Comentario: Todas las bases que sean reguladas por la Ley 1581 de 2012 deben ser inscritas en el Registro Nacional de Bases de Datos, sin importar si el Responsable es una entidad de naturaleza pública o privada y/o persona natural o jurídica inscrita o no en Camara de Comercio.
Concepto 296612 SIC 12 de Diciembre de 2016.
La Ley 1581 de 2012, en su artículo 21 señala las siguientes funciones para esta Superintendencia:
“a) Velar por el cumplimiento de la legislación en materia de protección de datos personales;
b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;
c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva.
d) Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos.
e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley.
f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.
g) Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.
h) Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento.
i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional.
j) Requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras, de la recolección internacional de datos personales.
k) Las demás que le sean asignadas por ley”.
3.1. Responsables del tratamiento de datos personales y ámbito de aplicación de la Ley 1581 de 2012
El artículo 3 de la Ley 1581 de 2012 señala la siguiente definición de responsable del tratamiento:
“e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos”.
Por lo anterior, el responsable del tratamiento de los datos personales es la persona natural o jurídica que decide sobre las finalidades del tratamiento y los medios empleados para el efecto, por ejemplo, para ponerlo en circulación o usarlo de alguna manera o permitir su acceso.
Ahora bien, la Ley 1581 de 2012, en su artículo 2, señala el ámbito de aplicación de la siguiente manera:
“Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.
(…)”
La precitada ley aplica al tratamiento, es decir, la recolección, almacenamiento, uso, circulación o supresión, de datos personales registrados en cualquier base de datos o archivos por parte de entidades públicas o privadas.
Respecto al concepto de bases de datos o archivos la Corte Constitucional mediante Sentencia C-748 de 2011 señaló lo siguiente:
“El literal b) define las bases de datos como un “(…) conjunto organizado de datos personales que sea objeto de tratamiento”. Pese a que esta definición es bastante amplia y parece coincidir más con la de banco de datos empleada en la Ley 1266, en tanto el legislador goza de libertad de configuración en la materia, puede adoptar definiciones diferentes dependiendo de la regulación.
Ahora bien, la definición se ajusta a la Carta, pues cobija todo espacio donde se haga alguna forma de tratamiento del dato, desde su simple recolección, lo que permite extender la protección del habeas data a todo tipo de hipótesis. En concordancia, la Sala recuerda, como se indicó en la consideración 2.4.3.2., que el concepto de base de datos cobija los archivos, entendidos como depósitos ordenados de datos, lo que significa que los archivos están sujetos a las garantías previstas en el proyecto de ley”.
Ahora bien, respecto a la aplicación de la Ley 1581 de 2012 en cuanto al tratamiento por las entidades públicas y privadas, la Corte Constitucional en la precitada Sentencia señaló:
“Por último, respecto de la tercera condición –posibilidad de tratamiento de los datos por entidades públicas o privadas, para la Sala surge la duda de si el empleo del término entidades supone una restricción inconstitucional, pues podría limitar el ámbito de aplicación a datos personales susceptibles de ser tratados solamente por personas jurídicas, lo que excluiría los casos de tratamiento por personas naturales.
Sin embargo, la Sala observa que el término entidad tienen varias acepciones, una de la cuales incluye a las personas naturales. En efecto, según el Diccionario de la Real Academia de la Lengua, una entidad puede ser una “[c]olectividad considerada como unidad. Especialmente, cualquier corporación, compañía, institución, etc., tomada como persona jurídica”, pero también puede ser un “[e]nte o ser”; esta segunda definición –más amplia- cobija a las personas naturales.
Así, en atención a los principios de interpretación conforme a la Constitución y de conservación del derecho, la Sala concluye que debe entenderse –sin necesidad de condicionar la exequibilidad del precepto- que la interpretación del inciso que se ajusta a la Carta es aquella según el cual el término entidades comprende tanto las personas naturales como jurídicas. De modo que así entendida la condición, la Sala también concluye que es compatible con la Carta, pues cobija las hipótesis necesarias para que el proyecto cumpla su finalidad de brindar protección a los datos personales.
