Si tu empresa
USA, RECOPILA, ALMACENA
Información personal
Entonces debes realizar el RNBD
Registro Nacional de Base de Datos
¡EVITA SANCIONES!
Si manejas información personal de trabajadores, clientes, socios, proveedores o visitantes. Tales como nombres, información de contacto, familia, videos, imágenes o huellas, entonces debes hacer el RNBD ante la Superintendencia de Industria y Comercio. Según la LEY DE PROTECCION DE DATOS
Ley 1581 de 2012
DEBE SER REGISTRADA ANTES DE:
Para empresas con activos superiores a $20.000.225.160
Para empresas con activos superiores a $3.000.316.200
De lo contrario LA LEY NO CONTEMPLA EXCEPCIONES...
Puedes incurrir en sanciones como:
Multas - Suspensiones - Cierre Temporal
Cierre Definitivo
¿Que Hacer Para Cumplir?
Permitenos realizar un diagnóstico para blindar legalmente tu empresa en
3 SENCILLOS PASOS
1Análisis de estructura organizacional e informe de los datos que deben ser protegidos
2Políticas de protección de datos, implementación y recomendaciones
3Ajustes de contratos y documentación de carácter legal
El Proceso Incluye:
Formación especializada
Inventarios de bases de datos
Registro de la empresa en el RNBD
IMPACTO EN LAS AREAS DE UNA EMPRESA QUE IMPLEMENTÓ EL HABEAS DATA Y REALIZO LA INSCRIPCION ANTE EL REGISTRO NACIONAL DE BASES DE DATOS
Debe tener en cuenta que el decreto 090 del 18 de enero de 2018, modifico los plazos y el universo de las sociedades que deben cumplir con éste requisito, excluyendo a las micro y pequeñas empresas de la inscripción ante el registro nacional de bases de datos (RNBD), pero sin dejar de lado que deben dar cumplimiento de la norma por lo que sí. Es necesario que este grupo de empresas que si bien no deben realizar el registro ante la SIC, si es su deber legal la creación de las políticas para el tratamiento de datos personales y la aplicación de éstas en las distintas áreas de la organización para de esta forma asegurar que se da cumplimiento al principio de responsabilidad demostrada.
Una vez realizada la inscripción en el RNBD de las bases de datos cuyo tratamiento efectúa la empresa, las personas que allí laboran deberán seguir ciertas recomendaciones y guardar los debidos cuidados en el desempeño de sus funciones. De tal forma que se articulen de manera armónica a las políticas implementadas a nivel interno y que se encuentran debidamente publicadas tanto en la página web como en los medios idóneos que se habiliten internamente para ello.
Por lo anterior, es importante resaltar además, que las bases de datos que se creen con posterioridad al vencimiento de los nuevos plazos, deberán inscribirse dentro de los dos meses siguientes, contados a partir de su creación.
¿Quiénes se encuentran exentos del registro de sus bases de datos ante la RNBD de la SIC?
Las empresas y entidades sin animo de lucro que sean catalogadas como microempresas, pequeñas empresas y personas naturales, cuyos activos totales sean hasta de $3.315.600.000 (100.000 UVT) o menos.
¿Quiénes continúan con el deber de registrar sus bases de datos ante la Rnbd de la SIC?
Las sociedades y entidades sin animo de lucro que tengan activos superiores a $3.315.600.000 (100.000 UVT) o más y las personas jurídicas de naturaleza pública independientemente de sus activos.
¿Cuáles son las fechas de vencimiento para el plazo del registro de las bases de datos en la RNBD?
