Registro Nacional de Bases de Datos: para ser efectivos hay que ser selectivos

Pablo Felipe Robledo Superintendente de Industria y Comercio

Uno de los mayores retos de las entidades públicas que ejercen funciones de inspección, vigilancia y control es decidir dónde destinar sus recursos escasos de supervisión para investigar conductas que afecten a un grupo significativo de ciudadanos. Decidir bien dónde poner los ojos es garantizar que las medidas correctivas que se adoptan tengan el valor de corregir una conducta violatoria relevante, pero al mismo tiempo, que puedan lograr el añadido de enviar un mensaje disuasorio al resto de los agentes vigilados.

La Superintendencia de Industria y Comercio (SIC) como autoridad nacional de protección de datos personales, ha detectado que en la vigilancia de las empresas y entidades públicas que administran bases de datos personales es especialmente importante avanzar en el desarrollo de mecanismos que permitan hacer una supervisión inteligente para concentrarse en la detección de conductas de alto impacto. Esta aproximación a la supervisión, permite hacer realidad el postulado de que para ser efectivos hay que se selectivos.

Desde hace varios años, la SIC viene avanzando en un proyecto denominado Sistema Integral de Supervisión Inteligente (SISI) que pretende evaluar los riesgos a los que está expuesta una organización, así como los mecanismos que ha implementado para mitigar esos riesgos, de manera que se pueda determinar dónde enfocar las medidas de supervisión para implementar correctivos. La efectividad de este sistema de supervisión depende, no obstante, de asegurar en la entidad un primer paso fundamental que es la recolección de información relevante sobre las organizaciones y posteriormente realizar los análisis de monitoreo relevantes. Así, dentro de este esquema, cobra especial relevancia la implementación del Registro Nacional de Bases de Datos (RNBD).

Este registro, creado por el artículo 25 de la Ley Estatutaria 1581 del 2012, será el directorio público de las bases de datos personales del país, administradas tanto por entidades públicas como por empresas u organizaciones privadas. En su calidad de gran repositorio de información, en el que, cabe recordarlo, no se duplicará la información contenida en cada base de datos, el RNBD servirá para que los ciudadanos puedan consultar la información que será de obligatorio registro por parte de los responsables del tratamiento. Por su parte, la información mínima que deberán registrar los responsables, y que será consultable por la ciudadanía, se describe en el Decreto 886 del 13 de mayo del 2013, de reciente expedición por parte del Gobierno Nacional.

En un esfuerzo por simplificar las categorías de información que se deben reportar sobre cada base de datos en el registro, de forma tal que este instrumento no se convierta en un trámite burocrático más, el decreto obliga al registro de la siguiente información: (i) datos de identificación, ubicación y contacto del responsable y del encargado (si lo hay); (ii) canales para que los titulares ejerzan sus derechos; (iii) nombre y finalidad de la base de datos; (iv) forma de tratamiento de la información; y (v) política de tratamiento.

El decreto dispone igualmente que las organizaciones podrán inscribir sus bases de datos dentro del año siguiente a la fecha en que la SIC habilite el registro, de forma tal que contarán con un plazo amplio para poder realizar los inventarios de información de la organización y así cumplir adecuadamente con su deber legal de inscripción. En este momento, la SIC se encuentra realizando las pruebas finales del sistema, motivo por el cual se prevé que el registro gratuito estará habilitado en el curso de los próximos dos meses desde la página web de la entidad.

La inscripción masiva de información en el RNBD, que además es obligatoria para cualquier entidad que administre bases de datos que contengan información personal, será el insumo clave para el sistema de supervisión inteligente que desarrolla la SIC. Cuando se cuente con información representativa de organizaciones de distintos tamaños, con diferentes volúmenes de datos y que administren información de diferente naturaleza, se podrán aplicar los siguientes pasos claves en un sistema de supervisión basado en criterios de priorización. Tal y como ha sido concebido el sistema, con posterioridad a la recopilación de la información se procede a (i) monitorear a los distintos sujetos para evaluar su nivel de riesgo y cómo lo mitigan; (ii) priorizar las acciones de supervisión basándose en categorías predefinidas donde se determine la criticidad de cada base de datos; (iii) aplicar las diferentes medidas de supervisión (requerimientos de información, inspecciones, apertura de investigación, etc.), y finalmente (iv) aplicar las decisiones correctivas pertinentes.

Para concluir, conviene resaltar la importancia de la implementación en Colombia de un RNBD sencillo y eficiente, de fácil comprensión para los sujetos vigilados y donde se recopile información relevante tanto para los ciudadanos como para la autoridad. Un registro de estas características, como el que hemos diseñado y nos encontramos próximos a poner en funcionamiento, nos permitirá adelantar nuestra labor como supervisores y garantizarles a los ciudadanos el acceso a información fundamental para la gestión efectiva de su derecho al hábeas data.