El Registro Nacional de Bases de Datos (RNBD) como cumplimiento al Régimen Especial de Protección de Datos Personales - Ley 1581 de 2012

La Ley Estatutaria 1581 de 2012 surge como el desarrollo legislativo de dos pilares fundamentales de nuestra Carta Política: los artículos 15 y 20 de la Constitución de 1991.

El Artículo 15 consagra el derecho al habeas data, el cual faculta a todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. Por su parte, el Artículo 20 garantiza el derecho de informar y recibir información veraz e imparcial.

Bajo este entendido, las organizaciones no son "dueñas" de la información personal que recolectan y almacenan, sino administradoras sujetas a estrictos deberes y principios establecidos en la norma, el Registro Nacional de Bases de Datos (RNBD) aparece como el mecanismo de publicidad y supervisión del Estado colombiano por excelencia para garantizar que este flujo de información sea transparente y auditable.

El RNBD, creado por la Ley 1581 de 2012 y reglamentado en el Decreto 886 de 2014 y el  1074 de 2015 (Decreto Único Reglamentario del sector Comercio, Industria y Turismo), es un directorio público de las bases de datos sujetas a tratamiento que operan en el país, administrado por la Superintendencia de Industria y Comercio (SIC). Su finalidad es brindar transparencia sobre el ciclo de vida del dato dentro de una organización, permitiendo a la autoridad de control y a los titulares conocer:

●¿Quién es el responsable y, si aplica, el encargado del tratamiento?

●¿Qué tipo de datos se recolectan?

●Las finalidades específicas del tratamiento.

●Las políticas de seguridad y los canales de atención de Peticiones, Quejas y Reclamos (PQR).

●Las transferencias o transmisiones internacionales de información.

El Decreto 1074 de 2015 establece que deben inscribir sus bases de datos en el RNBD las sociedades y entidades sin ánimo de lucro que, al 31 de diciembre del año inmediatamente anterior, tengan activos totales superiores a 100.000 UVT.

Sin embargo, este criterio de materialidad financiera para la obligatoriedad de registro no exime a las empresas con activos inferiores de cumplir con la totalidad de los preceptos de la Ley 1581 de 2012 (entre otras, contar con políticas de tratamiento de datos personales, autorizaciones previas, expresas a informadas para el tratamiento de los datos personales, manual de trámites de PQRS, medidas de seguridad); únicamente las releva del deber de inscripción en el registro público.

Ahora bien, teniendo en cuenta los actores que deben cumplir con la obligación de publicidad relativa con el registro anual de bases de datos, también es importante conocer los plazos perentorios establecidos por la autoridad para ejecutar dicha responsabilidad:

●Inscripción inicial: debe realizarse una vez la empresa supere el umbral de las 100.000 UVT, debiendo registrar las bases de datos existentes a ese momento.

●Actualización anual: entre el 2 de enero y el 31 de marzo de cada año, los sujetos obligados deben confirmaro actualizar la información de sus bases de datos registradas.

●Actualización por cambios sustanciales: toda modificación significativa (cambios en la política de tratamiento, nuevas finalidades, cambio de encargados, brechas de seguridad reportables) debe actualizarse en la plataforma dentro de los primeros diez (10) o quince (15) días hábiles del mes siguiente a la ocurrencia del hecho, dependiendo del tipo de actualización según las instrucciones de la SIC.

●Supresión: procede cuando la base de datos pierde su razón de ser, ha sido eliminada de los sistemas de la compañía y ya no es objeto de tratamiento, lo cual debe quedar debidamente documentado antes de su baja en el registro.

El incumplimiento de las obligaciones relativas al RNBD configura una infracción a la Ley 1581 de 2012, activando las facultades de inspección, vigilancia y control que se le han otorgado a la Delegatura para la Protección de Datos Personales de la SIC.

Desde una perspectiva analítica, el riesgo no se limita a la omisión del registro, sino a la inconsistencia entre lo declarado en el RNBD y la realidad operativa de la empresa. La SIC tiene la facultad de imponer sanciones que incluyen:

●Multas de hasta 2.000 salarios mínimos mensuales legales vigentes (SMMLV) al momento de la imposición de la sanción.

●Suspensión de las actividades relacionadas con el tratamiento de datos hasta por seis (6) meses.

●Cierre temporal de las operaciones de la empresa.

●Cierre inmediato y definitivo.

Adicionalmente, el daño reputacional derivado de una sanción pública por manejo indebido de información impacta negativamente la confianza de clientes, proveedores y titulares de datos en general.

La efectividad del sistema de protección de datos personales se basa principalmente en una corresponsabilidad donde se involucra desde la alta dirección (quienes deben liderar la asignación de recursos y la definición de políticas estratégicas), hasta los colaboradores que interactúan directamente con la información. Esta articulación tiene como finalidad mantener un inventario de bases de datos, realizar una clasificación rigurosa según la sensibilidad de la información, garantizar la custodia bajo estándares de seguridad robustos, observar la prohibición absoluta de circular o compartir datos sin la debida autorización previa, expresa e informada del titular, generando con esto reportes coherentes entre la operatividad y los manuales de políticas y procedimientos de la empresa.

Integrar el cumplimiento de la Ley 1581 de 2012 y del Decreto 1074 de 2015 dentro de los sistemas de Compliance corporativo garantiza que la empresa no solo respete el derecho fundamental al <i>habeas data</i>, sino que también optimice sus procesos internos, eleve sus estándares de seguridad de la información y consolide relaciones de confianza duraderas con sus grupos de interés.