Desde la expedición de la Ley de Hábeas Data o de protección de datos personales número 1581 de 2012, se creó la obligación, en cabeza de toda persona (natural, jurídica, pública o privada), de registrar las bases de datos bajo su tratamiento. 

El objetivo de dicha ley es proteger los datos personales de todos los ciudadanos del manejo que puedan darle los encargados y responsables del tratamiento de esa información, en desarrollo del derecho constitucional de conocer, actualizar y rectificarla cuando terceros la estén consultando, almacenando, usando, compartiendo, modificando o eliminando. 

El tratamiento de datos se refiere a “cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión” y quienes están autorizados para ello son el ‘encargado’ y el ‘responsable’ del tratamiento, el primero es el que realiza cualquiera de las operaciones descritas sobre los datos y, el segundo, es quien tiene potestad para decidir sobre los mismos. 

Para ello y por disposición de la misma ley, la Superintendencia de Industria y Comercio creó el Registro Nacional de Bases de Datos (RNBD), donde la información que se debe consignar no es la que compone la base de datos, sino la forma en que se trata y quién la trata. 

La finalidad del RNBD, no es solamente crear conciencia sobre el manejo adecuado de la información, sino que sirve además tanto para el titular de la información para garantizar sus derechos a través de la consulta del tratamiento que se está dando a su información y la  interposición de las acciones necesarias, en caso de verlos violados o en riesgo, como para los responsables y encargados del tratamiento para verificar el cumplimiento de su obligación legal y, para la Superintendencia, pues es su principal herramienta para vigilar y garantizar el correcto manejo y administración de los datos personales de los ciudadanos. 

La Superintendencia de Industria y Comercio ha señalado que el plazo máximo para hacer el registro de las bases que actualmente estén siendo tratadas por parte de personas jurídicas registradas en Cámara de Comercio es el 30 de junio de 2017 y, a partir de esa fecha, las nuevas bases de datos deberán registrarse dentro de los dos meses siguientes a su creación. 

Las personas naturales, las de derecho público y las demás no inscritas en Cámara de Comercio tienen plazo hasta el 30 de junio de 2018. Según cifras de la Superintendencia de Industria y Comercio de las 400.000 sociedades registradas en las 57 Cámaras de Comercio del país, solamente el 18% ha cumplido con esta obligación, a pesar de haberse ampliado ya el primer plazo fijado para este trámite. 

Para identificar si usted tiene la obligación de hacer este registro basta con corroborar que, en cualquier medio, físico o digital, usted maneja un conjunto organizado de datos personales de terceros que utiliza para llevar un registro y administración de los mismos. Normalmente, una empresa pequeña a mediana maneja mínimo 3 tipos de bases de datos: de clientes, de proveedores y de trabajadores, sin embargo, dependiendo del tipo de actividad que desarrolle la empresa y del tamaño de la misma, se podrán encontrar muchas más. 

Este trámite debe adelantarse por parte de todas las empresas, sin importar su tamaño, el número de socios, el número de trabajadores, el número de sedes o la cantidad de datos personales que maneje. 

Este registro es obligatorio y el incumplimiento de esta obligación puede generarle sanciones tanto económicas, hasta 2.000 salarios mínimos legales mensuales vigentes (más de 1.400 millones de pesos), como de suspensión de actividades, cierre temporal y cierre definitivo de operaciones que tengan que ver con el manejo de los datos contenidos en las bases de datos. 

Estas sanciones son impuestas por la Superintendencia de Industria y Comercio, entidad que fue designada por la Ley de Hábeas Data, no solamente para crear y administrar el RNBD, sino para asegurar el cumplimiento de las obligaciones consagradas en dicha ley, investigar a petición o de oficio los casos de presuntas violaciones a los derechos constitucionales que velan por la protección de datos personales, tomar medidas preventivas en caso de evidenciar riesgo de vulneración de esos derechos, entre otras. 

Recuerde sin embargo que, este registro no implica la autorización para publicar la información contenida en las bases de datos, por el contrario, se mantiene el principio de confidencialidad que consagró la ley, que implica su reserva, no divulgación en internet, en medios de comunicación masiva u otros. 

Por supuesto que no todos los datos personales están sujetos a esta regulación, la ley trae unas excepciones: cuando las bases de datos se mantengan en un ámbito personal o doméstico exclusivamente, las que tengan por finalidad la defensa y seguridad nacional, las que tengan información de inteligencia y contrainteligencia, las de información periodística o contenidos editoriales, las que tengan fines estadísticos o de investigación y las del censo nacional. 

Existen también varios tipos de datos personales según la clasificación de la ley, dato sensible, dato privado, dato semiprivado, dato público y otros cuyo uso está totalmente prohibido. 

Por ello es importante identificarlos, clasificarlos, registrarlos y asegurarse de darles el trato que, de conformidad con su naturaleza, ordene la ley y garantice la no violación de los derechos constitucionales de los titulares de los datos. 

Los responsables del tratamiento de los datos deben guardar reserva sobre los mismos y garantizar su utilización solamente para los fines que ha autorizado su titular, autorización que, naturalmente, debe ser previa y debe constar en cualquier medio que permita ser consultada con posterioridad. Pero además deben garantizar su guarda bajo condiciones de seguridad, de tal forma que eviten su adulteración, pérdida, consulta, uso o acceso no autorizados o fraudulentos. 

Ahora bien, además del registro de las bases de datos, la ley de Hábeas Data también impuso otras obligaciones que se deben cumplir, como lo son diseñar una política de tratamiento de datos, generación y divulgación de avisos de privacidad de páginas web y correos electrónicos, diseño de autorizaciones de manejo de datos personales, entre otros. 

Para asegurarse del cumplimiento de cada una de las obligaciones legales, no dude en asesorarse de un profesional del derecho.

 

Compartir