INSTRUCCIONES ADICIONALES PARA EL REGISTRO DE BASES DE DATOS

 

La Circular Externa 003 del 3 de agosto de 2018 expedida por la Superintendencia de Industria y Comercio (SIC), modifica los numerales 2.5 al 2.7 del Capítulo Segundo del Título V de la Circular Única de la SIC, relacionado con el Registro Nacional de Bases de Datos-RNBD; de conformidad con lo establecido en el Decreto 090 de 2018.

Las disposiciones de la Circular Externa aplicarán a las sociedades y entidades sin ánimo de lucro con activos totales superiores a cien mil (100.000) UVT y a las personas jurídicas de naturaleza pública.

La SIC nuevamente hace énfasis en que las personas naturales y jurídicas que no están obligadas a realizar el registro, deben cumplir con los demás deberes establecidos en la Ley 1581 del 2012, por ser responsables del tratamiento de datos personales. Aunque no es el tema central de la Circular Externa, no sobra enumerar los deberes que deben cumplir quienes se encuentran exentos de la obligación de registrar:

  1. Crear políticas de tratamiento de datos personalesy aviso de privacidad.
  2. Solicitar la autorización del titular cuando sea necesaria.
  3. Implementar un programa de gestión de datos personales.
  4. Crear un manual de procedimientopara la recepción de consultas o reclamos.
  5. Implementar medidas con el fin de garantizar la seguridad de las bases de datos.

De las instrucciones adicionales de la Circular Externa se puede destacar lo relativo al reporte de incidentes de seguridad. En consecuencia, quienes no se encuentren obligados a registrar sus bases de datos en el RNBD al igual que los encargados del tratamiento, deben realizar el reporte de los incidentes de seguridad que afecten la información almacenada en las bases de datos, a través del aplicativo que se encuentra en el sitio web de la SIC, micrositio de la delegatura para la protección de datos personales, o en su defecto, pueden utilizar los canales de la entidad para recibir los incidentes dentro de los 15 días hábiles siguientes al momento en que sean detectados y puestos en conocimiento de la persona o área encargada de tramitarlos.

Por otra parte, mencionada la Circular Externa que la información relacionada con las medidas de seguridad, los reclamos presentados por los titulares y los incidentes de seguridad reportados en el registro no serán objeto de consulta pública.

Otro aspecto relevante, es el deber de actualizar la información registrada por parte de los responsables del tratamiento de datos personales, dentro de los primeros diez (10) días hábiles de cada mes, contados a partir de la inscripción de la base de datos, pero únicamente en el evento en que se realicen cambios sustanciales en la información registrada y de manera anual, entre el 2 de enero y el 31 de marzo, a partir del año 2020. De igual forma, dentro de los 15 primeros días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción, deberán actualizar la información de los reclamos presentados por los titulares de la información.

Es importante tener presente que se consideran cambios sustanciales los que hacen referencia a la finalidad de la base de datos, el Encargado del Tratamiento, los canales de atención al Titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la Política de Tratamiento de la Información y la transferencia y transmisión internacional de datos personales.