El anuncio de la Superintendencia de Industria y Comercio, acerca de que se amplió el plazo para el registro de las bases de datos (RNBD) de las empresas hasta el 30 de junio de 2017, seguramente le representó un alivio a muchas empresas. Recordemos que la fecha límite inicial era este martes 8 de noviembre.
Sin embargo, esta entidad fue clara en manifestar que este trámite gratuito lo deben llevar a cabo todas las empresas, sin importar su tamaño, el número de empleados, la cantidad de datos o el tipo de datos que administren, y que aquellos que no hagan el registro, podrían incurrir en multas de carácter personal o institucional por el equivalente a 2.000 salarios mínimos mensuales legales vigentes, al momento de la imposición de la sanción.
Al parecer, la razón que suscitó el cambio en la fecha tuvo que ver con que el Ministerio de Comercio presentó un proyecto de reforma del decreto 1074 del 2015, relacionado con la política de tratamiento de datos personales en las empresas, a raíz -precisamente- de las solicitudes de las personas que pedían más tiempo para el registro y el bajo índice de bases de datos subidas a la plataforma.
Por esto, si inquietudes relacionadas con el proceso de registro es lo que ha impedido que te pongas al día con esta tarea, a continuación te compartimos algunas respuestas útiles para que registres las bases de datos de tu empresa con anticipación.
¿Qué bases de datos se deben registrar?
De acuerdo con la Superintendencia de Industria y Comercio, se deben registrar todas las bases de datos que contengan datos personales cuyo tratamiento automatizado o manual vaya a ser realizado por personas naturales o jurídicas, de naturaleza pública o privada, en el territorio colombiano o fuera de él. Dicho registro debe ir acompañado de la información de los responsables del tratamiento de los datos en tu empresa.
¿Las empresas que tengan un solo empleado o unos activos pequeños también deben registrar sus bases de datos?
La ley de protección de datos personales es aplicable a todas las empresas que recolecten, almacenen, usen o circulen datos personales. Esto quiere decir que características como el tamaño de la empresa, el número de empleados, la cantidad o el tipo de datos personales que gestione no excluye a una empresa de este proceso.
En mi empresa no tengo bases de datos personales. Aún así ¿debo realizar el registro?
Si no tienes bases de datos, no es necesario que realices el registro. Sin embargo, es importante que revises a fondo si en tu empresa se usan datos personales que puedan estar no solo en archivos físicos sino también en archivos electrónicos. Así mismo, es importante que valides si recopilas datos de empleados, clientes, proveedores o de posibles empleados, clientes o proveedores, ya que si la respuesta es sí, entonces será necesario que inscribas estas bases de datos en el RNBD.
¿Qué pasa si no registro mis bases de datos?
El artículo 23 de la Ley 1581 de 2012 faculta a la Superintendencia de Industria y Comercio para que pueda imponer a los responsables del tratamiento y encargados del tratamiento de los datos en tu empresa las siguientes sanciones:
-Multas de carácter personal e institucional hasta por 2.000 salarios mínimos mensuales legales vigentes, al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras exista el incumplimiento que las originó.
-Suspensión de las actividades relacionadas con el tratamiento hasta por seis meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.
-Cierre temporal de las operaciones relacionadas con el tratamiento de los datos personales, si no se adoptaron las medidas correctivas ordenadas por la Superintendencia de Industria y Comercio en el tiempo estipulado.
-Cierre inmediato y definitivo de la operación que involucra el tratamiento de datos sensibles.
¿A dónde debo dirigirme si ya tengo listas mis bases de datos?
Si ya tienes tus bases de datos organizadas puedes ingresar al sitio web de la Superintendencia de Industria Comercio, crear un usuario y una contraseña, e iniciar con el proceso de inscripción. Así mismo, te será bastante útil visitar el video tutorial y el manual de ayuda acerca de cómo realizar el registro, los cuales también están disponibles en este sitio web y responden dudas relacionadas con cómo modificar, eliminar o actualizar los datos que ya subiste a la plataforma.
En general, será posible eliminar o modificar toda la información ingresada en el RNBD, siempre y cuando no hayas finalizado el registro de la base de datos, es decir, no le hayas asignado un número de radicado. Pero, si ya finalizaste el registro de la base de datos y en la información ingresada hay errores, estos se podrán corregir mediante la opción ‘Modificar Registro’. Una vez efectuada la corrección, se debe finalizar nuevamente la inscripción.
Por otro lado, dentro de las recomendaciones que hace la Superintendencia de Industria y Comercio para que no ocurran inconvenientes a la hora de registrar las bases de datos, está que hagas un inventario del total de las bases de datos con información personal -en papel o en formato digital- que reposan en las instalaciones de tu empresa. También que definas la cantidad de titulares por cada base de datos, que se cuente con información detallada de los canales de comunicación previstos para atender las peticiones o reclamos de los titulares, que se adopten medidas de seguridad para minimizar los riesgos de un uso inadecuado de los datos personales tratados, que se aclare la forma de obtención de los datos (comunicación directa con el titular o a través de terceros), que se determine si se ha realizado una transferencia o una transmisión internacional de los datos personales contenidos en las bases de datos de tu empresa, o si se ha realizado una cesión de las bases de datos.
Alista tu política de protección de datos
El registro de las bases de datos debe ir acompañado de la política de tratamiento de datos personales de tu empresa. Según un decreto (Decreto único 1074 de 2015), las políticas de tratamiento de la información deben estar en medio físico o electrónico, en un lenguaje claro y sencillo, y deben darse a conocer a los titulares de los datos. Dichas políticas deberán incluir información como:
-Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del responsable de los datos en tu empresa.
-Tratamiento al cual serán sometidos los datos y, finalidad del mismo (sobretodo cuando esto no fue informado a las personas mediante un aviso de privacidad).
-Derechos del titular o la persona que ha entregado sus datos.
-Nombre de la persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato, o a revocar la autorización.
-Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.
-Fecha de entrada en vigencia de la política de tratamiento de la información, y período de vigencia de la base de datos.
Imagen: Pixabay.