Preguntas Frecuentes acerca del Registro Nacional de Bases de Datos

El próximo 9 de noviembre vence el plazo para que las empresas registren su base de datos en el Registro Nacional de Bases de Datos de la Superintendencia de Industria y Comercio (SIC). Reproducimos las preguntas frecuentes consignadas en el sitio web de la SIC para despejar las dudas recurrentes de los empresarios.

1. ¿Qué es el RNBD?

Es el Directorio público de las bases de datos con información personal sujetas a Tratamiento que operan en el país

2. ¿Qué ley creó el RNBD?

La Ley 1581 de 2012, que dispuso el régimen general de protección de datos personales, aplicable a los datos personales registrados en cualquier base de datos para ser manejados o tratados por entidades de naturaleza pública o privada. Esta norma, igualmente, designó a la SIC como Autoridad de Protección de Datos para garantizar que en el tratamiento de esos datos se respeten los principios, derechos, garantías y procedimientos dispuestos en la ley y le atribuyó la administración del RNBD.

3. ¿Para qué sirve el RNBD?

Para conocer la realidad de las bases de datos personales del país, la cantidad de titulares y tipos de datos tratados, quién o quiénes adelantan su tratamiento, la finalidad y las políticas de tratamiento y los canales o mecanismos dispuestos para recibir consultas, peticiones y reclamos, entre otros aspectos.

¿4. ¿A quién beneficia?

Tanto a los titulares, quienes pueden consultar el RNBD para establecer, por ejemplo, los canales de atención para ejercer sus derechos, como a los Responsables del Tratamiento, quienes deben cumplir con dicho registro so pena de incurrir en sanciones.

Podría interesarle : ¿Conoce la Ley de Protección de Datos Personales?

5. ¿Qué es una base de datos personal?

Es un conjunto organizado de datos personales que se utiliza para llevar el registro y la administración de los mismos, bien sea en medio físico (un archivo) o en medio electrónico (archivos en cualquier formato como hojas electrónicas, tratamiento de texto, con el uso o no de motores de bases de datos, etc.), e independientemente de la cantidad de datos personales que contenga. El registro y administración de datos personales implica desde almacenarlos, hasta consultarlos, actualizarlos, compartirlos con terceros y/o eliminarlos, para los fines que decida la empresa.

Por lo general, las empresas tienen las siguientes bases de datos: de empleados, clientes y proveedores.

Ejemplo de datos personales pueden ser:

DATOS DE IDENTIFICACIÓN: Nombre, apellido, tipo de identificación, número de identificación,  fecha y lugar de expedición, nombre, estado civil, sexo, firma, nacionalidad, datos de familia, firma electrónica, otros documentos de identificación, lugar y fecha de nacimiento o muerte, edad, huella, ADN, iris, Geometría facial o corporal, fotografías, videos, fórmula dactiloscópica, voz, etc.

DATOS DE UBICACIÓN: como los relacionados con la actividad comercial o privada de las personas como dirección, teléfono, correo electrónico, etc.

DATOS DE CONTENIDO SOCIO ECONÓMICO: como estrato, propiedad de la vivienda, Datos financieros, crediticios y/o de carácter económico de las personas, Datos patrimoniales como bienes muebles e inmuebles, ingresos, egresos, inversiones, historia laboral, experiencia laboral, cargo, fechas de ingreso y retiro, anotaciones, llamados de atención, nivel educativo, capacitación y/o historial académico de la persona, etc.

DATOS SENSIBLES: como los relacionados con la salud de la persona en cuanto a órdenes y relación de pruebas complementarias como laboratorio, imágenes diagnósticas, endoscópicas, patológicas, estudios, etc. diagnósticos médicos, generales o especializados, psicológicos o psiquiátricos, medicamentos y/o tratamientos médicos o terapéuticos de cualquier tipo, los relacionados con la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, religiosas, políticas;  datos relacionados con las convicciones religiosas, filosóficas y/o políticas, los datos de preferencia, identidad y orientación sexual de la persona, origen étnico-racial, personas de la tercera edad o menores de 18 años en condición de pobreza, datos sobre personas en situación de discapacidad personas con limitaciones sicomotoras, auditivas y visuales en condiciones de pobreza, personas víctimas de la violencia, personas en situación de desplazamiento forzado por violencia, madres gestantes o lactantes o cabeza de familia en situación de vulnerabilidad,  menores en condición de abandono o protección, etc.,

6. ¿Qué bases de datos se deben registrar?

