La Superintendencia de Industria y Comercio por medio de la Circular No. 003 del 01 de agosto de 2018 modificó los numerales 2.1 al 2.4 y eliminó los numerales 2.5 al 2.7 del Capítulo Segundo del Título V de la Circular Única de dicha entidad, sobre la cual, los responsables del tratamiento de datos personales de sociedades y Entidades Sin Ánimo de Lucro (ESALES) con activos superiores a 100.000 UVT ($4.241.200.000 para el año 2023), y personas jurídicas de naturaleza pública, deben registrar en ciertos plazos los datos personales en el Registro Nacional de Bases de Datos (RNBD) y cumplir con las obligaciones que modifica la circular.
Las modificaciones que se incluyeron fueron las siguientes:
- Información que deberá inscribirse en el Registro Nacional de Bases de Datos – RNBD
La circular indica que los responsables del tratamiento de datos deben inscribir, en el Registro Nacional de Base de Datos (RNBD), la siguiente información:
1. Información almacenada en la base de datos: Es la calificación de los datos personales almacenados en cada base de datos, que deben estar agrupadas de acuerdo con la naturaleza del asunto.
2. Medidas de Seguridad de la Información: Hace referencia a la implementación de los controles que debe realizar el responsable del tratamiento de datos, a fin de garantizar la seguridad de las bases de datos que se están registrando.
3. Procedencia de los Datos Personales: Se refiere a los datos que son recolectados por el titular o suministrados por terceros, deben contar con la respectiva autorización para el tratamiento de los mismos, de otra manera existe una causal de exoneración.
4. Transferencia Internacional de Datos Personales: Se refiere a aquella información relacionada con la transferencia internacional de los datos personales que comprende la identificación del destinatario como responsable del tratamiento, el país en el que se encuentra ubicado, y si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la SIC.
5. Transmisión Internacional de Datos Personales: Se refiere a la información relacionada con la trasmisión internacional de datos, la cual, comprende la identificación del destinatario como encargado del tratamiento, en el país en el que se encuentra ubicado, y si se tiene un contrato de transmisión de datos o si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la SIC.
6. Reporte de Novedades: Se deben reportar las novedades como los reclamos presentados por los titulares ante los responsables o encargados del tratamiento de la siguiente manera:
i. Reclamos presentados por titulares: Corresponde a la información de los reclamos, presentados por los titulares ante el encargado del tratamiento, los cuales deben hacerse dentro del semestre calendario de enero a junio y julio diciembre. Dicha información se reportará teniendo en cuenta lo manifestado por los titulares y los tipos de reclamo preestablecidos en el RNBD. Este reporte se debe hacer de forma consolidada.
ii. Incidentes de Seguridad: Se refiere a la vulneración de la seguridad, pérdida, robo o acceso no autorizado de la información de una base de datos administrada por el responsable del tratamiento de datos o por su encargado. Este reporte se debe hacer dentro de los 15 días hábiles al momento en que se detecten y sean puestos en conocimiento dichos incidentes, a la persona encargada del área. La información relacionada con la seguridad, reclamaciones e incidentes presentados no será de consulta pública.
- Actualización de la información contenida en el Registro Nacional de Bases de Datos – RNBD
Aplica para los responsables del tratamiento, que están obligados a registrar sus bases de datos en el RNBD. Debe actualizar la información de la siguiente manera:
1. Dentro de los 10 días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información que se registró.
2. De manera anual, entre el 2 de enero y el 31 de marzo a partir del año 2020.
Además, dentro de los 15 días hábiles de los meses de febrero y agosto de cada año, los responsables del tratamiento que estén obligados a registrar sus bases de datos en el RNBD deben actualizar la información de los reclamos presentados.
- Consulta del Registro Nacional de Bases de Datos – RNBD
La consulta al RNBD estará habilitada en el portal web de la Superintendencia de Industria y Comercio, para que los titulares de la información y terceros puedan acceder a los registros realizados en el RNBD.
Jhonatan Mauricio Peña González
Asesor Jurídico – Gerencia
Russell Bedford RBG