Tareas para actualizar el RNBD y cumplir con la ley 1581

adminProteccion de datos

Cada año en el mes de marzo se vence el plazo para actualizar el registro nacional de bases de datos y el tiempo para que las empresa en Colombia puedan demostrar responsabilidad, compromiso y cumplimiento de todos los puntos que exige la ley 1581 de protección de datos personales para prevenir sanciones económicas.

Conozca las definiciones en el video adjunto.

Aunque para algunas empresas es una tarea simple por que vienen trabajando de forma constante, en equipo y conocen todas las actividades que se requieren y se deben hacer, para otras, es un proceso complicado, dispendioso el cual no esta claro y a cargo de uno de los colaboradores de la empresa que no tiene el tiempo, perfil y conocimiento para realizarlo. Para muchas empresas, actualizar el registro es un requisito, formalismo o un proceso nuevo que no requiere mucho esfuerzo ya que no se conocen los puntos claves que se deben realizar, pensando que la tarea se cumple solo con cambiar la cantidad de registros que se tienen por cada base de datos reportada.

Dada esta realidad y teniendo como referencia lo manifestado por la Superintendencia de Industria y Comercio -SIC- sobre la falta de cumplimiento de la ley 1581 de protección de datos personales y la preocupación que existe frente al compromiso y responsabilidad de las empresas en Colombia, sobre la correcta implementación de la norma para garantizar la protección y seguridad de los datos, es importante que se tengan en cuenta las siguientes tareas en el proceso de actualización que permita acercarse a un cumplimiento legal mas real y completo.

10 tareas para actualizar el registro RNBD y cumplir con la ley

  1. Ajustar el numero # de registros por cada base de datos reportada haciendo una revisión interna de los datos personales contenidos en medios digitales y físicos, tanto en bases de datos activos como históricos.
  2. Sacar el Inventario de bases con datos personales que existen en la empresa, teniendo en cuenta las nuevas bases de datos que la empresa ha generado, por ejemplo: las bases relacionadas con datos de bioseguridad, videovigilancia o las que salieron por nuevos servicios o cambios en el modelo del negocio.
  3. El arqueo del numero # de autorizaciones por cada base que se reporto para estar seguros que se cuentan con dichas autorizaciones y no correr el riesgo de tratar datos sin la debida constancia o soporte de autorización.
  4. Revisar el Cambio en finalidades de los formatos o mecanismos que se utilizan para pedir la autorización, teniendo en cuenta cambios organizativos o comerciales, es probable que las finalidades estén desactualizadas o no correspondan con la actualidad.
  5. Cambios en tipos de datos recolectados (privados / sensibles), es decir que se debe tener en cuenta que en la relación con los titulares (clientes, proveedores, empleados etc), donde al inicio se solicitaban algunos datos (públicos, semiprivados) ahora se requieren datos privados o sensibles como huellas biométricas para el acceso y control de seguridad, se deberán actualizar las preguntas asociadas en el registro a dichos cambios.
  6. Cambios en canales de atención dado que hay muchas empresas que están en modo teletrabajo, trabajo en casa o coworking y habían reportado la dirección de la oficina como canal de PQR
  7. Los cambios en encargados por contratar nuevos proveedores de servicios que para realizar su actividad deben tener el acceso a datos personales de sus clientes y definirse las reglas claras del tratamiento y responsabilidades.
  8. Cambios en ubicación de bases de datos que antes estaban en un servidor interno o un archivador físico y ahora están en la nube, en un proveedor externo o en el pc de la casa.
  9. Actualizar las preguntas de seguridad, las cuales están representadas en las siguientes categorías y requieren su respectiva documentación: a) Seguridad de la información personal,  b) Sistema de gestión de seguridad de la información, c) Seguridad de la información personal en torno al recurso humano, d) Control de acceso a la información personal, e) Seguridad en los sistemas de información personal, f) Procesamiento de información personal, g) Gestión de incidentes de seguridad de la información personal, h) Auditorias de seguridad de la información personal.
  10. Transferencia o transmisión de datos personales, donde se debe revisar si con los cambios del negocio y transformación digital del negocio las bases están en proveedores ubicados en datacenters de otros países.
  11. Revisar las medidas de seguridad de la información y su documentación (procedimientos, políticas y controles) que son requeridos para garantizar la protección y seguridad de los datos, además de servir como soporte necesarios para demostrar la implementación de un sistema de gestión de protección de datos personales y evidencia del cumplimiento del principio de responsabilidad demostrada que exige la ley.