Para terminar, resalta la Sala la importancia de esta disposición, en tanto reconoce que el tratamiento de datos personales también puede ser efectuado por personas privadas; de hecho, en el mundo globalizado, el sector privado lleva a cabo una parte muy considerable del tratamiento de datos, lo que lo dota de un poder informático a gran escala y lo convierte en un potencial vulnerador del derecho al habeas data. De ahí que uno de los grandes retos de la protección de los datos personales es la creación de mecanismos para hacer responsables a los particulares por el tratamiento inadecuado y abusivo de datos personales.”
Por lo anterior, la Ley 1581 de 2012 se aplica a los datos personales que se encuentren en bases de datos o archivos de entidades públicas o privadas, entendidos estos, como el conjunto organizados o depósitos ordenados de datos personales sujetos a tratamiento, es decir, a la recolección, el almacenamiento, el uso, la circulación o la supresión de los mismos.
3.2. Registro Nacional de Bases de Datos Personales
El artículo 25 de la Ley 1581 de 2012 señala lo siguiente:
“Definición. El Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país.
El registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos.
Para realizar el registro de bases de datos, los interesados deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información, las cuales obligarán a los responsables y encargados del mismo, y cuyo incumplimiento acarreará las sanciones correspondientes. Las políticas de Tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la presente ley.
Parágrafo. El Gobierno Nacional reglamentará, dentro del año siguiente a la promulgación de la presente Ley, la información mínima que debe contener el Registro, y los términos y condiciones bajo los cuales se deben inscribir en éste los Responsables del Tratamiento.”
Dicho artículo fue reglamentado mediante el artículo 2.2.2.26.1.2., del Decreto 1074 de 2015, que incorpora el Decreto 886 de 2014 y en el que se determina qué bases de datos deben ser inscritas en el Registro Nacional de Bases de datos:
“Ámbito de aplicación. Serán objeto de inscripción en el Registro Nacional de Bases de Datos, las bases de datos que contengan datos personales cuyo Tratamiento automatizado o manual se realice por personas naturales o jurídicas, de naturaleza pública o privada, en el territorio colombiano o fuera de él, en este último caso, siempre que al Responsable del Tratamiento o al Encargado del Tratamiento le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales. Lo anterior sin perjuicio de las excepciones previstas en el artículo 2 de la Ley 1581 de 2012.”
De acuerdo con lo cual, todas las bases que sean reguladas por la Ley 1581 de 2012 deben ser inscritas en el Registro Nacional de Bases de Datos, sin importar si el Responsable del Tratamiento es una entidad de naturaleza pública o privada y personas naturales o jurídicas.
Por su parte, el artículo 2.2.2.26.1.3., del Decreto 1074 de 2015 dispone lo siguiente:
“2.2.2.26.1.3. Deber de inscribir las bases de datos. El Responsable del Tratamiento debe inscribir en el Registro Nacional de Bases de Datos, de manera independiente, cada una de las bases de datos que contengan datos personales sujetos a Tratamiento”.
En consecuencia, la obligación de realizar la inscripción de las bases de datos en el Registro Nacional le corresponde al responsable del tratamiento entendido como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la base de datos ylo el Tratamiento de los datos, esto es, la recolección, el uso, el almacenamiento, la circulación y la supresión de los mismos.
Por otra parte, respecto de la información mínima que debe contener el Registro Nacional de Bases de Datos el artículo 2.2.2.26.2.1., del Decreto 1074 de 2015 establece:
“Información mínima del Registro Nacional de Bases de Datos. La información mínima que debe contener el Registro Nacional de Bases de Datos es la siguiente:
1. Datos de identificación, ubicación y contacto del responsable del Tratamiento de la base de datos;
2. Datos de identificación, ubicación y contacto del o de los Encargados del Tratamiento de la base de datos;
3. Canales para que los titulares ejerzan sus derechos;
4. Nombre y finalidad de la base de datos;
5. Forma de Tratamiento de la base de datos (manual y/o automatizada), y
6. Política de Tratamiento de la información.
La Superintendencia de Industria y Comercio, como autoridad de protección de datos personales, podrá establecer dentro del Registro Nacional de Bases de Datos información adicional a la mínima prevista en este artículo, acorde con las facultades que le atribuyó la Ley 1581 de 2012 en el literal h) del artículo 21.”
