Se vencen los plazos para inscribir base de datos ante Superintendencia de Industria y Comercio (SIC)

El artículo 15 de la Constitución Política de Colombia señala que, todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre y el Estado debe respetarlos y hacerlos respetar. En ese sentido, se creó la Ley Estatutaria 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos generales.

Una orden que no ha sido ajena a los intentos de procrastinación de los colombianos llamados a cumplir dicha ley, tanto así, que se han generado varios decretos con los nuevos plazos y exigencias de los responsables que confunden a más de uno.

Este sería el tercer plazo que ofreció la SIC y que mediante el reciente decreto 0090 de enero 18 de 2018, se aplazó las fechas de vencimiento para que personas jurídicas públicas y privadas, inscribieran sus bases de datos con el fin de amentar la divulgación y socialización de esta obligación legal.

Finalmente, tras la circular externa No. 3 con fecha del 3 de agosto, la SIC modificó las condiciones sobre los responsables de registrar sus bases de datos ante el Registro Nacional de Base de Datos (RNBD) y tras cambiar y eliminar varios numerales del capítulo segundo del Título V de la Circular Única, se determinó que los plazos tendrían las siguientes fechas:

610. a)  A más tardar el 30 de septiembre de 2018: Responsables del tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 610.000 Unidades de Valor Tributario (UVT).

100. b)  A más tardar el 30 de noviembre de 2018: Responsables del tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 y hasta 610.000 (UVT).

1. c)  A más tardar el 31 de enero de 2019: Responsables del tratamiento, personas jurídicas de naturaleza pública.

Una de las razones del SIC de ampliar los plazos para hacer cumplir esta obligación, era que solo el 25 % de las personas jurídicas y el 1 % de las personas naturales habían cumplido con la tarea.  Además, admitiendo que el universo de los obligados, que incluía tanto personas jurídicas como naturales, era demasiado grande.

Sin embargo, además de alertar sobre estos límites de vencimiento, es importante recordar ¿Cómo se hace?

Registrar su base de datos en el RNBD es un trámite que consiste simplemente en reportar de forma virtual lo siguiente:

• Que la información almacenada en la base de datos se encuentre clasificada por categorías y subcategorías.
• Que dicha información se encuentre sujeta a controles de seguridad.
• Establecer que esta información sea recolectada del titular de la información o suministrada por terceros.
• Dar cuenta de si esta información cuenta con autorización para el debido tratamiento o que exista alguna causal de exoneración.
• Que cuando vaya a trasladar la información de una base de datos al extranjero, ésta debe contener también, la información de identificación del responsable de esa base de datos, el país en el que se encuentra ubicado y si esa información se encuentra cobijada por una declaración de conformidad de tratamiento de datos personales.
• Reportar cada uno de los reclamos de los titulares de la información hechos a los responsables de la base de datos.

Para consultar el paso a paso de este trámite, la SIC a través de su portal web www.sic.gov.coofrece tutoriales que son una guía para realizar la debida inscripción de su base de datos.

Las sanciones del artículo 23 de la Ley 1581 de 2012, consisten en:

Multas de carácter personal e institucional hasta de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.

Suspensión de las actividades relacionadas con el Tratamiento de datos personales hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.

Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.

Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.

No implementar esta normativa, tendría como sanción multas de hasta dos mil (2.000) salarios mínimos mensuales legales vigentes, suspensión de actividades relacionadas con el tratamiento de datos personales hasta por seis (6) meses, cierre inmediato e indefinido de la empresa, entre otras.