Juan Mario Posada, gerente de consultoría de EY, planteó en entrevista con Actualícese que son pocas las empresas que a la fecha han cumplido con la tarea de registrar sus bases de datos, lo que se podría traducir en un colapso del sistema de registro durante los meses de octubre y noviembre.
El propósito que ha establecido la Superintendencia de Industria y Comercio –SIC– para el Registro Nacional de Bases de Datos –RNBD– es que haga las veces de un directorio público de las bases de datos sujetas a tratamiento que existen en el país, y que será de libre consulta de los ciudadanos. El RNBD fue reglamentado por el Decreto 1074 del 2015, donde también se definió la información que debe contener el registro de cada base de datos personales que se encuentre en poder de una persona natural o jurídica que tenga el papel de responsable o encargado.
Quienes no las registren se exponen a sufrir las consecuencias del régimen sancionatorio de la Ley 1581 del 2012, la cual establece consecuencias como las siguientes:
Lo que hemos podido percibir de las empresas a las que visitamos o las que asesoramos en el establecimiento del modelo de gestión y protección de los datos personales, es que son pocos los casos donde la tarea ya está hecha. Fundamentalmente porque el RNBD pudiera ser una herramienta de monitoreo y control por parte de la autoridad y allí no termina la responsabilidad frente al tratamiento y protección de las bases de datos.
Muchas empresas se han mostrado receptivas en el sentido del cumplimiento del régimen de protección de datos personales, pero desde que se reglamentó el RNBD la respuesta no ha sido la esperada. Incluso, hemos notado en conversaciones con la SIC la preocupación que tienen por el porcentaje tan bajo de registros que han recibido desde noviembre del año pasado. Esto pudiera estar anticipando un colapso del sistema de registro durante los meses de octubre y noviembre del 2016.La ausencia de cultura de protección de datos personales ha llevado a que muchos responsables del tratamiento no le den la relevancia que este asunto tiene. Adicionalmente, no hay claridad en la identificación de las bases de datos susceptibles de registro, pues si se mira la definición de una base de datos que da el régimen de protección de datos personales, es tan amplia que cualquier conjunto organizado de datos tendría que ser registrado y esto ha sido un punto de discusión en distintos escenarios. De lo anterior se desprende una carga administrativa muy alta que asusta a los responsables y encargados del tratamiento.
Además, es importante aclarar que el RNDB es solo una de las responsabilidades establecidas en el régimen de protección de datos personales. Es necesario que la sociedad se concientice de las medidas técnicas, administrativas y humanas que deben desprenderse del cumplimiento de la ley y que implican una transformación de fondo en la gestión de riesgos, los flujos de información en los procesos de negocio y las medidas de protección y control.
Sanciones por no haber registrado las bases de datos no se han presentado porque aún estamos dentro de los plazos establecidos para ello. Sin embargo, se han presentado sanciones relacionadas con el tratamiento de datos personales por distintos motivos: ausencia de políticas de protección, falta de medidas de seguridad suficientes, incumplimiento de términos para responder quejas, peticiones o reclamos, fallas en los procesos operativos que incluyen la pérdida de la constancia de las autorizaciones, entre otros aspectos relacionados con los procesos establecidos para la recolección, tratamiento, uso y supresión de los datos.
Solamente en el 2015 se acumularon sanciones por cerca de $4.500 millones de pesos, lo cual muestra una tendencia de aumento en el número de quejas y el valor acumulado de las sanciones (135% de aumento en el monto total de las sanciones frente a los datos disponibles del 2014).