Precisiones sobre el cumplimiento del régimen de Protección de Datos Personales y el registro de bases de datos.

Por: Andrés Felipe Flórez Zuluaga

Socio Director  de Fonte Estudio Jurídico.

Desde la expedición de la Ley 1581 de 2012, por medio de la cual se estableció el régimen legal general para la protección de datos personales, han sido muchas las inquietudes de empresarios y comerciantes sobre su aplicación y, particularmente, sobre la implementación de acciones específicas requeridas a nivel interno para dar cumplimiento a lo establecido en el marco normativo.

Antes de avanzar en la presentación de algunas precisiones relevantes sobre el cumplimiento del régimen de protección de datos personales y el registro de bases de datos, resulta conveniente recordar que el régimen de protección de datos tiene como principal objetivo desarrollar el derecho constitucional de Habeas Data contemplado en el artículo 15 de nuestra Constitución Política, el cual dispone que todas las personas tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

Dicho lo anterior, procedo a desarrollar el tema principal de este artículo. Como primer punto, encontramos que existe una reiterada inquietud respecto a qué personas o empresas les aplica el régimen de protección de datos personales; para resolver esta inquietud, debe acudirse a lo expuesto en el artículo 2º de la Ley 1581 de 2012, el cual precisa que “los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada”. Ahora bien, no obstante el ámbito de aplicación parece ser claro, de la redacción de la norma surge otra reiterada inquietud: ¿qué debe entenderse por tratamiento de datos personales? Este interrogante lo resuelve la misma Ley 1581 de 2012, pues en el literal g) del artículo 3º, se precisa que “tratamiento” hace referencia a “cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión”.

A partir de lo hasta aquí expuesto, resulta viable anticipar como primera conclusión relevante que toda persona, natural o jurídica, que realice tratamiento de datos personales, debe acatar y dar cumplimiento a las disposiciones contenidas en el régimen de protección de datos personales, resaltando que el concepto de tratamiento es de carácter amplio y que comprende, según la definición legal, casi que cualquier acción que se ejecute o involucre datos personales, incluso el mero almacenamiento de estos. Resalto de manera particular la operación de “almacenamiento” debido a que es muy frecuente encontrar personas que pretenden excusarse del cumplimiento de la ley argumentando que no realizan ninguna operación o acción comercial con los datos personales, desconociendo que el sólo hecho de tenerlos almacenados en sus bases de datos, implica ya un tratamiento que implica adoptar acciones en procura de la protección de dichos datos y del cumplimiento de la normatividad vigente.

Teniendo claridad sobre quiénes están obligados a cumplir con el régimen de protección de datos personales, procedo a referirme a algunas recomendaciones generales que los responsables y encargados del tratamiento de datos personales deberían considerar para asegurar en el mayor grado posible el cumplimiento de la ley. Sobre el particular, lo primero que se debe indicar es que la Ley 1581 de 2012 y el Decreto 1377 de 2013, compilado en el Decreto Único Reglamentario 1074 de 2015, establecen los lineamientos generales que se deben observar en las diferentes etapas que involucran el tratamiento de datos personales, precisando, por ejemplo, las definiciones relevantes en la materia, los principios rectores del tratamiento de datos personales, las categorías de datos personales, los derechos de los titulares de los datos personales, los deberes de los responsables y encargados del tratamiento, los procedimientos para la atención de peticiones, consultas y reclamos, la transferencia y transmisión de datos personales, la creación del registro de bases de datos en el Registro Nacional de Bases de Datos (RNBD), entre otros aspectos relevantes. Debo resaltar que debido a la extensión que demandaría abordar todos estos aspectos, únicamente me referiré al proceso de Registro Nacional de Bases de Datos (RNBD).