Hasta el 30 de septiembre de 2018 deberán reportar las sociedades y entidades sin ánimo de lucro que tuvieran activos totales superiores a $20.225.160.000 (610.000 UVT); hasta el 30 de noviembre de 2018 las que contaran con activos totales superiores a $3.315.600.000 (100.000 UVT) y hasta $20.225.160.000 (610.000 UVT) y hasta el 31 de enero de 2019 las personas jurídicas de naturaleza pública
Es por eso, que se hace necesario realizar las siguientes recomendaciones a aplicar al interior de la organización:
- AREA DE TALENTO HUMANO
- AREA ADMINISTRATIVA Y ORGANOS DE DIRECCIÓN
- SERVICIO AL CLIENTE
- AREA DE CALIDAD Y AUDITORIA
- AREA DE PUBLICIDAD Y MERCADEO
- SEGURIDAD Y REGISTRO DE VISITANTES
- COMPRAS Y CONTRATOS
- SISTEMAS Y TELEMATICA
- ARCHIVO
Como primera medida deberán poner en conocimiento las políticas implementadas no solo a las personas que intervienen en los procesos de tratamiento de algún tipo de información sino además a todos los empleados de la compañía.
Se recomienda que en los procesos de inducción al personal se le haga una breve reseña acerca de la responsabilidad de la organización con la implementación de la ley 1581 de 2012 y el cuidado y reserva que deberán guardar con la información tanto de personas naturales como de personas jurídicas que aquí se encuentra almacenada y la cual es de vital importancia para el correcto funcionamiento de la empresa. Siempre teniendo en cuenta que la misma ha sido entregada por la confianza que se tiene en que la misma será tratada de forma responsable.
Debe existir una concientización al personal que las bases de datos que fueron reportadas son las que, para el momento de la implementación de la ley 1581 se encontraban operando y que ello no obsta para la creación de una nueva base con un fin diferente a los que ya se tenían contemplados, pero que de igual forma ésta deberá ser reportada a la persona que la empresa ha designado para realizar el seguimiento al cumplimiento constante de las obligaciones que la ley impone en materia de Habeas Data, para que realice las modificaciones adecuadas ante el sistema de información de la SIC, lo anterior por cuanto, de acuerdo con lo indicado en el numeral 2.3 de la Circular Externa No. 002 de 2015 de la SIC, la información contenida en el RNBD deberá actualizarse, como se indica a continuación:
Dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información registrada.
Anualmente, entre el 2 de enero y el 31 de marzo, a partir de 2019.
Esta concientización no solo se limita a la creación de nuevas bases de datos sino también cuando las existentes tengas cambios sustanciales; Se aclara que los cambios sustanciales están definidos en la misma circular, así: “Son cambios sustanciales los que se relacionen con la finalidad de la base de datos, el Encargado del Tratamiento, los canales de atención al Titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la Política de Tratamiento de la Información y la transferencia y transmisión internacional de datos personales”.
Dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información registrada.
Anualmente, entre el 2 de enero y el 31 de marzo, a partir de 2019.
Esta concientización no solo se limita a la creación de nuevas bases de datos sino también cuando las existentes tengas cambios sustanciales; Se aclara que los cambios sustanciales están definidos en la misma circular, así: “Son cambios sustanciales los que se relacionen con la finalidad de la base de datos, el Encargado del Tratamiento, los canales de atención al Titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la Política de Tratamiento de la Información y la transferencia y transmisión internacional de datos personales”.
Deben tener en cuenta que dentro de las políticas elaboradas para ustedes, existen diferentes procedimientos a implementar en caso de presentarse alguna clase de reclamo, ya que de conformidad con lo dispuesto en el artículo 15 de la Ley 1581 de 2012, el Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán presentar un reclamo ante el responsable del Tratamiento.
Se recomienda para estas áreas (en caso de que actualmente funcionen dentro de la organización), la implementación de procesos que permitan:
1. Generar una trazabilidad y correcto uso de las bases de datos existentes.
2. Identifique la existencia de los denominados “cambios sustanciales”.
3. Verificar la creación y utilidad de las nuevas bases de datos.
4. La correcta recolección de las autorizaciones para tratamiento de información en las distintas áreas procedimientos.
1. Generar una trazabilidad y correcto uso de las bases de datos existentes.
2. Identifique la existencia de los denominados “cambios sustanciales”.
3. Verificar la creación y utilidad de las nuevas bases de datos.
4. La correcta recolección de las autorizaciones para tratamiento de información en las distintas áreas procedimientos.
La imagen de una persona constituye un dato personal por cuanto se trata de un tipo de información capaz de ser asociado a un individuo y permite su identificación motivo por el cual debe guardarse especial cuidado durante la organización de eventos empresariales en el cual se lleve a cabo la obtención de imágenes de los asistentes para fines publicitarios, a través de las siguientes recomendaciones:
1. Si son eventos en los cuales se debe asistir previa invitación, insertar en el texto de la invitación, la autorización para uso de la información personal en los términos de la Ley 1581 de 2012.
