Facultad de Derecho

20 de marzo de 2018

Datos personales, más allá de los nuevos plazos

El Ministerio de Comercio Industria y Turismo no sólo prorrogó el plazo para que los empresarios inscriban sus bases de datos en el Registro Nacional de Bases de Datos (RNBD), sino que además implementó un enfoque que aliviana las cargas de los emprendedores y ratifica que el régimen de protección de datos no está limitado a la inscripción en el RNBD. Este artículo hace énfasis en este último aspecto, compartiendo cinco ideas orientadas a cumplir con el régimen de protección de datos personales, más allá del vencimiento de plazos.

Mediante Decreto 90 de 2018 el Ministerio de Comercio Industria y Turismo (MinCIT) extendió el plazo para que la mayoría de empresas cumpliesen con la obligación de inscribir sus bases de datos en el Registro Nacional de Bases de Datos (RNBD) que es administrado por la Superintendencia de Industria y Comercio (SIC)[1]. Recordemos que el plazo ya había sido extendido en dos oportunidades anteriores y que finalizaba el 31 de enero de 2018. No obstante, sólo el 25% de personas jurídicas obligadas ha cumplido con su obligación de inscribir sus bases de datos en el RNBD[2]. Ante este panorama, el MinCIT no sólo amplió el plazo, sino que cambió el rumbo de su estrategia, reduciendo el universo de sujetos obligados a inscribir sus bases de datos en el RNBD, manteniendo esta carga sólo para algunos destinatarios, según criterios de priorización de gestión del riesgo en la administración de la información personal.

Gracias al Decreto en mención, las pequeñas empresas, microempresas, personas naturales y las entidades sin ánimo de lucro que tengan activos inferiores a 100.000 UVT dejaron de estar obligadas a inscribir sus bases de datos en el RNBD. Los nuevos plazos máximos de inscripción para los responsables del tratamiento que continúan obligados son los siguientes: (i) el 30 de septiembre de 2018 es la fecha máxima para las sociedades y entidades sin ánimo de lucro que tengan activos superiores a 610.000 UVT; (ii) las sociedades y entidades sin ánimo de lucro que no estén en el grupo anterior y cuyos activos superen 100.000 UVT deberán hacer la inscripción antes del 30 de noviembre de 2018; (iii) las personas jurídicas de naturaleza pública tendrán hasta el 31 de enero de 2019[3].

Este nuevo enfoque del MinCIT beneficia el emprendimiento (al liberar a las pequeñas empresas y microempresas de la obligación en mención) y concede un tiempo razonable para que las empresas se pongan al día en sus obligaciones, de tal forma que no sólo se incremente el porcentaje de inscripción en el RNBD, sino además el nivel de cumplimiento al régimen de protección de datos. Ante esta nueva perspectiva de la autoridad, resaltamos que el cumplimiento del régimen de protección de datos no está limitado a la inscripción en el RNBD y compartimos algunas ideas adicionales:

  1. Recuerde que el régimen de protección de datos no se limita al RNBD.

El Decreto aclara que limitar el universo de obligados a efectuar la inscripción en el RNBD no libera a las personas jurídicas excluidas ni a las personas naturales de la obligación de cumplir con la Ley 1581 de 2012[4]. Esto además ratifica que la inscripción en el RNBD no es la única obligación derivada del régimen de protección de datos personales.

  1. Familiarícese con el régimen de protección de datos y aprópiese de su cumplimiento

Reconozca que su empresa efectúa el tratamiento de datos personales en el giro de sus negocios (por ejemplo, información que registra de sus clientes, empleados o proveedores). Conozca el régimen, sus particularidades y la forma en que impacta el manejo de información de su empresa. Tenga en cuenta que han transcurrido más de 5 años desde la expedición de la Ley 1581 de 2012 y que por lo tanto, su empresa ya debe haber adoptado acciones concretas que le demuestren a la autoridad la apropiación y cumplimiento del régimen.