De acuerdo con la definición legal, se tiene que el Registro Nacional de Bases de Datos (RNBD) es “el directorio público de las bases de datos sujetas a tratamiento que operan en el país” (artículo 25 de la Ley 1581 de 2012), el cual es administrado por la Superintendencia de Industria y Comercio. Ahora bien, ¿qué deben hacer los responsables del tratamiento de datos personales frente al RNBD? La respuesta en principio es simple, pues deben proceder con el registro de todas las bases de datos personales que sean objeto de tratamiento, siendo pertinente resaltar que dicho registro no implica el reporte de datos específicos de los titulares que se encuentran en dichas bases de datos, pues lo que se reporta es información que permite identificar las bases de datos tratadas por cada responsable y algunas características relevantes de las mismas, sin que se haga, insisto, revelación o reporte de información específica de los titulares. Además, en dicho registro se debe reportar información concerniente a medidas de seguridad de la información, procedencia de los datos, transferencia y transmisión internacional de los datos, procedimientos relacionados con incidentes de seguridad, entre otros aspectos. Como dije, la anterior respuesta puede resultar simple, pero como tal, el proceso de registro requiere de preparación y cuidado, pues de manera previa a dicha labor cada responsable debe realizar, a partir de un análisis integral de todas las áreas y procesos, el inventario y caracterización de todas las bases de datos sobre las cuales realiza tratamiento; además, el responsable deberá tener conocimiento sobre que procedimientos ha adoptado para garantizar la seguridad e integridad de los datos personales que son objeto de tratamiento. En todo caso, para esto deberá conocer de antemano qué información es requerida por el RNBD, pues sólo así podrá llevar a cabo este proceso de forma completa y eficiente. Para esto, sugiero consultar el Manual de Usuario que sobre el particular ha dispuesto la Superintendencia de Industria y Comercio y que puede ser descargado en su última versión de la página web www.sic.gov.co.

Frente a la obligación de efectuar el registro de las bases de datos en el RNBD, vale precisar que a través de varios decretos – que me abstendré de nombrar para no agotar o confundir al lector con referencias legales – se han venido dando cambios legales en cuanto a los plazos definidos para que los responsables del tratamiento cumplieran con dicha obligación. El último de estos decretos es el Decreto 090 del 18 de enero de 2018, el cual modificó nuevamente los plazos y, adicionalmente, modificó el universo de obligados a cumplir con el registro de bases de datos, limitándolo a las sociedades y entidades sin ánimo de lucro que tengan activos superiores a 100.000 UVT ($3.315.600.000) y a las entidades públicas; así las cosas, se resalta que las sociedades y entidades sin ánimo de lucro con activos totales inferiores a la suma previamente indicada y las personas naturales quedaron excluidas de la obligación de llevar a cabo el registro.

En lo que respecta a los plazos, de manera específica el Decreto 090 del 18 de enero de 2018 definió los siguientes: a) sociedades y entidades sin ánimo de lucro con activos totales superiores a 100.000 UVT ($3.315.600.000) y hasta 610.000 UVT ($20.225.160.000), hasta el 30 de noviembre de 2018; b) sociedades y entidades sin ánimo de lucro con activos totales superiores a 610.000 UVT ($20.225.160.000), hasta el 30 de septiembre de 2018 y c) entidades públicas, sin importar el valor de sus activos, hasta el 31 de enero de 2019. Resulta importante precisar que los valores antes referenciados se calculan con base en el valor de la UVT para el año 2018.

Como puede observarse, el Gobierno Nacional otorga una nueva oportunidad para que los responsables del tratamiento de datos personales cumplan con la obligación de registro de sus bases de datos ante el RNBD. Sin embargo, debe comprenderse, sin lugar a duda, que la ampliación del mencionado plazo no implica que actualmente no se deba estar dando cabal cumplimiento a todas las demás disposiciones y obligaciones del régimen de protección de datos; asimismo, no debe perderse de vista que aun cuando una persona natural o jurídica no tenga la obligación de realizar el registro de bases de datos, si realiza tratamiento de datos personales de bases de datos no exceptuadas, está obligada a cumplir con todas las demás obligaciones que sobre el particular dispone la ley, como lo son: implementar una política de tratamiento de datos personales, contar con autorizaciones para al tratamiento de datos personales, diseñar y adoptar procedimientos internos para garantizar la protección y seguridad de los datos personales, habilitar canales de atención para los titulares de datos personales, entre otros, pues de no hacerlo, se expone a las sanciones establecidas en el artículo 23 de la Ley 1581 de 2012, entre las que se incluyen sanciones comerciales y económicas de hasta de 2.000 salarios mínimos mensuales legales vigente, que para el año 2018 corresponde a $1.562.484.000.