2. En caso de que sean eventos abiertos al público, incluir pancartas o avisos en un lugar visible con información dirigida a las personas que les indique de manera inequívoca que durante la organización del evento se estará recolectando material gráfico y que el mismo será usado para determinadas actividades comerciales.
Incluir en el dossier del evento que se instalaron dichos avisos a fin de que existe el soporte documental de carácter legal que evite a futuro con el titular de la información presente algún tipo de reclamación al respecto.
Deben tener en cuenta que en el caso de imágenes tomadas durante un evento, también deben tener un periodo de vigencia determinable y esto debe ser interpretado como una limitación temporal al uso de la imagen. En efecto, teniendo en cuenta que los datos personales solo pueden ser utilizados para finalidades determinadas (las cuales deben ser informadas previamente al titular), una vez éstas hayan sido agotadas el dato personal deberá ser suprimido. Ello implica que la licencia de uso de imagen no es perpetua pues debe ser eliminada de la base de datos del licenciatario una vez haya sido agotado su propósito. En este sentido, si la imagen de una persona fue licenciada para una campaña publicitaria que debió ser comunicada públicamente durante un periodo de tiempo determinado, al finalizar éste, la imagen de la persona deberá ser suprimida de todos los archivos del área correspondiente. Si se quiere continuar usando la imagen, los usos descritos en la autorización deben ser más amplios que sólo el evento específico.
1. Si son eventos en los cuales se debe asistir previa invitación, insertar en el texto de la invitación, la autorización para uso de la información personal en los términos de la Ley 1581 de 2012.
2. En caso de que sean eventos abiertos al público, incluir pancartas o avisos en un lugar visible con información dirigida a las personas que les indique de manera inequívoca que durante la organización del evento se estará recolectando material gráfico y que el mismo será usado para determinadas actividades comerciales.
Incluir en el dossier del evento que se instalaron dichos avisos a fin de que existe el soporte documental de carácter legal que evite a futuro con el titular de la información presente algún tipo de reclamación al respecto.
Deben tener en cuenta que en el caso de imágenes tomadas durante un evento, también deben tener un periodo de vigencia determinable y esto debe ser interpretado como una limitación temporal al uso de la imagen. En efecto, teniendo en cuenta que los datos personales solo pueden ser utilizados para finalidades determinadas (las cuales deben ser informadas previamente al titular), una vez éstas hayan sido agotadas el dato personal deberá ser suprimido. Ello implica que la licencia de uso de imagen no es perpetua pues debe ser eliminada de la base de datos del licenciatario una vez haya sido agotado su propósito. En este sentido, si la imagen de una persona fue licenciada para una campaña publicitaria que debió ser comunicada públicamente durante un periodo de tiempo determinado, al finalizar éste, la imagen de la persona deberá ser suprimida de todos los archivos del área correspondiente. Si se quiere continuar usando la imagen, los usos descritos en la autorización deben ser más amplios que sólo el evento específico.
Para el área encargada de seguridad existen dos posibilidades, que dependiendo de la forma de manejo que se le dé a este deberán implementarse diferentes sistemas para dar cumplimiento a la Ley 1581 de 2012.
