A todos los interesados se les recuerda que de conformidad con lo establecido mediante el Decreto 090 del 18 de enero de 2018, las sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 610.000 Unidades de Valor Tributario (UVT), equivalentes a aproximadamente $20.225 millones de pesos colombianos, deberán registrar sus bases de datos en el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio (SIC) a más tardar el 30 de septiembre de 2018.

Adicional a lo anterior, mediante Circular Externa No. 003 del 1 de agosto de 2018, la SIC modificó las obligaciones que existen a cargo de los responsables del tratamiento de datos personales de la siguiente manera:

  • 1. La actualización anual de la información inscrita en el RNBD deberá realizarse a partir del año 2020, entre el 2 de enero y el 31 de marzo
  • 2. El primer reporte de reclamos presentados por titulares deberá realizarse a partir de 2019, reportando en el segundo semestre del año la información que corresponda al primer semestre

Así pues, las obligaciones que tienen los responsables del tratamiento de datos personales, una vez realicen la inscripción de sus bases de datos en el RNBD, son las siguientes:

  • 1. A partir del año 2020, entre el 2 de enero y el 31 de marzo: Actualización anual de la información registrada en el RNBD
  • 2. A partir del año 2019, si se presentan reclamos por parte de titulares: aportar esta información dentro de los 15 primeros días hábiles de los meses de febrero y agosto
  • 3. Dentro de los 10 primeros días hábiles de cada mes: Cuando se presente un cambio sustancial a las bases de datos registradas en el RNBD

Se entiende como cambio sustancial todo aquel que esté relacionado con 1) la finalidad de la base de datos, 2) el Encargado del tratamiento, 3) los canales de atención al titular, 4) la clasificación o los tipos de datos personales que son almacenados, 5) las medidas de seguridad de la información implementadas por la compañía, 6) la Política de Tratamiento y 7) la transferencia y/o transmisión internacional de datos personales.

  • 4. Si se presentan incidentes de seguridad: dentro de los quince (15) días hábiles siguientes al momento en el que el incidente es detectado

Los responsables y encargados del tratamiento de datos personales que no estén obligados a registrar sus bases de datos en el RNBD también deberán reportar incidentes de seguridad en este mismo plazo.