Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.

Cultura de protección de datos personales aún es insuficiente


Cultura de protección de datos personales aún es insuficiente
Actualizado: 8 agosto, 2016 (hace 8 años)

Aquí hablaremos sobre...

  • ¿Cuál es el objetivo de registrar, por parte de las empresas, las bases de datos en el Registro Nacional de Bases de Datos?
  • ¿A qué se exponen las empresas que pasado el plazo del 8 de noviembre no registren las bases de datos con las que cuentan?
  • A la fecha, agosto del 2016, ¿cómo ha sido la respuesta de las empresas frente a esta ley?, ¿se ha realizado el registro de bases de datos?
  • ¿Cuáles son los mayores problemas que presentan las empresas al realizar el registro de sus bases de datos?
  • Finalmente, ¿existen casos de empresas sancionadas por esta temática?

Juan Mario Posada, gerente de consultoría de EY, planteó en entrevista con Actualícese que son pocas las empresas que a la fecha han cumplido con la tarea de registrar sus bases de datos, lo que se podría traducir en un colapso del sistema de registro durante los meses de octubre y noviembre.

¿Cuál es el objetivo de registrar, por parte de las empresas, las bases de datos en el Registro Nacional de Bases de Datos?

El propósito que ha establecido la Superintendencia de Industria y Comercio –SIC– para el Registro Nacional de Bases de Datos –RNBD– es que haga las veces de un directorio público de las bases de datos sujetas a tratamiento que existen en el país, y que será de libre consulta de los ciudadanos. El RNBD fue reglamentado por el Decreto 1074 del 2015, donde también se definió la información que debe contener el registro de cada base de datos personales que se encuentre en poder de una persona natural o jurídica que tenga el papel de responsable o encargado.

¿A qué se exponen las empresas que pasado el plazo del 8 de noviembre no registren las bases de datos con las que cuentan?

Quienes no las registren se exponen a sufrir las consecuencias del régimen sancionatorio de la Ley 1581 del 2012, la cual establece consecuencias como las siguientes:

  • Suspensión de las actividades relacionadas con el tratamiento hasta por un término de 6 meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.
  • Multas sucesivas e incrementales de carácter personal e institucional hasta por un monto equivalente a 2.000 smmlv al momento de imponer la sanción (cifra cercana a los $1.380 millones).
  • Cierre temporal de las operaciones relacionadas con el tratamiento, una vez transcurrido el término de suspensión sin que se hayan adoptado los correctivos ordenados por la SIC.
  • Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

A la fecha, agosto del 2016, ¿cómo ha sido la respuesta de las empresas frente a esta ley?, ¿se ha realizado el registro de bases de datos?

“Muchas empresas se han mostrado receptivas en el sentido del cumplimiento del régimen de protección de datos personales, pero desde que se reglamentó el RNBD la respuesta no ha sido la esperada”

Lo que hemos podido percibir de las empresas a las que visitamos o las que asesoramos en el establecimiento del modelo de gestión y protección de los datos personales, es que son pocos los casos donde la tarea ya está hecha. Fundamentalmente porque el RNBD pudiera ser una herramienta de monitoreo y control por parte de la autoridad y allí no termina la responsabilidad frente al tratamiento y protección de las bases de datos.

Muchas empresas se han mostrado receptivas en el sentido del cumplimiento del régimen de protección de datos personales, pero desde que se reglamentó el RNBD la respuesta no ha sido la esperada. Incluso, hemos notado en conversaciones con la SIC la preocupación que tienen por el porcentaje tan bajo de registros que han recibido desde noviembre del año pasado. Esto pudiera estar anticipando un colapso del sistema de registro durante los meses de octubre y noviembre del 2016.

¿Cuáles son los mayores problemas que presentan las empresas al realizar el registro de sus bases de datos?

La ausencia de cultura de protección de datos personales ha llevado a que muchos responsables del tratamiento no le den la relevancia que este asunto tiene. Adicionalmente, no hay claridad en la identificación de las bases de datos susceptibles de registro, pues si se mira la definición de una base de datos que da el régimen de protección de datos personales, es tan amplia que cualquier conjunto organizado de datos tendría que ser registrado y esto ha sido un punto de discusión en distintos escenarios. De lo anterior se desprende una carga administrativa muy alta que asusta a los responsables y encargados del tratamiento.

Además, es importante aclarar que el RNDB es solo una de las responsabilidades establecidas en el régimen de protección de datos personales. Es necesario que la sociedad se concientice de las medidas técnicas, administrativas y humanas que deben desprenderse del cumplimiento de la ley y que implican una transformación de fondo en la gestión de riesgos, los flujos de información en los procesos de negocio y las medidas de protección y control.

Finalmente, ¿existen casos de empresas sancionadas por esta temática?

Sanciones por no haber registrado las bases de datos no se han presentado porque aún estamos dentro de los plazos establecidos para ello. Sin embargo, se han presentado sanciones relacionadas con el tratamiento de datos personales por distintos motivos: ausencia de políticas de protección, falta de medidas de seguridad suficientes, incumplimiento de términos para responder quejas, peticiones o reclamos, fallas en los procesos operativos que incluyen la pérdida de la constancia de las autorizaciones, entre otros aspectos relacionados con los procesos establecidos para la recolección, tratamiento, uso y supresión de los datos.

Solamente en el 2015 se acumularon sanciones por cerca de $4.500 millones de pesos, lo cual muestra una tendencia de aumento en el número de quejas y el valor acumulado de las sanciones (135% de aumento en el monto total de las sanciones frente a los datos disponibles del 2014).

Material relacionado

Descubre más recursos registrándote o logueándote. Iniciar sesión Registro gratuito
,