Por lo tanto nos permitimos transcribir las preguntas más frecuentes sobre el tema: 

1.¿Quiénes están obligados a reportar esta información?

Frente a este importante punto inicial nos encontramos dos respuestas por parte de la SIC las cuales señalan:

“……. 7. ¿Todas las sociedades, aunque tengan un (1) solo empleado o unos activos pequeños, deben registrar sus bases de datos en el RNBD e implementar lo establecido en la ley de protección de datos personales?

El régimen general de protección de datos personales es aplicable a todas las empresas que realicen el tratamiento de datos personales, es decir, que recolecten, almacenen, usen o circulen datos personales. La ley no tiene ninguna excepción que excluya su aplicación por el tamaño de la empresa, el número de empleados que tenga o la cantidad o tipo de datos personales que administre.

8. En mi empresa no tengo bases de datos personales. Pese a esto, ¿tengo que registrar algo ante la Superintendencia?

En este caso y para estar seguro, le recomendamos revisar si en su empresa se recolecta, almacena, usa o circula datos personales, bien sea en archivos físicos o electrónicos. En especial, analice si tiene datos de empleados, clientes, proveedores o de posibles empleados, clientes o proveedores. Si es así, sí tiene bases de datos con información personal y, por esta razón, debe inscribirlas en el RNBD. “

De lo anterior podemos concluir que TODAS las personas jurídicas y naturales que tengan cualquier tipo de almacenamiento de información de terceros sean clientes, proveedores, empleados y otros, están obligados a cumplir con esta obligación de registro.

 

2.¿Que debemos reportar?

Al revisar lo señalado en la  Circular Externa 2 de 2015, que emitió la SIC “Los Responsables del Tratamiento no cargarán en el Registro Nacional de Bases de Datos – RNBD- sus bases de datos con información personal. Solamente inscribirán la información establecida en el capítulo 26 del Decreto Único 1074 de 2015 y en la presente Circular”.

Por lo tanto no se deben subir las bases de datos de los clientes, proveedores o empleados con sus datos personales se debe suministrar la información que identifique el tipo de base de datos y otros temas como:

-Cantidad de bases de datos con información personal.

-Cantidad de titulares por cada base de datos.

-Información detallada de los canales o medios que se tienen previstos para atender las peticiones y reclamos de los titulares.

-Tipos de datos personales contenidos en cada base de datos a los que se realiza Tratamiento, como: datos de identificación, ubicación, socioeconómicos, sensibles u otros.

-Ubicación de las bases de datos.

-Los datos de identificación y ubicación de los Encargados del tratamiento.

-Medidas de seguridad y/o controles implementados en la base de datos para minimizar los riesgos de un uso no adecuado de los datos personales tratados.

-Conocer si se cuenta con la autorización de los titulares de los datos contenidos en las bases de datos.

-Forma de obtención de los datos (directamente del titular o mediante terceros).

-Si se ha realizado transferencia o transmisión internacional de los datos personales contenidos en la base de datos.

-Si se ha realizado cesión de la base de datos.

 

3¿Cuando se debía reportar la información?

“ ….. 12. Las empresas tienen un (1) año para inscribir sus bases de datos en el RNBD, contado a partir del 9 de noviembre de 2015, fecha en la que se habilitó el registro.

Sin perjuicio del término de un (1) año, la Superintendencia de Industria y Comercio fijó unos plazos teniendo en cuenta los dos (2) últimos dígitos del Nit, para evitar que las empresas lleven a cabo el registro de sus bases de datos al final de ese año, es decir, en noviembre de 2016, corriendo así el riesgo de no cumplir con la obligación que tienen de registrar sus bases de datos o de colapsar el sistema y los canales de soporte dispuestos para atender las consultas e inquietudes de los Responsables del Tratamiento.”

  1. Que sanciones acarrea el no hacerlo?

 

“….. 13.  ¿Qué pasa si no lo hago?

Es importante tener en cuenta que el artículo 23 de la Ley 1581 de 2012 indica que la Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:

a. Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.

b. Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.

c. Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.

d. Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.

Toda la información sobre el tema se puede consultar en:

 https://www.sic.gov.co/drupal/preguntas-frecuentes-rnbd

 https://www.sic.gov.co/drupal/recursos_user/documentos/Proteccion_Datos_Personales/Manual_de_Usuario_RNBD_16-08-2016.pdf