Nuevas instrucciones de la SIC para la inscripción de bases de datos
06 de Agosto de 2018
En julio pasado, la Superintendencia de Industria y Comercio (SIC) hizo un llamado a las personas jurídicas que aún no habían registrado sus bases de datos ante la entidad para que lo hicieran y de este modo dieran cumplimiento a lo establecido en el Decreto 090 del 2018. (Lea: Limitan obligados a registrar bases de datos y definen nuevas fechas)
Igualmente, la SIC acaba de expedir una circular donde aclara que, de acuerdo con lo expuesto en el mencionado decreto, las personas jurídicas y naturales que se exceptúan de efectuar el registro no quedan relevadas del cumplimiento de los demás deberes establecidos para los responsables del tratamiento de datos personales. (Lea: ¿Cuáles son las obligaciones de los responsables del tratamiento de datos personales?)
En consecuencia, si bien no están obligadas a cumplir dicha disposición, sí siguen sujetas al cumplimiento de las medidas contenidas en la Ley 1581 del 2012.
Así las cosas, modificó las instrucciones impartidas de acuerdo con lo establecido en la mencionada norma para que los sujetos obligados realicen la inscripción de sus bases de datos, también definió reglas en lo referente al proceso y sobre la información adicional que deberá inscribirse. (Lea: ¿Datos personales que se encuentran en internet son públicos?)
Entonces, quienes no se encuentren obligados a registrar sus bases de datos en el RNBD y los encargados del tratamiento deberán hacer el reporte de los incidentes de seguridad que afecten la información contenida en estas, mediante el aplicativo dispuesto para tal fin en el sitio web de la Superindustria, en el micrositio de la delegatura para la protección de datos personales o mediante cualquiera de los canales habilitados por la entidad para recibir comunicaciones dentro de los 15 días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.
Por otra parte, aclara que la información relacionada con las medidas de seguridad, los reclamos presentados por los titulares y los incidentes de seguridad reportados en el registro no estará disponible para consulta pública.
Fechas definidas para el registro
Se reiteran los plazos establecidos para realizar el registro:
I. El primero de ellos es para las sociedades y entidades sin ánimo de lucro que tengan activos por más de 610.000 UVT, que deberán registrar sus bases de datos a más tardar el 30 de septiembre del 2018.
II. El segundo plazo es para las sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 y hasta 610.000 UVT, quienes tendrán plazo de realizar el registro hasta el 30 de noviembre del 2018.
III. El tercer plazo corresponde a las entidades públicas, quienes tendrán plazo para registrar sus bases de datos hasta el 31 de enero del 2019.
De igual manera, señala que quienes están obligados a registrar sus bases deben actualizar la información registrada, así:
I. Dentro de los primeros 10 días hábiles de cada mes a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información registrada.
II. Anualmente, entre el 2 de enero y el 31 de marzo, a partir del 2020.
Adicionalmente, dentro de los 15 primeros días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción, deberán actualizar la información de los reclamos presentados por los titulares de la información.
Incumplimiento de las normas
La entidad también ha informado que, en ejercicio de sus funciones de supervisión, ha adelantado investigaciones para determinar la responsabilidad por el incumplimiento de las normas de protección de datos personales arrojando 36 sanciones por valor superior a $ 2.600 millones entre enero y mayo de este año.
Superintendencia de Industria y Comercio, Circular Externa 003, Ago. 01/18.
Opina, Comenta