Los datos personales son tal vez el activo intangible más valioso de la actualidad. Sin embargo, su manejo y protección plantean desafíos importantes, especialmente en lo que respecta a la salvaguarda de los derechos humanos y la privacidad de los individuos.

En este contexto, el Registro Nacional de Bases de Datos (RNBD) surge como una herramienta crucial para garantizar la transparencia y proteger los derechos de los ciudadanos en relación con sus datos personales. Este registro, contenido en la plataforma de la Superintendencia de Industria y Comercio (SIC), permite que cualquier persona pueda consultar información sobre las bases de datos y las políticas de tratamiento de la información de las organizaciones. De esta forma se garantiza que las personas puedan tener un control efectivo sobre sus datos al conocer claramente en qué bases se almacena su información.

Proteger la privacidad y seguridad de los datos 

El caso del RNBD ejemplifica la importancia de no solo contar con herramientas de registro y supervisión, sino también de asegurar que se implementen medidas efectivas para proteger la privacidad y seguridad de los datos personales. En un mundo donde la economía digital se ha vuelto omnipresente, es fundamental que las organizaciones reconozcan la importancia de los datos personales y se comprometan a garantizar su adecuado manejo y protección, no solo como un requisito legal, sino como un imperativo ético que promueve la confianza y la integridad en la sociedad digitalizada de hoy.

Empresas colombianas obligadas 

Según la normativa vigente, las empresas u organizaciones que poseen activos superiores a 100.000 Unidades de Valor Tributario (UVT), tienen la obligación de registrar y mantener actualizadas sus bases de datos en el RNBD. Esta medida busca asegurar que las entidades con un alto volumen de activos cumplan con los estándares de seguridad y privacidad establecidos para el tratamiento de datos personales.

Sin embargo, es importante destacar que existen ciertas excepciones a esta obligación. Por ejemplo, las empresas que posean activos iguales o inferiores a los 100.000 UVT están excluidas de esta obligación de registro. Asimismo, la Superintendencia, a través del decreto 090, ha excluido de esta obligación a las personas naturales y a la propiedad horizontal de categoría residencial.

Actualización de la información contenida en el RNBD

1. Reporte de reclamos

En los primeros quince (15) días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción en el RNBD, los responsables del tratamiento deben hacer la actualización de los reclamos presentados por los titulares. Es importante destacar que esta obligación se aplica a partir del primer reporte de reclamos, el cual debe realizarse en el segundo semestre con información correspondiente al primer semestre de ese mismo año.

Además, es crucial recordar que, según las regulaciones pertinentes, el reporte de novedades debe efectuarse incluso en situaciones donde en la organización no se hayan presentado quejas o reclamaciones en materia de protección de datos personales. 

2. Incidentes de seguridad

Los incidentes de seguridad relacionados con el tratamiento de datos personales deben ser abordadas con la máxima diligencia y transparencia, además, según lo establecido en la Circular Externa 003 del 1 de agosto de 2018, estos incidentes deben ser reportados al RNBD por parte de los Responsables del Tratamiento dentro de los quince (15) días hábiles siguientes al momento en que sean detectados y puestos en conocimiento de la persona o área encargada de atenderlos.

Plazos para las empresas

Las entidades Responsables de Tratamiento, según lo dispuesto en el Decreto 090 del 18 de enero de 2018 y que están sujetas al registro en el RNBD, deben mantener actualizada la información que han registrado de acuerdo con las indicaciones siguientes:

• Actualicen la información registrada en los primeros diez (10) días hábiles de cada mes, luego de la inscripción de la base de datos, en caso de que ocurran modificaciones significativas en los datos.
• Entre el 2 de enero y el 31 de marzo de cada año, los responsables del tratamiento deben actualizar la información en el RNBD, asegurando su conformidad con la normativa vigente.
• Entre el 2 de enero y el 31 de marzo, se requiere una actualización adicional de la información en el RNBD, reflejando cambios importantes en la gestión de datos de manera oportuna.
• Las nuevas bases de datos deben inscribirse en el RNBD en un plazo máximo de dos meses posteriores a su creación. 

Consejos para la actualización

• No se refiere a cambios sustanciales en los datos de la base, sino a información vinculada al cumplimiento normativo.
• No se trata de los datos específicos de individuos, sino de la tipología de los datos.
• No implica identificar a los titulares en la base, sino el número total de titulares.
• Se busca vincular los canales de atención para consultas, quejas o reclamos con los canales de notificación o contacto, tanto del Responsable como del Encargado.
• Se confirma la implementación de todas las medidas de seguridad de la información.
• Se incluye la ubicación de las bases de datos, ya sea física o digitalmente.
• Se aborda la identificación, notificación y eliminación de los encargados.
• Se hace referencia a la ausencia o a una política inadecuada de tratamiento de datos personales.

Sanciones de la SIC 

El incumplimiento de estas políticas acarrea consecuencias legales, incluidas sanciones proporcionales a la gravedad del incumplimiento tales como:

• Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de imponer la sanción.
• Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.
• Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.
• Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hayan adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.
• Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.