El pasado 30 de noviembre de 2018 se venció el plazo para que las empresas privadas realizaran el registro de bases de datos -RNBD- ante la SIC con base en lo establecido en el decreto 90 de 2018 y de acuerdo con el artículo 23 de la Ley 1581 de 2012, la Superintendencia de Industria y Comercio -SIC- está facultada para hacer auditorias e imponer sanciones por incumplimiento a esta ley, las cuales consisten en:
- Multas de carácter personal e institucional hasta de dos mil (2.000) salarios mínimos mensuales legales vigentes.
- Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.
- Suspensión de las actividades relacionadas con el Tratamiento de datos personales hasta por un término de seis (6) meses.
- Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la SIC.
- Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.
También se aclara en el decreto 90 que las personas jurídicas y naturales que no están obligadas a registrar sus bases de datos ante la SIC, siguen sujetas al cumplimiento de las disposiciones contenidas en la Ley 1581 de 2012.
Actualización del Registro Nacional de Bases de Datos (RNBD):
Los responsables de registrar sus bases de datos en el RNBD deben actualizar la información registrada, de acuerdo con el artículo 2.3 de la Resolución 003 de 2018 como se indica a continuación:
1. Por cambios sustanciales: Dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información registrada. Los cambios a que se hace referencia son:
- Cambios en la Finalidad de la base de datos captada
- Cambios en el Encargado(s) del Tratamiento de datos
- Cambios a los Canales de atención establecidos al Titular
- Cambios en la Clasificación o Tipos de datos personales almacenados en cada base de datos
- Cambios a las Medidas de seguridad de la información implementadas
- Cambios en la Política de Tratamiento de la Información
- Cambios por Transferencia y transmisión internacional de datos personales.
2. Anualmente: para actualizar cambios a las bases de datos, entre el 2 de enero y el 31 de marzo.
3. Voluntaria: en cualquier momento que sea necesario ya que la plataforma de la SIC esta activa permanentemente.
4. Por creación de nuevas bases de datos: se deben reportar las nuevas bases de datos dentro de los dos (2) meses siguientes a su creación.
5. Por reclamos de titulares: Los reclamos que se hagan a Responsables y/o Encargados, se deben reportar dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción. El primer reporte de reclamos presentados por los Titulares se deberá realizar en el segundo semestre de 2019 en el mes de Agosto, con la información que corresponda de enero a junio. Los reclamos generados de julio a diciembre se presentarían en febrero de 2020.
6. Reporte de incidentes de Seguridad: se deben reportar dentro de los quince (15) días hábiles posteriores al momento en que se detecta el incidente y se pone en conocimiento de la persona, oficial de protección o área encargada de atenderlo. Si la empresa no esta obligada a realizar la actualización del RNBD, debe informar igualmente por medio de un canal o correo que ofrece la SIC el reporte del incidente presentado.
Es importante tener en cuenta que cada actualización que se realice al registro RNBD, debe contar con un documento que respalde dicha acción, con el fin de documentar el procedimiento realizado, que permita ser usado para demostrar cumplimiento y responsabilidad en la gestión realizada.
PRODATI
A la fecha se han impuesto sanciones a empresas por más de $39 mil millones de pesos de acuerdo al ultimo reporte emitido por la SIC, las cuales obedecen a quejas presentadas por los titulares y que se basan en los siguientes motivos:
- Fallas en medidas de seguridad de la información
- Falta de autorización otorgada
- No informar con claridad la finalidad del tratamiento
- No atención de consultas y reclamos en los tiempos establecidos
- Falta de documentación de políticas, controles y procedimientos
Es de esperar que, a partir de 2019 con los vencimientos de registro RNBD para las entidades públicas, la Superintendencia de Industria y Comercio realice auditorias en el ejercicio de sus funciones de inspección, vigilancia y control como lo establece los artículos 19 al 21 de la ley 1581, dando origen a nuevas sanciones por fallas al cumplimiento de la Ley.
Es importante señalar que para el correcto cumplimiento de la ley 1581 y evitarse sanciones por quejas de los titulares dueños de los datos o revisiones que realice la SIC, se requiere cumplir con el principio de responsabilidad demostrada, el cual establece las siguientes pautas a seguir por la empresa:
Para desarrollar estas actividades, la empresa debe implementar un programa integral de gestión de datos personales y seguridad de la información que incluya controles y medidas técnicas de ciberseguridad, además de estar en la capacidad de demostrar dicha implementación frente a una inspección de la Superintendencia de Industria y comercio.
En este punto, es conveniente hacerse una serie de preguntas como las siguientes:
- ¿Se tienen los procedimientos de manejo y tratamientos de datos personales?
- ¿Se tienen identificados los riesgos y vulnerabilidades que pueden afectar la seguridad de los datos?
- ¿Se cuenta con el plan de gestión de datos personales y manejo de incidentes?
- El comité de protección de datos se reúne periódicamente para evaluar avances, cambios, mejoras o requerimientos?
Para conocer más preguntas e identificar el nivel de cumplimiento de la empresa con la Ley 1581, clic en el botón: