PREGUNTAS FRECUENTES

  1. ¿Qué es el RNBD?

Es el Directorio público de las bases de datos con información personal sujetas a Tratamiento que operan en el país.

  1. ¿Qué ley creó el RNBD?

La Ley 1581 de 2012, que dispuso el régimen general de protección de datos personales, aplicable a los datos personales registrados en cualquier base de datos para ser manejados o tratados por entidades de naturaleza pública o privada. Esta norma, igualmente, designó a la SIC como Autoridad de Protección de Datos para garantizar que en el tratamiento de esos datos se respeten los principios, derechos, garantías y procedimientos dispuestos en la ley y le atribuyó la administración del RNBD.

  1. ¿Para qué sirve el RNBD?

Para conocer la realidad de las bases de datos personales del país, la cantidad de titulares y tipos de datos tratados, quién o quiénes adelantan su tratamiento, la finalidad y las políticas de tratamiento y los canales o mecanismos dispuestos para recibir consultas, peticiones y reclamos, entre otros aspectos.

  1. ¿A quién beneficia?

Tanto a los titulares, quienes pueden consultar el RNBD para establecer, por ejemplo, los canales de atención para ejercer sus derechos, como a los Responsables del Tratamiento, quienes deben cumplir con dicho registro so pena de incurrir en sanciones.

  1. ¿Qué es una base de datos personal?

Es un conjunto organizado de datos personales que se utiliza para llevar el registro y la administración de los mismos, bien sea en medio físico (un archivo) o en medio electrónico (archivos en cualquier formato como hojas electrónicas, tratamiento de texto, con el uso o no de motores de bases de datos, etc.), e independientemente de la cantidad de datos personales que contenga. El registro y administración de datos personales implica desde almacenarlos, hasta consultarlos, actualizarlos, compartirlos con terceros y/o eliminarlos, para los fines que decida la empresa.

Por lo general, las empresas tienen las siguientes bases de datos: de empleados, clientes y proveedores.

Ejemplo de datos personales pueden ser:

  • DATOS DE IDENTIFICACIÓN: Nombre, apellido, tipo de identificación, número de identificación,  fecha y lugar de expedición, nombre, estado civil, sexo, firma, nacionalidad, datos de familia, firma electrónica, otros documentos de identificación, lugar y fecha de nacimiento o muerte, edad, huella, ADN, iris, Geometría facial o corporal, fotografías, videos, fórmula dactiloscópica, voz, etc.
  • DATOS DE UBICACIÓN: como los relacionados con la actividad comercial o privada de las personas como dirección, teléfono, correo electrónico, etc.
  • DATOS DE CONTENIDO SOCIO ECONÓMICO: como estrato, propiedad de la vivienda, Datos financieros, crediticios y/o de carácter económico de las personas, Datos patrimoniales como bienes muebles e inmuebles, ingresos, egresos, inversiones, historia laboral, experiencia laboral, cargo, fechas de ingreso y retiro, anotaciones, llamados de atención, nivel educativo, capacitación y/o historial académico de la persona, etc.
  • DATOS SENSIBLES: como los relacionados con la salud de la persona en cuanto a órdenes y relación de pruebas complementarias como laboratorio, imágenes diagnósticas, endoscópicas, patológicas, estudios, etc. diagnósticos médicos, generales o especializados, psicológicos o psiquiátricos, medicamentos y/o tratamientos médicos o terapéuticos de cualquier tipo, los relacionados con la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, religiosas, políticas;  datos relacionados con las convicciones religiosas, filosóficas y/o políticas, los datos de preferencia, identidad y orientación sexual de la persona, origen étnico-racial, personas de la tercera edad o menores de 18 años en condición de pobreza, datos sobre personas en situación de discapacidad personas con limitaciones sicomotoras, auditivas y visuales en condiciones de pobreza, personas víctimas de la violencia, personas en situación de desplazamiento forzado por violencia, madres gestantes o lactantes o cabeza de familia en situación de vulnerabilidad,  menores en condición de abandono o protección, etc.,
  1. ¿Qué bases de datos se deben registrar?

Las bases de datos que contengan datos personales cuyo Tratamiento automatizado o manual se realice por personas naturales o jurídicas, de naturaleza pública o privada, en el territorio colombiano o fuera de él, en este último caso, siempre que al Responsable del Tratamiento o al Encargado del Tratamiento le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.

