Registro nacional de base de datos: redefinen obligados y amplían los plazos

A través del Decreto 0090 de 2018 el Ministerio de Comercio redujo el universo de sujetos obligados a efectuar el RNBD. Además, a los pocos que quedaron obligados a efectuar el registro se les amplió por tercera vez el plazo para hacerlo: ya no vencerá el 31 de enero, sino el 30 de noviembre de 2018.

El pasado 18 de enero de 2018 el Ministerio de Comercio, Industria y Turismo expidió su Decreto 0090 por medio del cual se modificaron los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 de su DUR 1074 de mayo de 2015, reduciendo de esa forma el universo de las personas jurídicas que quedan obligadas a cumplir con el registro nacional de base de datos –RNBD– en la página de la Superintendencia de Industria y Comercio –SIC–, tarea que se había estado efectuando desde noviembre 3 de 2015 y para la cual se habían ampliado los plazos en múltiples ocasiones.

En efecto, la tarea de efectuar el RNBD había sido impuesta en un comienzo a un gran universo de personas jurídicas y naturales que poseyeran cualquier tipo de bases de datos (ya fuese de clientes, empleados, socios, proveedores, etc.). Los obligados a efectuar el registro eran:

1. Todas las personas jurídicas de naturaleza privada inscritas en la cámara de comercio y todas las sociedades de economía mixta. Además, el plazo se les vencía en noviembre 9 de 2016 (ver el decreto 886 de mayo de 2014, recopilado luego entre los artículos 2.2.2.26.1.1 hasta 2.2.2.26.3.4 del DUT 1074 de mayo de 2015, y también la Circular 002 de noviembre 3 de 2015 de la SIC).

2. Todas las personas naturales (sin importar si eran comerciantes o no) inscritas en cámaras de comercio, todas las entidades de naturaleza pública (distintas de las sociedades de economía mixta), y todas las personas jurídicas de naturaleza privada no inscritas en cámara de comercio (ejemplo: sindicatos, partidos políticos, etc.; ver la Circular 001 de noviembre 8 de 2016 expedida por la SIC).

Sin embargo, el 8 de noviembre de 2016, un día antes de vencerse el plazo para que las personas jurídicas del punto 1) cumplieran con la tarea, y conociéndose que solo un 18 % de las casi 400.000 personas jurídicas inscritas en cámaras de comercio habían realizado la tarea, el Ministerio de Comercio decidió expedir el Decreto 1759 fijando los siguientes nuevos plazos:

a) Las personas del punto 1) tendrían plazo hasta el 30 junio de 2017, y

b) Las personas naturales y jurídicas del punto 2) tendrían plazo hasta junio 30 de 2018.

Luego, el día 29 de junio de 2017, un día antes de vencerse el nuevo plazo que se había fijado para las personas jurídicas del punto 1) anterior, y conociéndose que solo el 25 % de ellas había cumplido con la tarea, el Ministerio de Comercio expidió el Decreto 1115, ampliando por segunda vez los plazos; los cuales quedaron fijados de la siguiente forma:

a) Las personas jurídicas del punto 1) tendrían plazo hasta el 31 de enero de 2018, y

b) Las personas naturales y jurídicas del punto 2 tendrían plazo hasta el 31 de enero de 2019.

La modificación que se hizo con el Decreto 0090 de enero 18 de 2018

El 18 de enero de 2018, tras reconocer una vez más que la tarea de cumplir con el RNBD seguía sin ser cumplida por la mayoría de los obligados, pues solo el 25 % de las personas jurídicas y el 1 % de las personas naturales habían cumplido con la tarea, y admitiendo que el universo de los obligados (en el cual se involucraba hasta a las personas naturales) era demasiado grande, el Ministerio de Comercio expidió el Decreto 0090 para fijar las siguientes nuevas reglas en relación con los obligados a efectuar el registro y los nuevos plazos que tendrán para hacerlo:

a) La tarea se exigirá a todas las “personas jurídicas de naturaleza pública” y todas las «sociedades y entidades sin ánimo de lucro con activos totales superiores a 100.000 UVT » (es decir, las que califiquen como «medianas» y «grandes» empresas según los criterios de la Ley 905 de 2004). En todo caso, y aunque el Decreto 0090 de enero 18 de 2018 no lo dijo expresamente, se entiende que la medición de ese nivel de activos antes mencionado tendría que hacerse al cierre del año 2017, pues los plazos que se les concedieron (y que se mencionan más adelante) se vencerán durante el año 2018.