Las bases de datos que contengan datos personales cuyo Tratamiento automatizado o manual se realice por personas naturales o jurídicas, de naturaleza pública o privada, en el territorio colombiano o fuera de él, en este último caso, siempre que al Responsable del Tratamiento o al Encargado del Tratamiento le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.

A partir del 9 de noviembre de 2015 se deben registrar las bases de datos con información personal de los Responsables del tratamiento que sean personas jurídicas de naturaleza privada inscritas en las Cámaras de Comercio y sociedades de economía mixta. En el 2016 se habilitará el registro de las bases de datos de las personas naturales, entidades públicas y personas jurídicas que no están inscritas en las Cámaras de Comercio, para ello la SIC expedirá un Circular Externa informando la fecha y procedimiento a seguir.

7. ¿Todas las sociedades, aunque tengan un (1) solo empleado o unos activos pequeños, deben registrar sus bases de datos en el RNBD e implementar lo establecido en la ley de protección de datos personales?

El régimen general de protección de datos personales es aplicable a todas las empresas que realicen el tratamiento de datos personales, es decir, que recolecten, almacenen, usen o circulen datos personales. La ley no tiene ninguna excepción que excluya su aplicación por el tamaño de la empresa, el número de empleados que tenga o la cantidad o tipo de datos personales que administre.

8. ¿En mi empresa no tengo bases de datos personales. Pese a esto, ¿tengo que registrar algo ante la Superintendencia?

En este caso y para estar seguro, le recomendamos revisar si en su empresa se recolecta, almacena, usa o circula datos personales, bien sea en archivos físicos o electrónicos. En especial, analice si tiene datos de empleados, clientes, proveedores o de posibles empleados, clientes o proveedores. Si es así, sí tiene bases de datos con información personal y, por esta razón, debe inscribirlas en el RNBD.

9. ¿Quién debe registrar las bases de datos?

Es deber de los Responsables del Tratamiento de los datos personales registrar las bases de datos con información personal.

10. ¿Quién es el Responsable del Tratamiento?

Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. El Tratamiento es cualquier operación o conjunto de operaciones sobre los datos personales, como la recolección, almacenamiento, uso, circulación o supresión, entre otros.

11. ¿Quién es el Encargado del Tratamiento?

Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. Vale la pena aclarar que para efectos de la normativa sobre protección de datos personales el Encargado del tratamiento es un tercero, ajeno a la empresa, por lo que no debe confundirse con el empleado que al interior de la organización es quien administra la base de datos.

12. ¿Cuáles son los plazos de inscripción?

Las empresas tienen un (1) año para inscribir sus bases de datos en el RNBD, contado a partir del 9 de noviembre de 2015, fecha en la que se habilitó el registro.

Sin perjuicio del término de un (1) año, la Superintendencia de Industria y Comercio fijó unos plazos teniendo en cuenta los dos (2) últimos dígitos del Nit, para evitar que las empresas lleven a cabo el registro de sus bases de datos al final de ese año, es decir, en noviembre de 2016, corriendo así el riesgo de no cumplir con la obligación que tienen de registrar sus bases de datos o de colapsar el sistema y los canales de soporte dispuestos para atender las consultas e inquietudes de los Responsables del Tratamiento.

Se aclara que aunque no se lleve a cabo la inscripción de las bases de datos en los plazos señalados, de acuerdo con los dos (2) últimos dígitos del NIT, se podrá cumplir con este deber en cualquier momento y hasta antes del 9 de noviembre de 2016, fecha en la que vence el año dispuesto en el Decreto Único 1074 de 2015. No obstante, sugerimos no esperar hasta el final.

13. ¿Qué pasa si no lo hago?

Es importante tener en cuenta que el artículo 23 de la Ley 1581 de 2012 indica que la Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:

  1. Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.
  2. Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.
  3. Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.
  4. Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.

Para más preguntas y respuestas haga click aquí

Fuente: sic.gov.co

Más publicaciones