El Registro Nacional de Bases de Datos (RNBD) es una herramienta diseñada para informar al público sobre el tratamiento de sus datos personales, especificando cómo y para qué se procesan. Se trata de un directorio que reúne las bases de datos gestionadas por entidades responsables de recopilar, usar, almacenar, analizar o, en general, tratar datos personales en Colombia. Su objetivo principal es garantizar la transparencia y el control sobre dicho tratamiento. Ahora bien, de cara al periodo dispuesto para su actualización, que inicia este 2 de febrero y se extiende hasta el próximo 31 de marzo: ¿quiénes están obligados?, ¿qué deben hacer? y ¿cómo funciona este registro? En este artículo exploramos todos esos pormenores.
¿Quiénes?
Los responsables del tratamiento de datos personales, incluyendo sociedades y entidades sin ánimo de lucro, que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT) y personas jurídicas de naturaleza pública, deben inscribir la información sobre sus bases de datos en el RNBD.
Para leer: Ley N° 21.719 y el futuro de la protección de datos en Chile: El desafío de elevar los estándares
¿Cuándo?
La inscripción de las bases de datos en el RNBD por quienes están obligados al registro debe adelantarse dentro de los dos (2) meses siguientes a la creación de la base de datos; es decir, si una base de datos se crea en mayo, se registra en julio; si se crea en octubre, en diciembre, y así sucesivamente. Adicionalmente, los responsables obligados deberán tener en cuenta los siguientes plazos para efectos de actualizar o realizar nuevos registros en el RNBD.
A más tardar el 31 de marzo de cada año, iniciando en 2025, todos los responsables deberán actualizar la información que ha sido incluida en sus bases de datos en el año anterior.
Adicionalmente, dentro de los primeros quince (15) días hábiles de los meses de febrero y agosto (entre el 3 y el 21 de febrero de 2025, y entre el 1 y el 25 de agosto de 2025), se deberá remitir a la SIC información sobre la cantidad de reclamos presentados por los titulares, con los que se haya buscado la corrección, actualización o supresión de sus datos, o advertido el presunto incumplimiento de cualquiera de los deberes contenidos en la regulación aplicable.
Si hubiera cambios sustanciales en la información registrada o contenida en bases de datos, estos se deberán incluir en el RNBD dentro de los primeros diez (10) días hábiles del mes siguiente a la realización del cambio. Un cambio sustancial incluye modificaciones en la finalidad de la base de datos, los encargados del tratamiento, los canales de atención al titular, la clasificación de los datos, las medidas de seguridad, la política de tratamiento de la información y la transferencia y transmisión internacional de datos personales.
Finalmente, en caso de que haya algún incidente que afecte la confidencialidad, integridad o disponibilidad de la información, este se deberá reportar dentro de los quince (15) días hábiles siguientes a su detección.
Recomendamos: Ley de las Bets y otras normas: ¿Cómo Brasil pretende regular, fiscalizar y mantener saludable al mercado de las apuestas?
¿A qué se refiere la norma con ‘base de datos’?
Las bases de datos son conjuntos de datos personales organizados en medios físicos (como carpetas) o electrónicos (como archivos en hojas de cálculo, documentos de texto o bases de datos digitales), sin importar la cantidad de información que contengan.
Para efectos de su registro, se clasifican según el tipo de titular (empleados, clientes o proveedores) y el medio de almacenamiento (físico o digital).
¿Qué información se debe registrar?
En la RNBD se debe registrar la siguiente información:
a) Una clasificación de los datos personales en cada base de datos: Se debe indicar cuál es la naturaleza de los datos incluidos en cada base. Por ejemplo, se debe especificar si corresponden a datos de identificación (como el nombre, lugar de nacimiento o fotografía); datos de ubicación (como dirección, teléfono o correo electrónico); datos socioeconómicos (como el estrato, situación financiera o historial laboral) o datos sensibles (como aquellos relacionados con la salud, afiliación a sindicatos, organizaciones sociales, religiosas, políticas o de derechos humanos, convicciones religiosas, filosóficas o políticas, identidad y orientación sexual, u origen étnico-racial).
b) Medidas de seguridad de la información: Los responsables deben indicar cuáles son aquellos controles que han implementado para garantizar la seguridad de las bases de datos registradas, respondiendo a preguntas específicas en el RNBD.
c) Origen de los datos personales: Se debe indicar si los datos son recolectados directamente del titular o suministrados por terceros, y si se cuenta con la autorización para su tratamiento.
d) Transferencia internacional de datos personales: Se debe identificar a qué responsable del tratamiento se ha enviado información, el país donde se encuentra y si la operación está cubierta por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la SIC, por la autorización del titular o por una causal de excepción prevista en la ley.
e) Transmisión internacional de datos personales: Similar a la transferencia, se debe a qué encargado del tratamiento se ha remitido la información, el país donde está ubicado, y si (i) existe un contrato de transmisión de datos, (ii) el titular ha autorizado su transmisión, o (iii) se cuenta con una declaración de conformidad de la SIC.
¿Se puede consultar el RNBD?
El RNBD está disponible para consulta en el portal web de la SIC, permitiendo a los titulares de información y a terceros acceder a los registros realizados por los responsables del tratamiento obligados a inscribir sus bases de datos. Sin embargo, no existen criterios uniformes que permitan a los titulares identificar con claridad en qué base de datos se encuentra almacenada su información. Por esta razón, la finalidad de transparencia que persigue el RNBD no siempre se cumple de manera efectiva.
El RNBD es administrado por la SIC, hecho que implica que esta entidad puede revisar la información allí incluida para verificar que los sujetos obligados hayan cumplido con la normativa aplicable en materia de protección de datos.
*Natalia Fernández es asociada sénior en Tecnologías y Medios Digitales de Cuatrecasas - Bogotá.
}
Add new comment