El Registro Nacional de Bases de Datos es solo la punta del Iceberg.
Seguramente de un tiempo para acá usted, como la mayoría de usuarios de internet, se habrá percatado que en las páginas web se abre un banner o una ventana anunciando sobre el uso de cookies, o que al rellenar un formulario debe marcar una casilla autorizando el uso de sus datos; también habrá recibido correos indicándole que está suscrito a la mail list de la empresa remitente, inclusive algunos notificándole sobre cambios en la política de privacidad de algún servicio.
Pues bien, nada de esto se debe al azar o a una extraña coincidencia, es el resultado de un movimiento global en el cual, tanto gobiernos como empresas de todo el mundo, están tomando conciencia de la importancia de proteger los datos personales de sus ciudadanos y usuarios, dando como resultado una serie de políticas, que estandarizan y reglamentan la circulación de los mismos a nivel mundial.
Colombia, al ser un país incorporado en el comercio internacional, no se ha quedado atrás, y ha reglamentado el tratamiento de datos personales a partir de la Ley 1581 de 2012, muy famosa hoy por sentar las bases de Registro Nacional de Bases de Datos (RNBD), que ha puesto a correr a empresarios como a los funcionarios de la Superintendencia de Industria y Comercio (SIC), para dar cumplimiento a sus exigencias y plazos.
¿Qué es el en RNBD?
Resumidamente, el RNBD es el mecanismo que contempla la SIC, para registrar y organizar las bases de datos personales que manejan las organizaciones que operan en territorio colombiano, con el fin de poder defender los derechos, tanto de empresas como de ciudadanos, en caso de que se presente un litigio por inadecuado tratamiento de datos personales, de acuerdo con lo estipulado por la ley 1581.
Organizaciones que operan en Colombia deben realizar el RNBD | Fuente: Superintendencia de Industria y Comercio
En el RNBD no se registran datos personales de las bases de datos, ni hay necesidad de cargar las mismas, pues la intención de la SIC no es almacenar la información personal de los colombianos, sino regular su tratamiento. Además el RNBD es un "directorio público", es decir que la información contenida en éste puede ser consultada por cualquier persona a través del portal web de la SIC.
De acuerdo con el organismo oficial, en el RNBD las empresas solamente se deben registrar "cuántas bases de datos hay, su finalidad, los canales que se han dispuesto para atender las peticiones de los ciudadanos, las políticas de privacidad adoptadas, el tipo de datos que contienen, las medidas implementadas para garantizar la seguridad de los registros y las transferencias y transmisiones realizadas, cuando aplique".
Realizar el proceso de registro es una tarea relativamente sencilla, que depende del tamaño, antigüedad y actividad de la empresa (también incluye ONGs y organizaciones sin animo de lucro) y se pueden hallar múltiples instructivos en la página web de la SIC.
Basta con realizar un barrido por toda la organización identificando las bases de datos existentes, su naturaleza, uso, datos almacenados, responsables y encargados, así como las políticas implementadas por la empresa para proteger y hacer uso de sus datos, para después registrar este información en el portal oficial del RNBD.
Sin embargo, el verdadero detalle que suele retrasar el registro y hacer más tedioso el ejercicio, es la creación de la políticas de tratamiento para cada una de esas bases de datos, las cuales, aunque deberían estar creadas desde el 2012 cuando la ley entró en vigencia, aun no han sido documentadas por muchísimas empresas, las cuales ya corren un alto riesgo de sanción.
¿Hasta cuando se puede cumplir con el RNBD?
Originalmente la norma estipulaba como fecha límite el 8 de noviembre de 2016, plazo que se extendió, por primera vez, hasta el 30 de junio de este año, fecha para la cual solamente el 7.098 empresas de todo el territorio nacional habían cumplido con el registro, motivo por el cual la SIC decidió dar una segunda prorroga hasta el 30 de enero de 2018; después de esta fecha, la SIC tendrá la potestad para impartir sanciones a quienes no hayan realizado el registro, hasta por 2.000 salarios mínimos o el cierre total de la organización.
