Empresas

El registro de bases de datos, una obligación ineludible

Aunque el término para que las empresas realicen el registro de sus bases de datos comenzó el 9 de noviembre del año pasado, solo el 5,7% ha cumplido esta obligación.

El próximo 8 de noviembre vence el plazo para que las personas jurídicas de naturaleza privada inscritas en las cámaras de comercio y las sociedades de economía mixta realicen la inscripción de sus bases de datos en el Registro Nacional de Bases de Datos (RNBD), es decir, el directorio público de las bases que contienen información personal sujetas a tratamiento que operan en el país.

De acuerdo con la Superintendencia de Industria y Comercio, SIC, en caso de no realizar el trámite, la empresa podrá ser sancionada con multas de carácter personal e institucional hasta por el equivalente a 2.000 salarios mínimos mensuales legales vigentes, aproximadamente 1.300 millones de pesos. Otras sanciones son la suspensión, el cierre temporal y el cierre inmediato y definitivo de las actividades relacionadas con el tratamiento de datos, entre ellos los datos sensibles.

Esta obligación, de acuerdo con expertos de la firma Giraldo Herrera Asociados, se da porque el hábeas data es un derecho fundamental consagrado en la Constitución Política de Colombia; en consecuencia, “en el espectro jurídico nacional aparecen la Ley 1581 de 2012, mejor conocida como Ley de Hábeas Data para Tratamiento de Información Personal, y sus normas reglamentarias, que desarrollan dicho mandato constitucional. Además, se creó el Registro Nacional de Bases De Datos que administra actualmente la Superintendencia de Industria y Comercio”.

Precisamente, la SIC argumenta que la medida beneficia a los titulares de la información, quienes pueden consultar el RNBD para establecer, por ejemplo, los canales de atención para ejercer sus derechos, así como los responsables del tratamiento, quienes deben cumplir con dicho registro, so pena de incurrir en las sanciones mecionadas.

¿Qué bases se registran?

Las bases de datos que se deben registrar son las que contienen información personal utilizada para llevar el registro y la administración de los mismos, bien sea en un medio físico (un archivo) o en un medio electrónico (archivos en cualquier formato digital, como hojas electrónicas, tratamiento de texto con el uso o no de motores de bases de datos, etc.), independientemente de la cantidad de datos personales que contenga. Es decir, la información que tienen las empresas acerca de sus empleados, clientes y proveedores.

Vale la pena aclarar que el registro y la administración de datos personales implica desde almacenarlos, hasta consultarlos, actualizarlos, compartirlos con terceros y/o eliminarlos, para los fines que decida la empresa.

Estas bases pueden contener datos de identificación (nombre, apellido, número de identificación, estado civil, sexo, etc.); de ubicación (dirección, teléfono, correo electrónico, etc.); socioeconómicos (estrato, propiedad de la vivienda, datos financieros y crediticios) y sensibles (de salud; convicciones religiosas, filosóficas y/o políticas, orientación sexual, etc.) (ver recuadro).

El procedimiento

De acuerdo con Heidy Balanta, abogada especialista en Derecho Informático y Nuevas Tecnologías, esta obligación la deben cumplir todas las empresas colombianas, sin importar su tamaño, capital o sector económico al que pertenezcan.

La ley es clara en el tema: el régimen general de protección de datos personales es aplicable a todas las empresas que realicen el tratamiento de esa clase de datos, es decir, que recolecten, almacenen, usen o circulen datos personales. La ley no establece ninguna excepción que excluya su aplicación por el tamaño de la empresa, el número de empleados o la cantidad o tipo de datos personales que administre.

De acuerdo con la SIC, antes de hacer el registro es preciso realizar un inventario de las bases de datos con información personal que reposen o no en las instalaciones de la empresa, bien sea en medio físico (papel) o electrónico (listas o archivos en cualquier formato, bases de datos relacionales, etc.).

Con eso claro, se debe definir un responsable de las bases de datos de la empresa, quien deberá responder durante la inscripción por las medidas de manejo de los datos y tener claros los canales para atender peticiones, consultas y reclamos de los titulares de la información; el tipo de datos existentes y su ubicación, así como contar con los datos de contacto de los encargados del tratamiento de esos registros y un protocolo de seguridad aplicado.

La inscripción se realiza a través de la página web de la SIC (www.sic.gov.co) y, según aclara la entidad, ninguna base de datos se cargará en el RNBD, solamente se suministrará la información que la identifique.

UNA MEDIDA acertada

Para Mario Andrade Perilla, socio Tax & Legal, el nuevo régimen de protección de datos personales implica un importante cambio en el modelo de tratamiento de la información que realizaban los responsables y encargados de administrarla para el normal desarrollo de sus operaciones y actividades.

Este cambio de enfoque permitió una significativa gestión de entendimiento, autorregulación y organización interna a nivel jurídico, técnico y administrativo, lo cual no solo redunda en un adecuado nivel de cumplimiento de la ley frente a los titulares de la información, sino que además implica una inmejorable oportunidad para estructurar o consolidar un adecuado gobierno de la información, aspecto que, hoy por hoy, ha demostrado ser una de las principales ventajas competitivas para cualquier iniciativa empresarial.

Tipos de datos personales

Datos de identificación. Nombre, apellido, tipo de identificación, número de identificación, fecha y lugar de expedición, nombre, estado civil, sexo, firma, nacionalidad, datos de familia, firma electrónica, otros documentos de identificación, lugar y fecha de nacimiento o muerte, edad, huella, ADN, iris, geometría facial o corporal, fotografías, videos, fórmula dactiloscópica, voz, etc.

Datos de ubicación. Por ejemplo, los relacionados con la actividad comercial o privada de las personas, como dirección, teléfono, correo electrónico, etc.

Datos de contenido socioeconómico. Estrato; propiedad de la vivienda; datos financieros, crediticios y/o de carácter económico de las personas; datos patrimoniales como bienes muebles e inmuebles, ingresos, egresos, inversiones; historia laboral, experiencia laboral, cargo, fechas de ingreso y retiro, anotaciones, llamados de atención, nivel educativo, capacitación y/o historial académico de la persona, etc.

Datos sensibles. Son los relacionados con la salud de la persona, en cuanto a órdenes y relación de pruebas complementarias como laboratorio, imágenes diagnósticas, endoscópicas, patológicas, estudios, etc.; diagnósticos médicos, generales o especializados, psicológicos o psiquiátricos; medicamentos y/o tratamientos médicos o terapéuticos de cualquier tipo; los relacionados con la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, religiosas o políticas; datos relacionados con las convicciones religiosas, filosóficas y/o políticas; los datos de preferencia, identidad y orientación sexual de la persona; origen étnico-racial; personas de la tercera edad o menores de 18 años en condición de pobreza; datos sobre personas en situación de discapacidad; personas con limitaciones sicomotoras, auditivas y visuales en condiciones de pobreza; personas víctimas de la violencia; personas en situación de desplazamiento forzado por violencia; madres gestantes o lactantes o cabeza de familia en situación de vulnerabilidad; menores en condición de abandono o protección, etc.

Cabe destacar que el responsable del tratamiento de datos personales es la persona natural o jurídica, pública o privada, que, por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos. Se considera tratamiento cualquier operación o conjunto de operaciones sobre los datos personales, como la recolección, almacenamiento, uso, circulación o supresión, entre otros.

(Fuente: Superintendencia de Industria y Comercio)