Bogotá, D. C. 1 de agosto de 2018
Para: Responsables del tratamiento de datos personales: Sociedades y entidades sin ánimo de lucro con activos totales superiores a 100.000 UVT y personas jurídicas de naturaleza pública.
Asunto: Modificar los numerales 2.1. al 2.4. y eliminar los numerales 2.5. al 2.7. del Capítulo Segundo del Título V de la Circular Única de la Superintendencia de Industria y Comercio.
1.- Objeto
Modificar los numerales 2.1 al 2.4 y eliminar los numerales 2.5 al 2.7 del Capítulo Segundo del Título V de la Circular Única de la Superintendencia de Industria y Comercio, relacionado con el Registro Nacional de Bases de Datos -RNBD, teniendo en cuenta lo señalado por el Decreto 090 de 2018 que modificó los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio, Industria y Turismo.
2.- Fundamento Legal
La Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales establece en su artículo 19 que “La Superintendencia de Industria y Comercio, a través de una Delegatura para la protección de Datos Personales, ejercerá la vigilancia para garantizar que en el tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley” e incluye dentro del listado de funciones atribuidas a esta entidad (1), la de “administrar el Registro Nacional de Bases de Datos y emitir las órdenes y actos necesarios para su administración y funcionamiento”.
Así mismo, el artículo 25 de la ley en mención, creó el Registro Nacional de Bases de Datos -RNBD-, y lo definió como el directorio público de las bases de datos personales sujetas a Tratamiento que operan en el país precisando que el Gobierno Nacional debía reglamentar “la información mínima que debe contener el Registro y los términos y condiciones bajo los cuales se deben inscribir en éste los Responsables del Tratamiento”.
Por su parte, el Capítulo 26 del Decreto Único 1074 de 2015 reglamentó el artículo 25 de la Ley 1581 de 2012 indicando el objeto del Registro Nacional de Bases de Datos, el ámbito de aplicación del mismo, así como los términos y condiciones de inscripción, entre otros.
En particular, el artículo 2.2.2.26.1.2 del Decreto Único 1074 de 2015 (2) señaló lo siguiente:
“Artículo 2.2.2.26.1.2. Ámbito de aplicación. Serán objeto de inscripción en el Registro Nacional de Bases de Datos, las bases de datos que contengan datos personales cuyo tratamiento automatizado o manual sea realizado por los Responsables del tratamiento que reúnan las siguientes características:
a) Sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT).
b) Personas Jurídicas de naturaleza pública”.
Así mismo, el artículo 2.2.2.26.3.1. del mencionado Decreto estableció el siguiente plazo para llevar a cabo el registro de las bases de datos:
“Plazo de inscripción. La inscripción de las bases de datos en el Registro Nacional de Bases de Datos se llevará a cabo en los siguientes plazos:
a. Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 610.000 Unidades de Valor Tributario, deberán realizar la referida inscripción a más tardar el treinta (30) de septiembre de 2018, de acuerdo con las instrucciones impartidas por la Superintendencia de Industria y Comercio.
b. Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT), deberán realizar la referida inscripción a más tardar el treinta (30) de noviembre de 2018, de conformidad con las instrucciones impartidas por la Superintendencia de Industria y Comercio.
c. Los Responsables del Tratamiento, personas jurídicas de naturaleza pública, deberán realizar la referida inscripción a más tardar el treinta y uno (31) de enero de 2019, de conformidad con las instrucciones impartidas por la Superintendencia de Industria y Comercio.
Las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos en los literales a), b) y c) del presente artículo, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación.
De acuerdo con lo expuesto en la parte considerativa del Decreto 090 del 18 de enero de 2018, las personas jurídicas y naturales que se exceptúan de efectuar el registro mediante ese Decreto, no quedan relevadas del cumplimiento de los demás deberes establecidos para los Responsables del Tratamiento de datos personales. En consecuencia, si bien no están obligadas a registrar sus bases de datos ante la Superintendencia de Industria y Comercio, siguen sujetas al cumplimiento de las disposiciones contenidas en la Ley 1581 de 2012.
Así las cosas, se hace necesario modificar las instrucciones impartidas por la Superintendencia de Industria y Comercio de acuerdo con lo establecido en el citado decreto reglamentario para que los sujetos obligados realicen la inscripción de sus bases de datos.
3. Instructivo
Modificar los numerales 2.1 al 2.4 y eliminar los numerales 2.5 al 2.7 del Capítulo Segundo del Título V de la Circular Única de la Superintendencia de Industria y Comercio el cual quedará así:
“CAPÍTULO SEGUNDO: REGISTRO NACIONAL DE BASES DE DATOS-RNBD
2.1. Información adicional que deberá inscribirse en el Registro Nacional de Bases de Datos -RNBD
Los Responsables del tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT) y personas jurídicas de naturaleza pública deben inscribir en el Registro Nacional de Bases de Datos -RNBD- la siguiente información, además de la establecida mediante el Capítulo 26 del Decreto Único 1074 de 2015.
a) Información almacenada en la base de datos. Es la clasificación de los datos personales almacenados en cada base de datos, agrupados por categorías y subcategorías, de acuerdo con la naturaleza de los mismos.
b) Medidas de seguridad de la información. Corresponde a los controles implementados por el Responsable del Tratamiento para garantizar la seguridad de las bases de datos que está registrando, teniendo en cuenta las preguntas dispuestas para el efecto en el RNBD. Tales preguntas no constituyen de ninguna manera instrucciones acerca de las medidas de seguridad que deben implementar los Responsables del Tratamiento de datos personales.
c) Procedencia de los datos personales. La procedencia de los datos se refiere a si estos son recolectados del Titular de la información o suministrados por terceros y si se cuenta con la autorización para el tratamiento o existe una causal de exoneración, de acuerdo con lo establecido en el artículo 10 de la Ley 1581 de 2012.