1. Cuando la seguridad se realiza mediante la contratación de un tercero.
Esta forma de administrar la seguridad a su vez divide su forma de afrontar lo predispuesto en la Ley 1581 de 2012 en dos vertientes, la primera de ellas es cuando la información compilada a través de los elementos usados para realizar la actividad tales como videograbaciones, libros de ingreso, uso de huellas etc., es usada por parte de la compañía contratante, éstas son consideradas bases de datos y deben ser reportadas ante la SIC, ubicando a la empresa de seguridad como tercero “encargado del tratamiento”
En caso tal que la información almacenada sea de uso exclusivo de la empresa de seguridad y en ningún momento migre la información a la compañía contratante, es la empresa de seguridad quien deben realizar el debido registro ante la SIC de esta información, sin embargo es deber de la contratante, que éstos hagan ese trámite e incluir en el contrato que son ellos los propietarios de esas bases de datos lógicas y físicas y procurar que se encuentren debidamente inscritos ante el RNBD.
2. El segundo evento es cuando directamente la empresa asume el manejo de los elementos de seguridad de la compañía, en este caso, deben identificarse plenamente las bases de datos según el criterio de la Ley de Habeas Data, y del manejo que le estén dando a los mismos, y reportarlos ante la SIC.
En ambos casos siempre es necesario cuando existan sistemas de monitoreo electrónico, ubicar avisos en lugares visibles que indique al personal permanente y transitorio que están siendo grabados y los usos que se les dará a dicha información almacenada.
1. Cuando la seguridad se realiza mediante la contratación de un tercero.
Esta forma de administrar la seguridad a su vez divide su forma de afrontar lo predispuesto en la Ley 1581 de 2012 en dos vertientes, la primera de ellas es cuando la información compilada a través de los elementos usados para realizar la actividad tales como videograbaciones, libros de ingreso, uso de huellas etc., es usada por parte de la compañía contratante, éstas son consideradas bases de datos y deben ser reportadas ante la SIC, ubicando a la empresa de seguridad como tercero “encargado del tratamiento”
En caso tal que la información almacenada sea de uso exclusivo de la empresa de seguridad y en ningún momento migre la información a la compañía contratante, es la empresa de seguridad quien deben realizar el debido registro ante la SIC de esta información, sin embargo es deber de la contratante, que éstos hagan ese trámite e incluir en el contrato que son ellos los propietarios de esas bases de datos lógicas y físicas y procurar que se encuentren debidamente inscritos ante el RNBD.
2. El segundo evento es cuando directamente la empresa asume el manejo de los elementos de seguridad de la compañía, en este caso, deben identificarse plenamente las bases de datos según el criterio de la Ley de Habeas Data, y del manejo que le estén dando a los mismos, y reportarlos ante la SIC.
En ambos casos siempre es necesario cuando existan sistemas de monitoreo electrónico, ubicar avisos en lugares visibles que indique al personal permanente y transitorio que están siendo grabados y los usos que se les dará a dicha información almacenada.
Se recomienda incluir en los contratos suscritos con terceros una cláusula que blinde a las partes el en materia de protección de datos personales, de conformidad con los parámetros establecidos en la Ley 1266 de 2008 y sus modificaciones; en los artículos 269F y 269G de la Ley 1273 de 2009 y en la Ley 1581 de 2012 y en lo reglamentado en el Decreto 1377 de 2013, y lo contemplado en la Política de Tratamiento de Datos Personales publicada en la entidad contratante.
De igual forma deben tener en cuenta que la Ley 1581 de 2012 prohíbe la transferencia de datos personales de cualquier tipo, no solo en Colombia sino también a países que no proporcionen niveles adecuados de protección de datos.
Esta prohibición NO REGIRÁ cuando se trate de:
Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.
Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del Titular por razones de salud o higiene pública.
Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.
Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.
En caso de realizar contratos con personas naturales simplemente para la ejecución de obras, se recomienda se suscriba y almacene el documento entregado con la consultoría denominado: “AVISO DE PRIVACIDAD Y AUTORIZACIÓN EXPRESA PARA EL TRATAMIENTO DE DATOS PERSONALES (CLIENTES Y PROVEEDORES)”
De igual forma deben tener en cuenta que la Ley 1581 de 2012 prohíbe la transferencia de datos personales de cualquier tipo, no solo en Colombia sino también a países que no proporcionen niveles adecuados de protección de datos.