En concordancia con lo anterior, en el Capítulo Segundo del Título V de la Circular Única de esta Superintendencia, que incorpora la Circular Externa 01 de 2016, se imparten instrucciones sobre el Registro Nacional de Bases de Datos para personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio, entre ellas, la información adicional a la señalada en el artículo 2.2.2.26.2.1. del Decreto 1074 de 2015, que debe inscribirse en los siguientes términos:
“a) Información almacenada en la base de datos. Es la clasificación de los datos personales almacenados en cada base de datos, agrupados por categorías y subcategorías, de acuerdo con la naturaleza de los mismos.
b) Medidas de seguridad de la información. Corresponde a los controles implementados por el Responsable del Tratamiento para garantizar la seguridad de las bases de datos que está registrando, teniendo en cuenta las preguntas dispuestas para el efecto en el RNBD. Tales preguntas no constituyen de ninguna manera instrucciones acerca de las medidas de seguridad que deben implementar los Responsables del Tratamiento de datos personales.
c) Procedencia de los datos personales. La procedencia de los datos se refiere a si estos son recolectados del Titular de la información o suministrados por terceros y si se cuenta con la autorización para el tratamiento o existe una causal de exoneración, de acuerdo con lo establecido en el artículo 10 de la Ley 1581 de 2012.
d) Transferencia internacional de datos personales. La información relacionada con la Transferencia internacional de datos personales comprende la identificación del destinatario como Responsable del Tratamiento, el país en el que este se encuentra ubicado y si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio o por una causal de excepción en los términos señalados en el artículo 26 de la Ley 1581 de 2012.
e) Transmisión internacional de datos personales. La información relacionada con la Transmisión internacional de datos comprende la identificación del destinatario como Encargado del Tratamiento, el país en el que este se encuentra ubicado, si se tiene un contrato de transmisión de datos en los términos señalados en el artículo 2.2.2.25.5.2 de la Sección 5 del Capítulo 25 del Decreto Único 1074 de 2015 o si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio.
f) Cesión o transferencia nacional de la base de datos. La información relacionada con la cesión o transferencia nacional de datos incluye la identificación del cesionario, quien se considerará Responsable del Tratamiento de la base de datos cedida a partir del momento en que se perfeccione la cesión. No es obligatorio para el cedente registrar la cesión de la base de datos. Sin embargo, el cesionario, como Responsable del Tratamiento, debe cumplir con el registro de la base de datos que le ha sido cedida.
g) Reporte de novedades. Una vez finalizada la inscripción de la base de datos en el RNBD, se reportarán como novedades los reclamos presentados por los Titulares y los incidentes de seguridad que afecten la base de datos, de acuerdo con las siguientes reglas:
(i) Reclamos presentados por los Titulares. Corresponde a la información de los reclamos presentados por los Titulares ante el Responsable y/o el Encargado del Tratamiento, según sea el caso, dentro de un semestre calendario (enero – junio y julio – diciembre). Esta información se reportará teniendo en cuenta lo manifestado por los Titulares y los tipos de reclamos prestablecidos en el registro. El reporte deberá ser el resultado de consolidar los reclamos presentados por los Titulares ante el Responsable y el (los) Encargado (s) del Tratamiento.
(ii) Incidentes de seguridad. Se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado, que deberán reportarse al RNBD dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos”.
Así mismo, señala el procedimiento para realizar el Registro Nacional de Bases de Datos, el cual deberá hacerse de acuerdo a las instrucciones contenidas en el “Manual del Usuario del Registro Nacional de Bases de Datos – RNBD” publicado en el sitio Web de la Superintendencia de Industria y Comercio, www.sic.gov.co.
La inscripción se realizará en línea en el portal Web de esta entidad www.sic.gov.co ingresa por el micrositio de “Protección de datos personales” ubicado en la barrahorizontal superior, luego “Sobre la Protección de Datos Personales” y, finalmente, “Registro Bases de Datos”, en el menú vertical que se encuentra al lado izquierdo.
