La Superintendencia de Industria y Comercio (SIC) amplió el plazo que tienen las empresas en Colombia para llevar a cabo el registro de todas sus bases de datos.
¿Qué bases de datos se deben registrar?
La SIC ha explicado que se deben registrar todas las bases de datos que contengan datos personales cuyo tratamiento automatizado o manual vaya a ser realizado por personas naturales o jurídicas, de naturaleza pública o privada, en el territorio colombiano o fuera de él. Dicho registro debe ir acompañado de la información de los responsables del tratamiento de los datos en tu empresa.
¿Las empresas que tengan un solo empleado o unos activos pequeños también deben registrar sus bases de datos?
La ley de protección de datos personales es aplicable a todas las empresas que recolecten, almacenen, usen o circulen datos personales. Esto quiere decir que características como el tamaño de la empresa, el número de empleados, la cantidad o el tipo de datos personales que gestione no excluye a una empresa de este proceso.
En mi empresa no tengo bases de datos personales. Aun así ¿debo realizar el registro?
Si no tienes bases de datos, no es necesario que realices el registro. Sin embargo, es importante que revises a fondo si en tu empresa se usan datos personales que puedan estar no solo en archivos físicos sino también en archivos electrónicos. Así mismo, es importante que valides si recopilas datos de empleados, clientes, proveedores o de posibles empleados, clientes o proveedores, ya que si la respuesta es sí, entonces será necesario que inscribas estas bases de datos en el Rnbd.
¿Qué pasa si no registro mis bases de datos?
El artículo 23 de la Ley 1581 de 2012 faculta a la Superintendencia de Industria y Comercio para que pueda imponer a los responsables del tratamiento y encargados del tratamiento de los datos en tu empresa las siguientes sanciones:
-Multas de carácter personal e institucional hasta por 2.000 salarios mínimos mensuales legales vigentes, al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras exista el incumplimiento que las originó.
-Suspensión de las actividades relacionadas con el tratamiento hasta por seis meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.
-Cierre temporal de las operaciones relacionadas con el tratamiento de los datos personales, si no se adoptaron las medidas correctivas ordenadas por la Superintendencia de Industria y Comercio en el tiempo estipulado.
-Cierre inmediato y definitivo de la operación que involucra el tratamiento de datos sensibles.
¿A dónde debo dirigirme si ya tengo listas mis bases de datos?
Si ya tienes tus bases de datos organizadas puedes ingresar al sitio web de la SIC, crear un usuario y una contraseña, e iniciar con el proceso de inscripción. Así mismo, te será bastante útil visitar el video tutorial y el manual de ayuda acerca de cómo realizar el registro, los cuales también están disponibles en este sitio web y responden dudas relacionadas con cómo modificar, eliminar o actualizar los datos que ya subiste a la plataforma.
En general, será posible eliminar o modificar toda la información ingresada en el Rnbd, siempre y cuando no hayas finalizado el registro de la base de datos, es decir, no le hayas asignado un número de radicado. Pero, si ya finalizaste el registro de la base de datos y en la información ingresada hay errores, estos se podrán corregir mediante la opción ‘Modificar Registro’. Una vez efectuada la corrección, se debe finalizar nuevamente la inscripción.
Por otro lado, dentro de las recomendaciones que hace la Superintendencia para que no ocurran inconvenientes a la hora de registrar las bases de datos, está que hagas un inventario del total de las bases de datos con información personal -en papel o en formato digital- que reposan en las instalaciones de tu empresa.
Alista tu política de protección de datos
El registro de las bases de datos debe ir acompañado de la política de tratamiento de datos personales de tu empresa. Según un decreto (Decreto único 1074 de 2015), las políticas de tratamiento de la información deben estar en medio físico o electrónico, en un lenguaje claro y sencillo, y deben darse a conocer a los titulares de los datos. Dichas políticas deberán incluir información como:
-Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del responsable de los datos en tu empresa.
-Tratamiento al cual serán sometidos los datos y, finalidad del mismo (sobre todo cuando esto no fue informado a las personas mediante un aviso de privacidad).
-Derechos del titular o la persona que ha entregado sus datos.
-Nombre de la persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato, o a revocar la autorización.
-Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.
-Fecha de entrada en vigencia de la política de tratamiento de la información, y período de vigencia de la base de datos.