Se encuentran obligados al Registro Nacional de Bases de Datos (RNBD) ante la Superintendencia de Industria y Comercio (SIC), tanto empresas privadas, como asociaciones y las entidades de naturaleza pública, siempre y cuando, de acuerdo la normatividad vigente, tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT).
Actualmente, el valor de una UVT corresponde a $47.065, por lo que el umbral de activos totales en este momento se traduce en $4.706.500.000 en pesos colombianos. Por lo que se encuentran en la obligación legal de registrar sus bases de datos ante la Superintendencia de Industria y Comercio (SIC) y actualizar dicha información consignada en el RNBD; de esta manera se resalta que:
- Se debe actualizar la información consignada en el RNBD anualmente, entre el 2 de enero y el 31 de marzo de cada año. En este plazo, como mínimo, se debe actualizar la información relacionada con el número de titulares totales.
- Asimismo, el RNBD debe actualizarse periódicamente dentro de los 10 primeros días hábiles del mes siguiente a la fecha cuando se realicen cambios sustanciales.
- Las bases de datos que se creen con posterioridad al vencimiento de los plazos ya mencionados, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación.
- Adicionalmente, los responsables deben realizar un reporte de los reclamos presentados por los titulares de los datos personales de sus bases de datos, dentro de los 15 primeros días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción.
El reporte deberá incluir los reclamos presentados por los titulares, tanto al Responsable de la información como al Encargado del tratamiento y, efectuarse de acuerdo al Manual de Usuario del RNBD, el cual se encuentra disponible en el siguiente https://rnbd.sic.gov.co/sisiAyuda/
- Se debe reportar a la SIC los incidentes que supongan un riesgo a la seguridad de los datos personales. Este reporte debe efectuarse dentro de los 15 días hábiles siguientes al momento en que se tenga conocimiento del incidente. Se entiende que ocurre un incidente de seguridad cuando existe una violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información contenida en una base de datos.
- ¿Qué se entiende por cambios sustanciales y por no sustanciales?
Según lo definido por la SIC, son cambios sustanciales los que se relacionan con el cambio de la finalidad de una base de datos, el encargado del tratamiento, los canales de atención a los titulares, la clasificación o tipos de datos personales almacenados en la base de datos, las medidas de seguridad de la información implementadas, la Política de Tratamiento de la Información y la transferencia y transmisión internacional de datos personales.
En contraposición, todos aquellos cambios relativos a otro tipo de información consignada en el RNBD, corresponderá a cambios no sustanciales que deberán reportarse a más tardar el 31 de marzo de cada año; lo anterior, sin perjuicio de que, en caso de no haber realizado la actualización de cambios no sustanciales, también pueda cumplirla en esta oportunidad.
- ¿Cómo es posible identificar la información que debe ser actualizada?
Se recomienda contar, como parte del procedimiento a cargo del área competente de los temas de protección de datos personales, con un documento interno de control de la información acerca de las bases de datos reportadas en el RNBD que permita identificar los cambios susceptibles de actualización.
- ¿Qué pasa si incumplo con estas obligaciones?
La Superintendencia de Industria y Comercio indica que, una vez establecido el incumplimiento a estas obligaciones por parte del Responsable del Tratamiento o el Encargado del Tratamiento, adoptará las medidas o impondrá las sanciones correspondientes, las cuales se encuentras dispuestas en el artículo 23 de la Ley 1581 de 2012 e indican:
- Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.
- Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.
- Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.
- Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.