El próximo 8 de noviembre vence el termino para la inscripción de las bases de datos en el Registro Nacional de Bases de Datos - RNBD, administrado por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio, sin embargo, a escasos tres meses de la mencionada fecha, algunas compañías no han cumplido con esta obligación consagrada en la Ley Estatutaria 1581 de 2012, en la mayoría de los casos por razones asociadas al desconocimiento de la normatividad que regula la materia; por esta razón, hemos resumido en cinco puntos, la información necesaria que le ayudará a comprender como el RNBD impacta su compañía.
 
¿Quienes deben cumplir con la obligación de registro?
 
Todos los “responsables del tratamiento” de datos personales en Colombia, es decir, todos aquellos que deciden sobre las bases de datos y el tratamiento que se le da a dichos datos; sin embargo, según lo dispuesto en la Circular SIC 002 de 2015, el termino perentorio descrito anteriormente, vincula únicamente a las personas jurídicas de derecho privado inscritas ante las cámaras de comercio del país y las sociedades de economía mixta. Es de advertir que aún se espera una segunda circular que reglamente el registro de los demás responsables.
 
¿Cuales bases de datos deben reportarse en el RNBD?
 
No obstante la naturaleza y objeto social de cada compañía ser diverso, se ha identificado que, por regla general, las compañías cuentan como mínimo con bases de datos de sus accionistas, empleados, clientes, proveedores, mercadeo, entre otros. Cada una de esas bases de datos debe ser reportada de manera independiente ante el RNBD, pues las mismas son compuestas atendiendo a finalidades disímiles.
 
¿Debo depositar las bases de datos de mi compañía en el RNBD?
 
¡Definitivamente no! Si bien es cierto, la ley lo denomina registro nacional de bases de datos, la finalidad del mismo no es el registro o depósito de las bases de datos como tal, sino de las políticas de tratamiento de datos que gobiernan todos los aspectos relacionados con el uso y circulación de los datos que las componen. Es decir, se deposita el documento de “políticas”, más no las bases de datos en sí mismas.
 
Además de las políticas, ¿qué información debe registrarse en el RNBD?
 
Sin temor a equivocaciones, podría afirmarse que la piedra angular del registro se ubica en este elemento. Más allá del interés que pueda tener la SIC en almacenar un infinito número de políticas de tratamiento de datos personales, la finalidad última del registro, es que el titular del dato tenga plena claridad, inter alia, sobre quién es responsable del tratamiento, donde se encuentra ubicado y como puede contactarlo; de qué forma ejecuta las actividades de tratamiento, es decir, a través de herramientas manuales o automatizadas; que tipo de información se encuentra almacenada en esas bases de datos; que medidas de seguridad han sido adoptadas para que la información permanezca protegida; con quienes se circula esa información, nacional e internacionalmente (cobija prestadores de servicios en la nube, por ejemplo) y; que incidentes de seguridad han ocurrido al interior de la compañía.
 
¿Qué debo tener en cuenta antes de realizar el registro?
 
Antes que preparar un documento abstracto y sin un norte claro, con la única meta de cumplir una obligación legal más, la invitación es a responder reflexivamente los siguientes interrogantes, ¿cuantas bases de datos tengo? ¿cuantos datos componen esas bases de datos? ¿qué tipo de datos componen cada base de datos? ¿cuál es la finalidad perseguida por cada una de las bases de datos? son relevantes estos datos, teniendo en cuenta la finalidad perseguida? ¿de que forma ingresan los datos a la compañía? ¿realizo actividades de circulación externa de datos? ¿como regulo cada una de estas situaciones?
 
La respuesta a cada una de estas preguntas arrojará un innegable pero ideal resultado, la necesidad que cada compañía adopte un programa integral de gestión de datos personales, que les permita ejecutar las diversas actividades de tratamiento de manera responsable, esto es, que estén en capacidad de garantizar que las labores que realizan en relación con la información personal, constituye un verdadero “debido tratamiento de datos personales”.
 
Si requiere acompañamiento en las diferentes etapas del registro, recuerde que en Rodríguez Azuero Contexto Intelectual contamos con un equipo calificado y con amplia experiencia, para apoyarlo durante todo este proceso y los demás aspectos relacionados con las actividades de tratamiento de datos personales al interior de su compañía.