A partir del 9 de noviembre de 2015 se deben registrar las bases de datos con información personal de los Responsables del tratamiento que sean personas jurídicas de naturaleza privada inscritas en las Cámaras de Comercio y sociedades de economía mixta. En el 2016 se habilitará el registro de las bases de datos de las personas naturales, entidades públicas y personas jurídicas que no están inscritas en las Cámaras de Comercio, para ello la SIC expedirá un Circular Externa informando la fecha y procedimiento a seguir.

7.¿Todas las sociedades, aunque tengan un (1) solo empleado o unos activos pequeños, deben registrar sus bases de datos en el RNBD e implementar lo establecido en la ley de protección de datos personales?

El régimen general de protección de datos personales es aplicable a todas las empresas que realicen el tratamiento de datos personales, es decir, que recolecten, almacenen, usen o circulen datos personales. La ley no tiene ninguna excepción que excluya su aplicación por el tamaño de la empresa, el número de empleados que tenga o la cantidad o tipo de datos personales que administre.

  1. En mi empresa no tengo bases de datos personales. Pese a esto, ¿tengo que registrar algo ante la Superintendencia?

En este caso y para estar seguro, le recomendamos revisar si en su empresa se recolecta, almacena, usa o circula datos personales, bien sea en archivos físicos o electrónicos. En especial, analice si tiene datos de empleados, clientes, proveedores o de posibles empleados, clientes o proveedores. Si es así, sí tiene bases de datos con información personal y, por esta razón, debe inscribirlas en el RNBD.

  1. ¿Quién debe registrar las bases de datos?

Es deber de los Responsables del Tratamiento de los datos personales registrar las bases de datos con

  1. ¿Quién es el Responsable del Tratamiento?

Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. El Tratamiento es cualquier operación o conjunto de operaciones sobre los datos personales, como la recolección, almacenamiento, uso, circulación o supresión, entre otros.

  1. ¿Quién es el Encargado del Tratamiento?

Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. Vale la pena aclarar que para efectos de la normativa sobre protección de datos personales el Encargado del tratamiento es un tercero, ajeno a la empresa, por lo que no debe confundirse con el empleado que al interior de la organización es quien administra la base de datos.

  1. ¿Cuáles son los plazos de inscripción?

De acuerdo con lo establecido en el Decreto 090 de 2018 la inscripción de las bases de datos en el Registro Nacional de Bases de Datos se llevará a cabo en los siguientes plazos:

  • Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 610.000 Unidades de Valor Tributario (UVT), deberán realizar la referida inscripción a más tardar el treinta (30) de septiembre de 2018;
  • Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 y hasta 610.000 Unidades de Valor Tributario (UVT), deberán realizar la referida inscripción a más tardar el treinta (30) de noviembre de 2018;
  • Los Responsables del Tratamiento, personas jurídicas de naturaleza pública, deberán realizar la referida inscripción hasta el treinta y uno (31) de enero de 2019.
  • Las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos anteriormente, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación.
  1. ¿Qué pasa si no lo hago?

Es importante tener en cuenta que el artículo 23 de la Ley 1581 de 2012 indica que la Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:

  1. Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.
  2. Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.
  3. Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.
  4. Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.
  1. Tips para el registro:

Antes de registrar las bases de datos es preciso realizar el inventario de las bases de datos con información personal que reposen o no en las instalaciones de la empresa,  bien  sea  en  medio  físico  (papel)  o  electrónico  (listas  o  archivos  en cualquier formato, bases de datos relacionales, etc.).

Al efectuar este inventario se debe obtener la siguiente información:

  • Cantidad de bases de datos con información personal.
  • Cantidad de titulares por cada base de datos.
  • Información detallada de los canales o medios que se tienen previstos para atender las peticiones y reclamos de los titulares.
  • Tipos  de datos personales  contenidos  en  cada base  de datos  a  los  que  se  realiza Tratamiento, como: datos de identificación, ubicación, socioeconómicos, sensibles u otros.
  • Ubicación de las bases de datos.
  • Los datos de identificación y ubicación de los Encargados del tratamiento.
  • Medidas de seguridad y/o controles implementados en la base de datos para minimizar los riesgos de un uso no adecuado de los datos personales tratados.
  • Conocer  si  se  cuenta  con  la  autorización  de  los  titulares  de  los  datos contenidos en las bases de datos.
  • Forma de obtención de los datos (directamente del titular o mediante terceros).
  • Si se ha realizado transferencia o transmisión internacional de los datos personales contenidos en la base de datos.
  • Si se ha realizado cesión de la base de datos.
  1. ¿Cómo subo la información de mi base de datos?