  1. Tenga en cuenta que cada empresa es única

Las políticas que adopte la empresa, sus flujos de información y en general los mecanismos de cumplimiento del régimen de protección de datos deben reflejar las particularidades del negocio respectivo y de sus bases de datos. El tratamiento que da su empresa a los datos de sus empleados y clientes generalmente es diferencial (piénsese por ejemplo en la recolección de información sobre afiliación al sistema de salud o datos de familiares de contacto). Es poco aconsejable replicar modelos de otras empresas sin aterrizarlas a su realidad.

 

  1. Ponga la casa en orden antes de efectuar la inscripción en el RNBD

Los nuevos plazos otorgados por el MinCIT son una oportunidad para que su empresa identifique las bases de datos que tiene y las particularidades del tratamiento. No espere a  última hora. Piense bien si su empresa realizará una inscripción simplemente formal en el RNBD, sin previamente haber validado su nivel de cumplimiento del régimen de protección de datos. Para el efecto, tenga en cuenta que la información que brinda al RNBD refleja si su compañía está alineada o no con la normatividad y será usada por la SIC en caso de una investigación, para verificar si lo dicho en el registro corresponde con la realidad.

 

  1. Liderazgo directivo y capacitaciones

La apropiación del régimen debe permear a toda la organización y aplicarse en cada actividad de la compañía. De nada sirve adoptar políticas y procedimientos que se queden en el papel o en la oficina de la persona encargada del proyecto. El ejercicio debe ser transversal y estar liderado por la dirección de la compañía. Recuerde que el principio de responsabilidad demostrada exige, entre otros, que existan herramientas de implementación, entrenamiento y programas de educación al interior de la compañía. En este sentido, las capacitaciones a toda la compañía no sólo son una obligación sino además un elemento que la SIC evalúa al momento de considerar el monto de las sanciones que llegue a imponer[5].

Siendo claro que el régimen de protección de datos no se limita a la inscripción en el RNBD, es conveniente aprovechar el nuevo enfoque del MinCIT, reflejado en los nuevos plazos y las exclusiones contenidas en el Decreto 90 de 2018. Las empresas que continúan obligadas podrán usar el nuevo plazo para afinar políticas y procedimientos, de tal forma que el registro que efectúen ante la SIC refleje un nivel adecuado de protección de datos. Por su parte, dado que el Ministerio busca aliviar las cargas de las personas excluidas de la obligación de inscripción en el RNBD, éstas podrán enfocar sus esfuerzos en apropiarse y cumplir con el régimen de protección de datos personales (el cual les sigue siendo aplicable).

  • Perfil del autor:

Erick Castellanos es asesor legal de negocios y consultor TIC. Fue asociado senior en Baker McKenzie y Lloreda Camacho, donde lideró los equipos de Telecomunicaciones, Medios y Tecnología (“TMT”), Competencia y Contratos, respectivamente. Prestigiosos directorios legales como Chambers & Partners lo incluyen en el listado que identifica a los abogados más destacados del país en el área de Telecomunicaciones, Medios y Tecnología.

Es profesor de la Maestría en Derecho Internacional de los Negocios, como uno de los docentes a cargo de la catedra Introducción al Análisis Prospectivo del Derecho y las Nuevas Tecnologías de Información y las Comunicaciones. Coautor del contrato modelo de consorcio de la Cámara de Comercio Internacional.

Es abogado de la Universidad Externado de Colombia, donde también obtuvo los títulos de especialista en Derecho Comercial y especialista en Regulación y Gestión de las Telecomunicaciones y Nuevas Tecnologías. LL.M. en International Business Law de la Universidad de Tilburg, Países Bajos. ecastellanos@calaw.co

[1] Decreto 1074 de 2015, artículo 2.2.2.26.3.1. Ley 1581 de 2012, artículo 25.

[2] Decreto 90 de 2019 del MinCIT, por el cual se modifican los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 del Decreto 1074 de 2015

[3] Las bases de datos que se creen después del vencimiento de los referidos plazos deberán ser registradas por las entidades obligadas dentro de los 2 meses siguientes a su creación. Artículo 2.2.2.26.3.1 del Decreto 1074 de 2015.

[4] Ver parte considerativa del Decreto 90 de 2018 del MinCIT.

[5] Decreto 1074 de 2015, artículo 2.2.2.25.6.2.