Cómo se debe iniciar al interior de las empresas la definición de las bases de datos que se deben inscribir ante la SIC (RNBD).
NOTA: Se ampliará el plazo para el Registro Nacional de Base de Datos hasta el 30 de enero de 2018, espere muy pronto más información @sicsuper pic.twitter.com/CxQYJsgK7O
- Superintendencia SIC (@sicsuper) 28 de junio de 2017
- Ver: Decreto 1115 del 29 de junio.
- ver Se modifica el plazo para realizar el Registro Nacional de Bases de Datos
Derechos de habeas data para titulares de datos personales
El 31 de enero de 2018 vence el tercer plazo para que las empresas colombianas matriculadas en el Cámara de Comercio inscriban sus bases de datos con datos personales de empleados, proveedores y clientes, entre otros ante la Superintendencia de industria y comercio (SIC), aunque ya desde el año 2013 la SIC ha iniciado a imponer multas a las empresas que han fallado al garantizar los derechos de habeas data a los titulares de esta información, los derechos que se deben garantizar son:
Quién es el Responsable y quién el Encargado de los datos personales?
Toda empresa natural o jurídica que recopile datos personales se denomina Responsable es a ésta a quien se impondrán las multas por parte de la SIC, el Responsable es quien debe reportar en el RNBD. Si para algún tipo de tratamiento el Responsable se apoya en otra empresa en Colombia o en el extranjero ésta segunda empresa es conocida como el Encargado.
Por ejemplo: si una empresa colombiana requiere datos personales de sus clientes para el ejercicio de su actividad económica y, para su almacenamiento utiliza a una empresa que le provee un servicio en la nube y los servidores para éste proceso están en Francia, por ejemplo, esta segunda empresa tendrá responsabilidad también de la seguridad de los datos personales que administra.
Pero es función de la empresa Responsable, exigir las medidas de seguridad suficientes al Encargado para no incurrir por incumplimientos ante la SIC por la incorrecta aplicación del habeas data sobre estos datos personales.
Cómo iniciar el inventario de las bases de datos con datos personales?
Una base de datos es un conjunto de datos ordenados y puede estar almacenado física (documentos impresos) o lógicamente (en equipos de computo).
NOTA: una reciente sentencia de la SIC declaro como base de datos el envío de un mail masivo a clientes, además con información semiprivada.
Se debe detectar para cada una de las bases de datos que tipo de datos personales almacena, la finalidad de la base de datos, la autorización de los titulares, la cantidad de autorizaciones con las que cuenta, el canal o los canales que va a establecer la empresa para que el titular ejerza sus derechos de habeas data, si la administración de la base de datos ha sido encargado a terceros.
Uno de los componentes principales que se deben crear o actualizar es el de la política de tratamiento de datos personales de la empresa, el cual debe abarcar, si así se desea, la totalidad de las finalidades de las bases de datos administradas o tener una política por cada base de datos, en los próximos días se va a detallar los componentes principales de éste documento.
Qué sigue después del registro en el RNBD?
La administración de la información de datos personales alojada en el RNBD es muy importante y se debe tener en cuenta la periodicidad definida por la SIC para hacer estos procesos, que se debe reportar: incidentes de seguridad, bases de datos nuevas, derechos ejercidos por los titulares sobre el derecho del habeas data. en próximos publicaciones se detalla los eventos a publicar y la frecuencia para hacerlo.
No hay comentarios.:
Publicar un comentario