Datos al 30 de junio de 2017 | Fuente: Enter.CO
Si una empresa no tiene bases de datos ¿Debe registrarse en el RNBD?
Aunque la ley no la obliga, es extremadamente difícil, por pequeña que sea, encontrar una organización que no cuente con al menos una base de datos. Por eso nuestra recomendación, aunada con la de la SIC, es que verifique concienzudamente este hecho, teniendo en cuenta que existen al menos 4 tipos de bases de datos que toda empresa suele tener: clientes, proveedores, empleados y socios.
Además, no sobra mencionar que la SIC define como base de datos personales al "conjunto organizado de datos personales que se utiliza para llevar el registro y la administración de los mismos, bien sea en medio físico (un archivo) o en medio electrónico (archivos en cualquier formato como hojas electrónicas, tratamiento de texto, con el uso o no de motores de bases de datos, etc.), e independientemente de la cantidad de datos personales que contenga".
Si la fecha límite no se ha cumplido ¿Por qué ya hay empresas sancionadas?
Las sanciones que regirán a partir del 1 de febrero son para aquellas empresas que no hayan realizado en RNBD, sin embargo, como mencionábamos anteriormente, la ley 1581 entró en vigencia en el 2012, año a partir del cual todas las organizaciones deben cumplir la normatividad en cuanto a tratamiento de datos personales se refiere, y haber diseñado, documentado, socializado e implementado sus propias políticas al respecto.
En el último informe publicado por la SIC, el pasado 8 de junio, el organismo estatal informaba que se han recaudado 21.000'000.000 COP a través de 619 multas impuestas a empresas por el tratamiento inadecuado de datos personales desde el 2010, cuando entró en vigencia el régimen legal de protección de datos personales en Colombia.
Cabe destacar que, aunque la mayoría de sanciones se han impartido por reportes inadecuados a las centrales de riesgo, también priman las relacionadas con envío inadecuado de publicidad, como la famosa multa por 140'000.000 COP impuesta al la tienda online Linio; sobresale también la ejemplar e histórica sanción a Colmédica por no proteger los datos personales de 30 pacientes, la cual supera los 1.000'000.000 COP.
Cabe mencionar que, adicional a estas multas, para que la SIC investigue cada uno de estos casos suele existir la demanda de algún usuario de por medio, y, mientras que la multa se invierte en el Estado, estas empresas aun deben resolver estás demandas (que con el fallo de la SIC suelen resultar a favor del demandante) y reparar a los usuarios afectados, reparación que puede salir aun más costosa que la multa.
La verdad del RNBD, es solo la punta del iceberg.
Muchas empresas y agentes inescrupulosos se están aprovechando del afán y preocupación de los empresarios por cumplir con el plazo del RNBD, para venderles el registro de sus bases de datos, para el cual suelen utilizar políticas genéricas o copiadas de otras empresas, que en realidad no se están implementando en la organización.
Pero, como hemos demostrado anteriormente, realizar el registro no es lo realmente importante, lo que se necesita es una sensibilización real con el tratamiento de datos personales, identificar efectivamente las bases de datos, analizar sus riesgos, establecer las políticas de tratamiento, socializarlas al personal y ponerlas en práctica en toda la organización; lo cual es un trabajo que debe estar encabezado por un equipo conocedor y que involucra a toda la empresa, pero que al final si protege a la organización de las sanciones. Además, como la SIC ha recordado reiteradas veces, el RNBD es completamente gratuito.
Si quiere conocer con mayor detalle el proceso de registro, lo invitamos a ingresar a la página web de la Superintendencia de Industria y Comercio, donde encontrará resueltas las dudas más frecuentes al respecto.
Si aun tiene inquietudes o siente que necesita ayuda para implementar las Políticas de Tratamiento de Datos Personales en su organización, puede ponerse en contacto con nosotros en cualquier momento.
