, deberá registrarlas individualmente y hacer un procedimiento de registro por cada una.

El Registro Nacional de Bases de Datos es el directorio público de las bases de datos que operan en el país“

- Ley 1581 de 2012 y el Decreto 886 de 2014 -

 

¿Qué información se solicita en el Registro a los responsables y encargados de la información?

Los datos e información que deben tener disponibles las empresas al momento del registro son los siguientes:

  • Datos de contacto, ubicación e identificación del responsable y del encargado del tratamiento de los datos y del encargo 
    En este caso se debe indicar la denominación o razón social, el número de identificación tributaria y datos de ubicación y contacto tanto del responsable, así como del encargado del tratamiento de la base de datos.
  • Canales que dispone la empresa para que los titulares ejerzan sus derechos
    Estos canales son los medios de atención y recepción de los que dispone la empresa para las peticiones, consultas y reclamos que hagan los titulares de la información de sus derechos, conocidas como ARCO (Acceso, Rectificación, Cancelación y Oposición), sobre los datos que se encuentren en esas bases. Uno de los requisitos de estos canales es que deben prever la posibilidad de que el titular ejerza sus derechos a través del mismo medio por el cual fue recogida su información.
  • Nombre y finalidad de la base de datos
    Las empresas deben identificar las bases de datos que inscriban y consignar la finalidad por la cual fueron creadas.
  • Forma de tratamiento de la base de datos (manual y automatizada)
    Las bases de datos manuales son los archivos que se encuentran organizados y almacenados de manera física, y las bases de datos automatizadas son aquellas que se encuentran almacenadas y gestionadas a través de herramientas informáticas.
  • Política de tratamiento de la información
    La empresa debe suministrar a la SIC, a través de este registro, la política de tratamiento de la información.
  • Otra información que debe estar disponible
    Estos son los aspectos que consagra el decreto, no obstante, la Superintendencia en el proyecto de modificación de la Circular Única, incorpora información adicional que debe entregar la empresa al momento del registro, que incluye la información almacenada en la base de datos, las medidas de seguridad de la información, la procedencia de los datos personales, transferencia y transmisión internacional de datos personales, cesión de base de datos, reclamos e incidentes de seguridad.

¿Cuál es el plazo para inscribir las bases de datos en el Registro?

El Decreto 090 de 2018 modifica el artículo 1115 del 29 de junio de 2017, definiendo los nuevos plazos para la inscripción de las bases de datos en el Registro Nacional de Bases de Datos así: El primero es para las sociedades y entidades sin ánimo de lucro que tangan activos por más de 610 mil Unidades de Valor Tributario (UTV), es decir, que tengan activos superiores a $ 20 mil 225 millones. Fecha límite de registro: 30 de septiembre de 2018. El segundo plazo es para las sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100 mil y hasta 610 mil UTV, es decir, que tengan activos totales superiores a $ 3 mil 316 millones y hasta $ 20 mil 225 millones. Fecha límite de registro: 30 de noviembre de 2018. El último plazo corresponde a las entidades públicas. Fecha límite de registro: 31 de enero de 2019. 

Sanciones

Por lo anterior, es importante que las empresas se preparen para enfrentar estas nuevas disposiciones, conociendo sus obligaciones y así evitar las sanciones que establece la ley, en la cual se refiere a que el incumplimiento del Registro "acarreará las sanciones correspondientes".
Estas sanciones van desde multas de carácter personal e institucional hasta por el equivalente de 2.000 salarios mínimos mensuales legales vigentes, aproximadamente mil trescientos setenta y ocho millones de pesos ($$ 1.378.908.000.).Otras de las sanciones son la suspensión, cierre temporal y cierre inmediato y definitivo de las actividades relacionadas con el tratamiento de datos, entre ellos datos sensibles.

 

Tags: RNBD, SGSI, GDPR, CBPR