Las empresas tienen plazo hasta el 9 de noviembre de este año para reportar sus bases de datos ante la Superintendencia de Industria y Comercio y registrarlas en el Registro Nacional de Bases de Datos. De lo contrario, pueden ser multadas hasta por 2.000 SMMLV.
¿Qué implicaciones tiene esta medida para las compañías?
La ANDA habló con Rafael Hernando Gamboa y Nicolle Rojas, socios de Data & TIC Consultores, para entender los alcances de esta resolución.
¿Qué implicaciones tiene para las empresas suministrar sus bases de datos?
La principal implicación para las empresas, es el cumplimiento de una normatividad legal que establece la obligatoriedad de reportar, a la Superintendencia de Industria y Comercio, SIC, con qué bases de datos cuentan y cuál es el soporte para tenerlas, mediante su inscripción en el Registro Nacional de Bases de Datos, -RNBD-.
En consecuencia, no atender -a más tardar el 9 de noviembre de 2016- la directriz legal impartida a los Responsables del Tratamiento de Datos Personales -es decir, personas jurídicas de naturaleza privada inscritas en las Cámaras de Comercio y, en una etapa posterior, las personas naturales y entidades públicas- genera consecuencias legales -multas hasta de 2000 salarios mínimos legales, entre otros-
¿Qué tipo de información deben suministrar?
Es información general que no permite identificar o individualizar a un titular, sino que tiene como propósito informar asuntos tales como la cantidad de bases de datos con información personal, el tipo de datos personales contenido en cada base de datos -datos de identificación, ubicación, socioeconómicos, sensibles -, el mecanismo mediante el cual se obtuvo la información por parte del Responsable del Tratamiento de la información, los protocolos con fundamento en los cuales se archiva y se administra la información, así como la participación de terceros en el tratamiento de las bases de datos, entre otros.
¿Cómo se aseguran que los datos que registren no vayan a ser cuestionados por las personas o empresas que figuran en esas bases de datos?
La Constitución establece la presunción de buena fe, por lo que los datos que reporten quienes están obligados a hacerlo se presumen como ciertos.
En caso de que la Superintendencia de Industria y Comercio identifique que ha habido un reporte no acorde con la realidad, la misma Superintendencia podrá establecer sanciones administrativas de multas, e inclusive oficiar a la Fiscalía para que inicie una investigación por falsedad en documento público.
En todo caso, como se indicó anteriormente, dado que el RNBD no tiene como finalidad individualizar los titulares de la información, no resultará evidente en dicho registro público la identificación de personas o empresas que figuren en las bases de datos registradas.
¿Las pymes también tienen que registrar las bases de datos?
Las leyes estatutarias 1266 de 2008 -obligaciones dinerarias- y 1581 de 2012 -todo aquello diferente a las obligaciones dinerarias-, establecen que todas las personas naturales, jurídicas, públicas o privadas que tengan Bases de Datos con datos personales, deberán cumplir con la ley y realizar el registro ante el RNBD.
¿Cuál es la lista de chequeo que debe hacer una empresa antes de registrar su base de datos?
La lista es extensa y minuciosa; básicamente se refiere a aspectos cuantitativos y administrativos de la obtención, administración y disposición de las bases de datos.
Por lo anterior, el RNBD demanda una preparación legal, documental y técnica.
¿Qué sucede si no se registra la base de datos?
En caso de incumplimiento a la normatividad legal que establece la obligatoriedad de reportar, las leyes 1266 de 2008 y 1581 de 2012 contemplan sanciones administrativas y multas de hasta 1300 millones de pesos consecutivas, las cuales pueden sea impuestas a la persona pública o privada, jurídica o natural responsable de tratamiento de base de datos; así como a los representantes legales y/o quien efectúe al interior de la empresa un manejo inapropiado de datos personales.
¿Qué otras implicaciones tiene la ley?
La Superintendencia, además de establecer multas económicas a las empresas y a los representantes legales, tiene la facultad de ordenar acciones tales como la suspensión de actividades o la destrucción de las bases de datos infractoras; sin perjuicio de oficiar a otras entidades de control para que inicien las investigaciones correspondientes.