Cumplimiento normativo "Compliance" en Protección de Datos Personales

Autor: Liliana Hoyos Celis

Colombia como Estado Social de Derecho, garante de los Derechos Fundamentales de sus ciudadanos, constantemente expide normatividad buscando no sólo el cumplimiento de los fines estatales, sino que, en el desarrollo de los mismos, tanto las entidades públicas como los privados garanticen el respeto de los Derechos Fundamentales de los habitantes del territorio nacional.

Dentro de los varios Derechos Fundamentales reconocidos constitucionalmente, el artículo 15 consagra el Derecho a la intimidad como un valor fundamental de los individuos, protegiendo tanto su esfera personal como familiar. Además, garantiza el derecho a la protección del buen nombre, así como el acceso a la información sobre datos personales que reposen en registros públicos o privados, con la posibilidad de corregirlos en caso de inexactitudes. Este derecho fundamental ha sido objeto de desarrollo legal en nuestro país estableciéndose un robusto Régimen de Protección de Datos Personales, cuyo cumplimiento genera muchas inquietudes por parte de los obligados a cumplirlo y por supuesto, por parte de los Titulares de la Información, por lo que, a continuación, trataremos de absolver las inquietudes más comunes.

¿Quiénes están obligados a contar con un Programa de Protección de Datos Personales?

Sin excepción, todas las entidades públicas, sociedades comerciales y entidades sin ánimo de lucro están obligadas a contar con un programa de Protección de Datos Personales que garanticen no sólo el respeto y ejercicio de los derechos de los Titulares de la Información sino el cumplimiento de los requisitos exigidos por la normatividad nacional en materia de Habeas Data. Vale la pena resaltar que, la obligación de contar con un Programa de Protección de Datos Personales, es independiente a la obligación de inscribir las Bases de Datos en el RNBD, y puede ocurrir, en muchos casos, que el Responsable del tratamiento no este obligado a inscribir sus Bases de Datos en el RNBD, lo cual no lo exime de su obligación de contar con un Programa de Protección de Datos Personales.

¿Qué es el RNBD?

El Registro Nacional de Bases de datos (RNBD), administrado por la Superintendencia de Industria y Comercio, es el Directoria público de las Bases de Datos con información personal objeto de tratamiento en el territorio nacional, el cual permite a la citada entidad conocer la realidad de las Bases de datos del país, el tipo de dato objeto de tratamiento, el número de Titulares cuyos datos están siendo tratados, la Finalidad del tratamiento, la Política para el tratamiento tanto de Responsables como Encargados, así como los canales de atención a través de los cuales los Titulares de la Información pueden ejercer sus derechos.

¿Quiénes están obligados a inscribir las Bases de Datos en el RNBD?

Sin excepción, todas las personas jurídicas de naturaleza pública (entidades del estado), así como las sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 UVT.

¿Las Bases de Datos inscritas en el RNBD deben ser renovadas?

Así es, anualmente, antes del 31 de marzo, todas las Bases de Datos deben ser renovadas por los Responsables, so pena de incurrir en sanciones hasta por dos mil (2.000) salarios mínimos legales mensuales vigentes, entre otras sanciones contempladas para los particulares; en el caso de entidades Públicas, la Superintendencia de Industria y Comercio está facultada para remitir la actuación a la Procuraduría General de la Nación para que esta adelante la investigación pertinente e imponga las sanciones de orden disciplinario que correspondan.

¿Qué otras obligaciones surgen tras la inscripción de las Bases de Datos en el RNBD?

Adicional a la renovación anual de las Bases de Datos, los Responsables del tratamiento deben realizar el reporte de las quejas y reclamos presentados por los Titulares de la Información, obligación que deberán cumplir, a más tardar, dentro de los 15 días hábiles de febrero y agosto de cada año, así mismo, si se realizan cambios sustanciales en la información reportada en el RNBD, dichos cambios deberán ser reportados dentro de los primeros 10 días hábiles del mes posterior al cambio. En el evento de presentarse incidentes de seguridad, los mismos deben ser reportados dentro de los 15 días hábiles siguientes a su ocurrencia; y si se crean nuevas Bases de Datos, las mismas deberán ser inscritas en un término máximo de 2 meses posteriores a su creación.

¿Qué requisitos debe cumplir un Programa de Cumplimiento en Protección de Datos Personales?

Las necesidades de cada entidad, de cada empresa son totalmente diferentes, estas atienden al tipo de dato objeto de tratamiento y a la actividad desarrollada por el Responsable de la información, de tal suerte que no podemos hablar de requisitos específicos, no obstante, el Decreto 1074 de 2015, establece unos parámetros básicos para dar cumplimiento a la Ley 1581 de 2012, dentro de los cuales, entre otros, podemos encontrar La Política para el tratamiento de datos Personales, el Manual de procedimiento para el tratamiento de Datos Personales, la Autorización para el tratamiento de datos Personales, el Aviso de Privacidad, cuyas especificaciones de contenido, entre otras, está taxativamente contemplados en la norma en comento. Reitero, la norma consagra unos requisitos mínimos, pero cada entidad, cada empresa, debe desarrollar su Programa de Cumplimiento en Protección de Datos Personales acorde a sus necesidades especificas y, conforme a ellas, implementar los procesos y procedimientos que más se ajusten a sus necesidades, no solo para dar cumplimiento a la norma sino también para garantizar los derechos de los Titulares de la Información y una efectiva protección de los datos almacenados en sus Bases de Datos.

El enlace ha sido copiado al portapapeles.