Boletines Ha sido salvado
Soluciones
Boletines
Abril 2015
Boletín No. 1 Registro Nacional de Bases de Datos: Preparándonos para su cumplimiento
Con ocasión a la expedición del régimen legal de protección de datos personales en Colombia, consagrado en la ley 1581 de 2012 y sus demás decretos reglamentarios y complementarios, ha surgido una serie de importantes obligaciones para todas aquellas personas naturales o jurídicas, públicas o privadas que realizan tratamiento de información, es decir aquellos que en el desarrollo de sus operaciones recolecten, usen, almacenen, compartan y/o eliminen información de naturaleza personal.
Entre el conjunto de obligaciones que trae consigo este régimen legal, destacamos la obligación de realizar el Registro Nacional de Bases de Datos personales, cuyo funcionamiento a cargo de la Superintendencia de Industria y Comercio se encuentra próximo a ser habilitado. Para dar cumplimiento a esta importante obligación es necesario que las empresas adopten una serie de medidas jurídicas, técnicas, administrativas y organizacionales que garanticen un adecuado nivel de cumplimiento así como la obtención de los insumos necesarios para llevar a cabo el mencionado registro de bases de datos de forma completa y oportuna.
Para conocer un poco más sobre el alcance y las implicaciones del Registro Nacional de Bases de Datos, así como de las demás obligaciones asociadas a su cumplimiento, lo invitamos a descargar el documento a continuación, el cual estaremos compartiendo internamente con las actualizaciones y novedades sobre la materia.
Boletín No. 2 ¿Hizo lo adecuado para el cumplimiento de la ley de protección de datos?
Lo invitamos a conocer nuestro análisis, en el cual destacamos los aspectos más significativos que deberá tener en cuenta para la implementación del principio de responsabilidad demostrada en el desarrollo de sus funciones, así como en el despliegue de las actividades cotidianas de su organización.
¿Qué es la diligencia demostrada?
La “diligencia demostrada” fue definida como el principio que orientaría a las organizaciones para la implementación de cada una de las obligaciones del régimen de protección de datos personales, no obstante, hasta la fecha no se contaba con una metodología que especificara su contenido, alcance o la forma de acreditar su cumplimiento. Por esta razón, la Superintendencia de Industria y Comercio, ha expedido las“guías para la implementación del principio de responsabilidad demostrada”, con las que se esclarece el real alcance de las medidas y gestiones que las organizaciones deberán adoptar con miras a lograr un adecuado cumplimiento de esta importante normatividad, cuyo enfoque sistemático e integral, invita a las organizaciones, directivos y a cualquier funcionario involucrado en el tratamiento de información personal, a analizar y evaluar lo hecho hasta ahora en protección de datos, así como a definir estrategias y metodologías en procura de lograr un adecuado nivel de cumplimiento.
Boletín No. 3 Habilitación del Registro Nacional de Bases de Datos
La información que su organización debe conocer para realizar la inscripción de las bases de datos
Mediante Circular Externa No. 2 del 3 de Noviembre de 2015, la Superintendencia de Industria y Comercio (en adelante, la SIC) impartió las instrucciones que deben acoger todos los responsables del tratamiento de datos personales para la inscripción de los repositorios de información en el Registro Nacional de Bases de Datos (en adelante, el RNBD y/o el Registro). En línea con lo dispuesto por el Ley 1581 de 2012 y el Decreto 886 de 2014, subrogado por el Decreto Único 1074 de 2015.
De acuerdo con la citada disposición normativa, los responsables del tratamiento que sean personas jurídicas de naturaleza privada inscritas en las Cámaras de Comercio y sociedades de economía mixta, deberán realizar la inscripción de las bases de datos en cualquier momento dentro del año siguiente al nueve (9) de noviembre del año en curso. Fecha en la que la SIC habilitó el RNBD.
Adicional a operar como un directorio de las bases de datos sujetas a la Ley 1581 de 2012 y normas reglamentarias, el RNBD se proyecta como una herramienta de control y vigilancia que le permitirá a la SIC el monitoreo y la priorización de la inspección de los obligados. Actividades que conforman la metodología de vigilancia que recibe el nombre de Sistema Integral de Supervisión Inteligente basado en riesgos.
Esquema de vigilancia con el cual se espera que la SIC, como Autoridad de Protección de Datos, realice una supervisión eficiente y eficaz de los responsables del tratamiento de información personal. Razón por la cual, la SIC ha venido trabajando en la construcción de una matriz de riesgos asociada a los elementos que fundamentan la gestión de datos personales, con el objetivo de realizar una labor focalizada a mitigar los riesgos de mayor impacto y frecuencia identificados durante la etapa de monitoreo.
En línea con lo expuesto, el RNBD es un componente de las obligaciones del régimen de protección de datos personales a los que los responsables del tratamiento de información personal deberán poner especial cuidado. En principio porque la información que se consigne en el Registro podrá ser sujeta a verificación de la SIC y segundo, en razón a que podrá ser utilizada como insumo por esta Superintendencia para alocar los recursos de vigilancia y supervisión.
Inscripción de las bases de datos en el Registro Nacional de Bases de Datos
Con la expedición de la mencionada Circular, la SIC publicó el Manual de Usuario del Registro Nacional de Bases de Datos – RNBD, en el que se describe de forma detallada los pasos a seguir para la inscripción de las bases de datos por los responsables del tratamiento.
Para efectos de la inscripción es importante destacar la necesidad que las organizaciones hayan realizado el inventario de las bases de datos con información personal automatizadas y físicas, independientemente si son gestionadas directamente o a través de un tercero encargado del tratamiento de la información. Lo anterior por cuanto el RNBD le solicitará al responsable señalar de manera inmediata la cantidad de las bases de datos a ingresar.
Por tanto, cada base de datos deberá inscribirse de manera independiente, indicando la información que a continuación se relaciona:
· Cantidad de bases de datos con información personal.
· Cantidad de titulares por cada base de datos.
· Información detallada de los canales para la atención de consultas y reclamos.
· Tipos de datos personales de acuerdo a las categorías y subcategorías definidas por la SIC.
· Ubicación física de las bases de datos.
· Cuando el tratamiento se realice a través de encargado, información detallada del mismo.
· Medidas de seguridad y/o controles implementados en las bases de datos.
· Información respecto si la base de datos cuenta con la autorización de los titulares de los datos.
· Información del destinatario en los casos de transferencia o transmisión internacional de bases de datos.
· Información básica del cesionario en caso que se hubieran cedido una o varias bases de datos.
La plataforma del RNBD no permite disminuir y/o eliminar el número de bases de datos inscritas. Sin embargo si se podrá modificar y actualizar la información asociada a cada base de datos registrada.
En línea con lo expuesto, el RNBD está llamado a contener toda la información asociada a las bases de datos con información personal que se gestionan en el territorio nacional. Al tiempo que se instituye como una herramienta de supervisión del cumplimiento de la Ley 1581 de 2012 y decretos complementarios por los responsables del tratamiento.
Nuestros servicios
Entendiendo la complejidad del proceso de identificación de los repositorios de información y la construcción de un inventario con las exigencias contenidas en las disposiciones normativas sobre la materia, hemos diseñado una propuesta metodológica para la identificación y documentación de las bases de datos con información personal al interior de las organizaciones que dé estricto cumplimiento a los requerimientos legales que pone a su disposición. Nuestro equipo profesional cuenta con la experiencia y capacidad técnica para apoyarlo integral y eficazmente en la elaboración del inventario de las bases de datos con información personal, con el ánimo de hacer de esta obligación una experiencia sin traumatismos para la organización.