b) Para las «personas jurídicas de naturaleza pública» el plazo vencerá el 31 de enero de 2019.

c) Para las «sociedades y entidades sin ánimo de lucro con activos totales superiores 100.000 UVT» se fijan dos plazos especiales, así: i) Si tienen activos entre 100.000 y 610.000 UVT, el plazo vence en noviembre 30 de 2018; ii) Si los activos superan las 610.000 UVT, el plazo vence el 30 de septiembre de 2018.

El registro que en realidad se pide realizar en la página de la SIC y las sanciones aplicables cuando no se lleve a cabo

Las Circulares 002 de noviembre 3 de 2015 y 001 de noviembre 8 de 2016 expedidas por la SIC aclaran que la tarea consiste simplemente en reportar de forma virtual, en la sección especial del portal de la SIC, la información básica a que se refiere el artículo 5 del Decreto 886 de mayo de 2014 (actualmente recopilado en el artículo 2.2.2.26.2.1 del Decreto 1074 de mayo del 2015), junto con la información adicional que se solicitó en las mencionadas circulares.

Por tanto, en ningún caso se tiene que reportar la información contenida en las múltiples bases de datos. Lo único que se tiene que reportar es la siguiente información (véase los videos tutoriales y el “Manual del usuario” publicados por la propia SIC, los cuales explican paso a paso cómo obtener un usuario y contraseña para poder efectuar esta tarea virtualmente y la forma en que se suministrarán los datos solicitados por las circulares):

1. Datos de identificación, ubicación y contacto del responsable del tratamiento de la base de datos.
2. Datos de identificación, ubicación y contacto del o de los encargados del tratamiento de la base de datos.
3. Cantidad de bases de datos (ya sean manuales o automatizadas) con la información personal que estén administrando.
4. Cantidad de titulares que contiene cada base de datos (sin importar si están activos o inactivos).
5. Tipos de canales que se tienen para atender las peticiones, consultas y reclamos de los titulares que figuran en las bases de datos.
6. Tipos de datos contenidos en cada base de datos.
7. Ubicación física de las bases de datos.
8. Medidas de seguridad que se tienen sobre las bases de datos para evitar usos inadecuados de la información contenida en las mismas.
9. Información sobre si se cuenta con la autorización de los titulares a quienes se les ha recopilado información en las bases de datos.
10.  Procedencia y/o forma de recolección de los datos personales. Es decir, si son recolectados directamente del titular o mediante terceros.
11.  Si se ha hecho transferencia internacional o cesión de los datos, se informarán los datos básicos de los destinatarios de dicha transferencia o cesión.

Además, y de acuerdo con el manual del usuario publicado por la SIC, todos los obligados a inscribirse en el RNBD (es decir, sin importar si figuran o no inscritos en las cámaras de comercio) tendrán que efectuar dicha inscripción utilizando los datos que les figuren en su respectivo registro único tributario –RUT–, administrado por la Dian. Sobre el particular, el manual de ayuda de la SIC indica que la contraseña para llevar a cabo el proceso de inscripción en el RNDB se enviará al correo electrónico que figure reportado en el RUT.

Por último, al consultar el listado de preguntas frecuentes sobre el RNBD publicado por la SIC, la respuesta a la pregunta No.15 confirma que en caso de no cumplirse con el registro la SIC está facultada para imponer las sanciones del artículo 23 de la Ley 1581 de 2012, consistentes en:

• Multas de carácter personal e institucional hasta de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.
• Suspensión de las actividades relacionadas con el Tratamiento de datos personales hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.
• Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.
• Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.

Material relacionado:

• [Análisis] RNBD: nuevos plazos para personas jurídicas y naturales