Cuando actualizar el registro RNBD

De acuerdo con la Resolución 003 de 2018 de la Superintendencia de Industria y Comercio, las empresas Colombianas que reportarón sus bases de datos ante el Registro Nacional de Bases de Datos (RNBD), deben actualizar dicho registro cada año como se indica a continuación:

  1. Dentro de los primeros diez (10) días hábiles de cada mes durante el año, cuando se realicen cambios sustanciales en la información reportada.
  2. Anualmente, entre el 2 de enero y el 31 de marzo.
  3. Dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, por reclamos presentados por los Titulares.
  4. Reporte de incidentes de Seguridad que se debe hacer dentro de los quince (15) días hábiles posteriores al momento en que se detecta el incidente.
  5. Por creación de nuevas bases de datos se deben reportar dentro de los dos (2) meses siguientes a su creación.

Reporte de reclamos:

Los reclamos presentados por los titulares de los datos personales se deben reportar en febrero y agosto de cada año. Para el reporte de los mismo se debe ingresar por la plataforma de la SIC: https://rnbd.sic.gov.co/sisi/rnbd/ e ingresar por la opción de Reporte de Novedades:

y por el apartado: Reclamos Presentados por los Titulares, realizar el reporte:

Después de realizar el reporte de reclamos al RNBD, se generara el radicado respectivo. Si no hay reclamos presentados, se deberá dejar constancia del reporte realizado.

Nota: Es importante tener en cuenta que cada actualización que se realice al registro RNBD, debe contar con un documento que respalde dicha acción, con el fin de documentar el procedimiento y la gestión realizada, de manera que en caso de algún incidente, revisión o auditoria de la SIC quede la trazabilidad y permita tener un soporte del proceso operativo de control que fue realizado y a la vez pueda ser usado para demostrar cumplimiento de la ley y gestión a la guía de responsabilidad demostrada.

Reporte de incidentes:

Si la empresa no esta obligada a realizar la actualización del registro RNBD y se presenta algún incidente de seguridad, debe informar igualmente por medio de un canal o correo que ofrece la SIC para el reporte del incidente presentado.

Tenga en cuenta

Si la empresa no esta obligada a realizar el registro RNBD, debe cumplir con la ley 1581, además si se presenta algún incidente de seguridad con los datos o información, se debe informar por medio de un canal o correo que ofrece la SIC para el reporte de incidentes.

Resolución 003 de 2018 de la Superintendencia de Industria y Comercio

El no cumplimiento de la ley de protección de datos personales puede ser objeto de auditorias por parte de la SIC, la cual verificara el cumplimiento de todos los puntos que exige la norma y el principio de responsabilidad demostrada y en dado caso, si se encuentran irregularidades o mal manejo, podrá imponer sanciones económicas a la empresa.

Veamos un resumen de la conferencia dictada por el Dr Nelson Remolina Angarita superintendente delegado para la protección de datos personales, dando consejos y recomendaciones para cumplir de la ley 1581 de forma practica y Responsable ante la SIC:

Con nuestra solución integrada PRODATI que incluye software de gestión en la nube, diagnostico de seguridad, capacitación y acompañamiento especializado, facilitamos el trabajo, reducimos el tiempo, los costos y los riesgos de un mal procedimiento que termine en sanción.

Conozca como podemos ayudarle, clic Aquí 

o Realice un test sin costo contestando el siguiente cuestionario