d) Transferencia internacional de datos personales. La información relacionada con la Transferencia internacional de datos personales comprende la identificación del destinatario como Responsable del Tratamiento, el país en el que este se encuentra ubicado y si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio o por una causal de excepción en los términos señalados en el artículo 26 de la Ley 1581 de 2012.
e) Transmisión internacional de datos personales. La información relacionada con la Transmisión Internacional de datos comprende la identificación del destinatario como Encargado del Tratamiento, el país en el que este se encuentra ubicado, si se tiene un contrato de transmisión de datos en los términos señalados en el artículo 2.2.2.25.5.2 de la Sección 5 del Capítulo 25 del Decreto Único 1074 de 2015 o si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio.
f) Reporte de novedades. Se reportarán como novedades los reclamos presentados por los Titulares ante los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD y/o sus Encargados y los incidentes de seguridad que afecten las bases de datos administradas por cualquier Responsable del Tratamiento, así:
i) Reclamos presentados por los Titulares: Corresponde a la información de los reclamos presentados por los Titulares ante el Responsable y/o Encargado del tratamiento, según sea el caso, dentro de un semestre calendario (enero-junio y julio-diciembre). Esta información se reportará teniendo en cuenta los manifestado por los Titulares y los tipos de reclamos prestablecidos en el RNBD. El reporte deberá ser el resuelto de consolidar los reclamos presentados por los Titulares ante los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD y sus respectivos Encargados del Tratamiento.
ii) Incidentes de seguridad: Se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado, que deberán reportarse al RNBD por parte de los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.
Los Responsables del Tratamiento que no se encuentren obligados a registrar sus bases de datos en el RNBD y los Encargados del Tratamiento, deberán hacer el reporte de los incidentes de seguridad que afecten la información contenida en estas mediante el aplicativo dispuesto para tal fin en la página web de la Superintendencia de Industria y Comercio en el micrositio de la Delegatura para la Protección de Datos Personales o mediante cualquiera de los canales habilitados por la entidad para recibir comunicaciones dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.
La información relacionada con las medidas de seguridad, los reclamos presentados por los Titulares y los incidentes de seguridad reportados en el RNBD no estará disponible para consulta pública.
2.2. Procedimiento de inscripción en el Registro Nacional de Bases de Datos -RNBD
Los Responsables del Tratamiento de datos personales, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT) y personas jurídicas de naturaleza pública, deberán inscribir sus bases de datos en el RNBD, de acuerdo con las instrucciones contenidas en el “Manual del Usuario del Registro Nacional de Bases de Datos -RNBD” publicado en el sitio Web de la Superintendencia de Industria y Comercio. www.sic.gov.co.
La inscripción se realiza en línea en el portal Web de esta entidad (3).
De acuerdo con lo establecido en el artículo 2.2.2.26.3.1 de la sección 3 del Capítulo 26 del Decreto 1074 de 2015 (4), dicha inscripción se llevará a cabo en los siguientes plazos:
a) Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 610.000 Unidades de Valor Tributario (UVT), deben realizar la referida inscripción a más tardar el treinta (30) de septiembre de 2018.
b) Los Responsables de Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 y hasta 610.000 Unidades de Valor Tributario (UVT), deben realizar la referida inscripción a más tardar el treinta (30) de noviembre de 2018.
c) Los Responsables del Tratamiento, personas jurídicas de naturaleza pública, deben realizar la referida inscripción a más tardar el treinta y uno (31) de enero de 2019.
A cada base de datos se le asignará un número de radicado una vez se finalice el procedimiento de inscripción. La información inscrita en el RNBD estará sujeta a verificación de esta Superintendencia.
2.3. Actualización de la información contenida en el Registro Nacional de Bases de Datos -RNBD
Los Responsables de Tratamiento que de conformidad con lo establecido en el Decreto 090 del 18 de enero de 2018 están obligados a registrar sus bases de datos en el RNBD deben actualizar la información registrada, como se indica a continuación:
i) Dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información registrada.
ii) Anualmente, entre el 2 de enero y el 31 de marzo, a partir del 2020.
Son cambios sustanciales los que se relacionen con la finalidad de la base de datos, el Encargado del Tratamiento, los canales de atención al Titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la Política de Tratamiento de la Información y la transferencia y transmisión internacional de datos personales.
Adicionalmente, dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción, los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD deben actualizar la información de los reclamos presentados por los Titulares, referida en el número (i) del literal f) del numeral 2.1 anterior. El primer reporte de reclamos presentados por los Titulares se deberá realizar en el segundo semestre de 2019 con la información que corresponda al primer semestre de 2019.
Los Responsables del Tratamiento que no están obligados a efectuar el registro de sus bases de datos y que realizaron dicho trámite, no están obligados a efectuar la actualización a que hace referencia este numeral y la información por ellos registrada no estará disponible para consulta pública.
2.4 Consulta del Registro Nacional de Bases de Datos RNBD
La consulta del RNBD se encuentra habilitada en el portal web de esta entidad con el fin de que los Titulares de información y terceros puedan acceder a los registros efectuados por los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD”.
4. Vigencia
La presente circular externa entra a regir a partir de la fecha de su publicación en el Diario Oficial.
Atentamente
PABLO FELIPE ROBLEDO DEL CASTILLO
Superintendente de Industria y Comercio
(1) Literal h) Artículo 21 Ley 1581 de 2012
(2) Modificado por el Decreto 090 del 18 de enero de 2018
(3) www.sic.gov.co. Se ingresa por el micrositio de “Protección de datos personales” ubicado en la barra horizontal superior y luego por “Registro Bases de Datos”
(4) Modificado por el Decreto 090 del 18 de enero de 2018