De acuerdo con la Circular Externa 003 de marzo 30 de 2020, la Superintendencia de Industria y Comercio extendió hasta el 3 de julio de 2020 el plazo para actualizar la información contenida en el Registro Nacional de base de Datos –RNBD– por la emergencia sanitaria que se declaró en el País por los efectos del COVID-19, la cual se había establecido  en el artículo 2.3 de la Resolución 003 de 2018 que emitió la misma Superintendencia, la cual indica que  las empresas colombianas que reportaron sus bases de datos ante el Registro Nacional de Bases de Datos (RNBD), deben actualizar dicho registro en febrero y marzo como se indica a continuación

  1. Dentro de los primeros diez (10) días hábiles de cada mes, cuando se realicen cambios sustanciales en la información reportada.
  2. Anualmente, entre el 2 de enero y el 31 de marzo.
  3. Dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, por reclamos presentados por los Titulares.
  4. Reporte de incidentes de Seguridad que se debe hacer dentro de los quince (15) días hábiles posteriores al momento en que se detecta el incidente.
  5. Por creación de nuevas bases de datos: se deben reportar las nuevas bases de datos dentro de los dos (2) meses siguientes a su creación.

Actualización de cambios generales y sustanciales:

Es importante tener en cuenta que la actualización del registro nacional de bases de datos RNBD, es con el fin de informar a la SIC, los cambios que han tenido las bases de datos que son objeto de tratamiento por parte de los responsables, además, teniendo en cuenta que las bases están en continuo movimiento y dinámica, lo cual está relacionado con el crecimiento o no de las empresas, estos cambios debe quedar reflejado en la actualización. En el caso de que las bases no tengan cambios en su estructura o tamaño de registros de igual forma se debe reportar al RNBD para cumplir con lo exigido por la ley 1581.

Ahora bien, se supone que las empresas están en el proceso de mejora continua, revisando sus procesos, procedimientos y medidas de seguridad para respaldar y garantizar lo que dicen sus políticas, pero sobre todo para proteger el activo más valioso, los datos personales y la información de sus clientes, afiliados, empleados, proveedores, socios etc., evitando un mal manejo de los mismo por parte de empleados, líderes de área o colaboradores que pueda desencadenar en sanciones por el ente de control y revisión (SIC). Es por esto que muchos de estos cambios son considerados sustanciales y de mucha importancia informarlos a tiempo para demostrar compromiso, gestión y responsabilidad, lo cual significa tiempo, organización y trabajo por parte del oficial de protección de datos y el comité encargado.

Cambios sustanciales:

Los cambios sustanciales están referenciados en la ley de la siguiente forma:

  • Los que se relacionan con cambios en la finalidad de la base de datos objeto del tratamiento.
  • Cambios de Encargado del Tratamiento de datos personales, estos se dan por proveedores nuevos que contrate la empresa, los cuales se vuelven encargados.
  • Cambios a los canales de atención al Titular para atender consultas, quejas o reclamos.
  • Cambios derivados de la clasificación o tipos de datos personales almacenados en cada base de datos.
  • Cambios asociados a las medidas de seguridad de la información implementadas, controles técnicos y procedimentales.
  • Cambios a la Política de Tratamiento y privacidad de la Información.
  • Cambios relacionados por transferencia y transmisión internacional de datos personales.

El cumplimiento de la ley, no es contar con la política o manual únicamente, sino ejecutar todos los puntos de una forma practica, operativa y real en la empresa, lo cual reflejara una cultura de seguridad y confianza para los titulares que entregan sus datos personales y para SIC, una labor bien realizada.

Cuando exista un cambio de responsable del tratamiento de datos personales, el tratamiento de los mismos podrá continuarse, siempre y cuando se comunique a los titulares antes o a más tardar al momento de implementar las nuevas políticas de tratamiento de la identificación (Nombre o razón social, domicilio, dirección, correo electrónico y teléfono) del Responsable. Así mismo, en el evento en que se realice un cambio sustancial referente a la finalidad inicialmente autorizada por el titular, además de comunicarla deberá solicitar una nueva autorización por parte del titular, dentro de los términos señalados en precedencia.

https://www.sic.gov.co/boletin/juridico/habeas-data/cambios-sustanciales-en-pol%C3%ADtica-de-tratamientos-de-datos-personales

Reporte de reclamos:

Los reclamos presentados por los titulares de los datos personales se deben reportar hasta el 21 de febrero de 2020. Después de realizar el reporte de reclamos al RNBD, se generara el radicado respectivo. Una vez realizado el radicado no podrá modificar ni eliminar el reclamo. Si no hay reclamos presentados, se deberá dejar constancia del reporte realizado.

Nota: Es importante tener en cuenta que cada actualización que se realice al registro RNBD, debe contar con un documento que respalde dicha acción, con el fin de documentar el procedimiento y la gestión realizada, de manera que en caso de algún incidente, revisión o auditoria de la SIC quede la trazabilidad y permita tener un soporte del proceso operativo de control que fue realizado y a la vez pueda ser usado para demostrar cumplimiento de la ley y gestión a la guía de responsabilidad demostrada.

Reporte de incidentes:

Si la empresa no está obligada a realizar la actualización del registro RNBD y se presenta algún incidente de seguridad, debe informar igualmente por medio de un canal o correo que ofrece la SIC para el reporte del incidente presentado. Resolución 003 de 2018 de la Superintendencia de Industria y Comercio

Las medidas de seguridad efectivas parten de un análisis de vulnerabilidades y riesgos de la información que usa la empresa, teniendo claro que no podemos confiarnos y subestimar el alcance de los ciberdelincuentes.

Como vemos, con estos reportes y actualización al registro RNBD, las empresas estarán dando cumplimiento a uno de los puntos que exige la ley, que es la comunicación con la superintendencia de industria y comercio SIC y el no hacerlo oportunamente, es quedar en la lista de las empresas que serán objeto de revisión y verificación.

El no cumplimiento de la ley de protección de datos personales puede ser objeto de auditorias por parte de la SIC, la cual verificara el cumplimiento de todos los puntos que exige la norma y la guía de responsabilidad demostrada y en dado caso, si se encuentran irregularidades o mal manejo de datos personales, podrá imponer sanciones económicas a la empresa requerida.

 

Para una información más personalizada déjenos sus datos a continuación.

    Menú