Tal como lo indica la Circular Externa No. 02 de 2015, emitida por la Superintendencia de Industria y Comercio y publicada en el sitio web de esta entidad, www.sic.gov.co“Los Responsables del Tratamiento no cargarán en el Registro Nacional de Bases de Datos – RNBD- sus bases de datos con información personal. Solamente inscribirán la información establecida en el capítulo 26 del Decreto Único 1074 de 2015 y en la presente Circular”. En consecuencia, ninguna base de datos se cargará en el RNBD, solamente se suministrará la información que la identifique, de acuerdo con lo que se definió en el Decreto y en la Circular citados.

Para mayor detalle e ilustración le recomendamos consultar el Manual de Usuario publicado en la página de esta Superintendencia, www.sic.gov.co, en el micrositio de “Protección de Datos Personales”, en el link del Registro Nacional de Bases de Datos.

16. No tengo inscripción en Cámara de Comercio. ¿Debo registrar las bases de datos en el Registro Nacional de Bases de Datos? ¿Cómo sería el proceso?

El RNBD se habilitó a partir del 9 de noviembre de 2015 solamente para las empresas que son persona jurídica inscrita en Cámara de Comercio. Para los demás, es decir, quienes no están inscritos en las Cámaras de Comercio, como algunas personas jurídicas privadas, personas naturales o entidades públicas, el registro se habilitará en el curso del 2016.

17. ¿Las empresas que están en liquidación y las que están ya liquidadas también tienen que realizar el proceso en el Registro Nacional de Bases de Datos?

Es deber de todas las empresas registrar sus bases de datos en el RNBD. En consecuencia, si una sociedad que está en liquidación tiene bases de datos con información personal, debe registrarlas. Por su parte, si una sociedad ya se liquidó, no es sujeto de derecho y, por esta razón, no le es exigible esta obligación.

18.¿Qué debo hacer si al registrarme aparece un mensaje informando que el correo no coincide con el inscrito en Cámara de Comercio?

La Superintendencia de Industria y Comercio realiza la validación de los datos del usuario del Registro Nacional de Bases de Datos –RNBD- con la información que se encuentra en el Registro Único Empresarial y Social –RUES-, de tal manera que cuando se presenta un inconveniente con dicha validación es necesario que se le reporte a esta Superintendencia, a través del correo electrónico [email protected]gov.co, para que procedamos a adelantar la gestión correspondiente ante Confecámaras, como administrador del RUES.

 19. ¿Al intentar registrarme por primera vez, me aparece un mensaje que indica que “La información de matrícula no es correcta”?

Cuando al realizar el registro de usuario en el RNBD, después de digitar el número de matrícula mercantil de la empresa, aparece un mensaje que indica que “La información de matrícula no es correcta”, debe verificar en la página del RUES (www.rues.org.co) cómo aparece ese dato para después digitarlo tal como se muestra allí. En algunos casos este número no coincide exactamente con el que aparece en el certificado de Existencia y Representación Legal expedido por la Cámara de Comercio, bien sea porque tiene unos números iniciales que no coinciden o porque se incluye el guion.

20. Tengo varias empresas inscritas en Cámara de Comercio con el mismo correo electrónico, el RNBD me permite hacer el registro de la primera empresa pero no de las demás. ¿Qué debo hacer?

Teniendo en cuenta que el correo electrónico es el usuario con el que ingresará cada empresa, como Responsable del tratamiento, a registrar sus bases de datos, dicho correo debe ser único para cada una de ellas. Por esta razón, es necesario seguir los siguientes pasos:

(i) Después de recibir la contraseña e ingresar por primera vez al RNBD, con la primera empresa, debe cambiar esa contraseña y registrar la información del Responsable del Tratamiento y cerrar cesión.

(ii) Inicie una nueva sesión y cambie el correo del Responsable por otro que, en adelante será el usuario con el que ingresará esa empresa en adelante y al cual se enviará la respectiva contraseña.

(iii) Efectuados los pasos anteriores se puede llevar a cabo el registro de la segunda empresa con el correo electrónico que se encuentra en la Cámara de Comercio.

Estos pasos podrán repetirse igual tantas veces como se requiera, teniendo en cuenta el número de empresas que compartan el mismo correo electrónico en Cámara de Comercio.

Para mayor detalle e ilustración le recomendamos consultar el numeral 3.3 “Registrar dos o más empresas cuyo correo electrónico en cámara de comercio es el mismo” en el Manual de Usuario publicado en la página de esta Superintendencia, www.sic.gov.co, en el micrositio de “Protección de Datos Personales”, en el link del Registro Nacional de Bases de Datos.