Ahora bien, el artículo 2.2.2.26.3.1. del Decreto 1074 de 2015, modificado por el Decreto 1759 de 2016, establece lo siguiente:
“La inscripción de las bases de datos en el Registro Nacional de Bases de Datos se llevará a cabo en los siguientes plazos:
a) Los Responsables del Tratamiento, personas jurídicas de naturaleza privada y sociedades de economía mixta inscritas en las cámaras de comercio del país, deberán realizar la referida inscripción a más tardar el treinta (30) de junio de 2017, de acuerdo con las instrucciones que para el efecto imparta la Superintendencia de Industria y Comercio.
b) Los Responsables del Tratamiento, personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio, deberán inscribir sus bases de datos en el Registro Nacional de Bases de Datos a más tardar el treinta (30) de junio de 2018, conforme con las instrucciones impartidas para tales efectos por la Superintendencia de Industria y Comercio.
Las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos en los literales a) y b) del presente artículo, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación. “.
De acuerdo con lo cual, existen tres plazo para la inscripción de bases de datos personales así: (i) hasta el treinta (30) de junio de 2017 para las personas jurídicas de naturaleza privada y sociedades de economía mixta inscritas en las cámaras de comercio; (ii) hasta el treinta (30) de junio de 2018 para las personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio, y (iii) para las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos anteriormente, dentro de los dos (2) meses siguientes contados a partir de su creación.
CONSIDERACIONES FINALES EN TORNO A LA CONSULTA PRESENTADA.
En línea con lo anterior, y teniendo en cuenta que a este punto se ha logrado la exposición de las consideraciones de orden constitucional, legal, jurisprudencial y doctrinal, en el marco de los interrogantes planteados en la solicitud formulada, nos permitimos manifestar:
– Todas las bases que sean reguladas por la Ley 1581 de 2012 deben ser inscritas en el Registro Nacional de Bases de Datos, sin importar si el Responsable es una entidad de naturaleza pública o privada y persona natural o jurídica.
– Las bases de datos o archivos de entidades públicas o privadas, son entendidos, como el conjunto organizados o depósitos ordenados de datos personales sujetos a tratamiento, es decir, a la recolección, el almacenamiento, el uso, la circulación o la supresión de los mismos y cuyo procesamiento sea utilizando medios tecnológicos o manuales.
– La obligación de realizar la inscripción de las bases de datos en el Registro Nacional le corresponde al responsable del tratamiento entendido como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la base de datos y/o el Tratamiento de los datos, esto es, la recolección, el uso, el almacenamiento, la circulación y la supresión de los mismos.
– El procedimiento a seguir para la inscripción de las bases de datos en el Registro Nacional de Bases de Datos se realizará en línea en el portal Web de esta entidad www.sic.gov.co ingresa por el micrositio de “Protección de datos personales” ubicado en la barra horizontal superior, luego “Sobre la Protección de Datos Personales” y, finalmente, “Registro Bases de Datos”, en el menú vertical que se encuentra al lado izquierdo.
– Dependiendo de la calidad de responsable se tiene tres fechas para la inscripción de bases de datos así:
(i) hasta el treinta (30) de junio de 2017 para las personas jurídicas de naturaleza privada y sociedades de economía mixta inscritas en las cámaras de comercio.
(ii) hasta el treinta (30) de junio de 2018 para las personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio.
(iii) para las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos anteriormente, dentro de los dos (2) meses siguientes contados a partir de su creación.
– Si en la actualidad no cuenta datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento, esto es, la recolección, el uso, la circulación, el almacenamiento o la supresión de los mismos, no está obligado a registrar bases en el Registro Nacional de Bases de datos o al cumplimiento de las disposiciones de la Ley 1581 de 2012 y sus decretos reglamentarios.
Finalmente le informamos que algunos conceptos de interés general emitidos por la Oficina Jurídica, así como las resoluciones y circulares proferidas por ésta Superintendencia, las puede consultar en nuestra página web https://www.sic.gov.co/drupal/Doctrina-1
En ese orden de ideas, esperamos haber atendido satisfactoriamente su consulta, reiterándole que la misma se expone bajo los parámetros del artículo 28 de la Ley 1437 de 2011, esto es, bajo el entendido que la misma no compromete la responsabilidad de esta Superintendencia ni resulta de obligatorio cumplimiento ni ejecución.
Atentamente,
JAZMIN ROCIO SOACHA PEDRAZA
JEFE OFICINA ASESORA JURÍDICA