Esta prohibición NO REGIRÁ cuando se trate de:
Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.
Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del Titular por razones de salud o higiene pública.
Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.
Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.
En caso de realizar contratos con personas naturales simplemente para la ejecución de obras, se recomienda se suscriba y almacene el documento entregado con la consultoría denominado: “AVISO DE PRIVACIDAD Y AUTORIZACIÓN EXPRESA PARA EL TRATAMIENTO DE DATOS PERSONALES (CLIENTES Y PROVEEDORES)”
Esta es tal vez la más crítica de las áreas en las que se debe apoyar la implementación de la Ley 1581 de 2012, pues es esta área la que proveerá las medidas de seguridad adecuadas para el buen recaudo de las bases de datos y de esta forma evitar fugas de información, es importante resaltar las principales funciones de esta área:
Custodia adecuada bases de datos
Evitar la duplicidad de bases de datos
Tomar medidas adecuadas para evitar la filtración de la información
En la medida de lo posible, implementar el ISO 30001 y elaborar adecuadamente el Mapa de riesgos
Velar porque las políticas de tratamiento de la información se encuentren debidamente cargadas y visibles en la página web
En caso que capten información atravesó de medios electrónicos, deberán informar en estos que los datos suministrados serán debidamente tratados de acuerdo con sus políticas y también en el mismo formulario ubicar un botón donde se autorice la captación de información y se informe el uso que se le dará a la misma.
Incluir en los correos corporativos un Aviso Legal que informe a terceros acerca del tratamiento de datos personales, se inserta un modelo, el cual puede ser adecuado a las necesidades de la empresa.
Custodia adecuada bases de datos
Evitar la duplicidad de bases de datos
Tomar medidas adecuadas para evitar la filtración de la información
En la medida de lo posible, implementar el ISO 30001 y elaborar adecuadamente el Mapa de riesgos
Velar porque las políticas de tratamiento de la información se encuentren debidamente cargadas y visibles en la página web
En caso que capten información atravesó de medios electrónicos, deberán informar en estos que los datos suministrados serán debidamente tratados de acuerdo con sus políticas y también en el mismo formulario ubicar un botón donde se autorice la captación de información y se informe el uso que se le dará a la misma.
Incluir en los correos corporativos un Aviso Legal que informe a terceros acerca del tratamiento de datos personales, se inserta un modelo, el cual puede ser adecuado a las necesidades de la empresa.
Se recomienda realizar la custodia adecuada a las autorizaciones al tratamiento de la información entregadas en físico de clientes, proveedores, empleados, exempleados, visitantes, clientes potenciales etc.
TRATAMIENTO DE LA INFORMACIÓN RECOLECTADA ANTES DE LA IMPLEMENTACIÓN DE LA LEY 1581 DE 2012
En caso de tener identificada una base de datos antes de entrar en vigencia la Ley general de datos personales, la compañía debe de clasificarla si se va a utilizar o se va a eliminar, en caso de utilizarla se debe de contactar con los titulares de los datos para que por medio del aviso de privacidad y autorización sea firmado y autoricen el tratamiento, no obstante deben tener en cuenta como se menciona anteriormente el artículo 10, numeral 4 del Decreto 1377, menciona que una vez enviada la solicitud de autorización, si dentro de los 30 días hábiles siguientes no reciben la debida autorización, se entenderá que esa persona está de acuerdo con su política de tratamiento de datos personales. Ahora bien, en el caso que se decida que no se va a utilizar se puede denominar con un nombre como ejemplo ´´base de datos muerta´´. la cual periódicamente se tiene que ir eliminando, porque si no lo hace sería una base de datos extra, la cual se tendrá que reportar ante la Superintendencia de Industria y comercio.Con esta información entregada por parte de GLAW SAS se sugiere poner en práctica las recomendaciones realizadas con el fin de efectuar un debido proceso en la aplicación de la Ley 1581 de 2012 y estar siempre respaldados por el principio de responsabilidad demostrada y evitar de esta forma sanción alguna por parte de la SIC