RNBD para entidades publicas, o la Tormenta perfecta!
Todas las entidades públicas en Colombia deben registrar sus bases de datos ante la SIC. Y su plazo vence el próximo 31 de enero de 2019. Hasta ahí, no parece preocupante la situación. Poco o nada se sabe del proceso (que ha causado dolores de cabeza entre los empresarios) para las entidades públicas. Es tan difuso el tema que no se sabe a ciencia cierta cuantas entidades deben hacer el trámite, quien en la entidad es el encargado de hacerlo, ni mucho menos como cumplir con la Ley 1581 de 2012 en el sector público. Como se sabe, el modelo colombiano de Proteccion de datos, tiene un corte principalmente dirigido al sector privado; no obstante, no puede perderse de vista que la Ley es aplicable a todo tipo personas, naturales o jurídicas, públicas o privadas. Y aquí empiezan los problemas: si bien a principios de año, a través del Decreto 090 de 2018, el Ministerio de Comercio, delimitó el universo de personas que debían realizar el famoso RNBD, no se excluyó ni se limitó nada respecto de los entes públicos. Asi las cosas, haciendo un análisis detallado de la situación, hasta la institución pública más pequeña (Por presupuesto o por número de funcionarios) tendrá que cumplir con dicho registro. Pero ahi no para la cosa… quiere lo anterior informar que TODAS las entidades públicas, es decir Ministerios, Departamentos Administrativos, Superintendencias, Organismos, Agencias, Institutos, Departamentos, Distritos o Municipios de Colombia deben cumplir con esta importante obligación. En Colombia existen más 3.500 entidades públicas en todos los niveles y de ellas realmente pocas han realizado el RNBD. La situación además de preocupante debe llamar la atención dado que a pesar que el régimen de Proteccion de datos (a diferencia de lo que ocurre en países que tienen una agencia o autoridad de datos independiente), no castiga con sanciones pecuniarias a las entidades, sin embargo señala la norma y así fue interpretado por la Corte constitucional, cuando la SIC advierta posibles incumplimientos por parte de autoridades públicas, dará traslado a la Procuraduría General de la nación para surtir la correspondiente investigación. Es decir, incumplir una de las obligaciones más llamativa del Régimen colombiano de protección de datos, puede significarles a los funcionarios públicos una investigación disciplinaria con posibles consecuencias negativas. Por lo anterior, el llamado Urgente es a las entidades en todo orden y nivel a que adelanten de manera prioritaria las acciones que les permitirán cumplir con el registro, teniendo en cuenta las particularidades propias de un ente estatal. Entre las actividades a realizar estarían: Inventario de Activos y de Bases de datos (manuales y automatizadas), gestion de terceros con manejo de datos, diseño del cuerpo de autorregulación (Políticas, Aviso, Autorizaciones en datos sensibles y para casos en los que se requiera), formalización y nombramiento oficial del Delegado de Proteccion de datos OPD, atención de los derechos a Conocer, Actualizar, Rectificar y Suprimir (CARS) de los titulares. La tarea sin dudas es retadora; no obstante, el rápido despliegue de acciones sobre estos asuntos significará el cumplimiento de los postulados de la Ley 1581 de 2012 y permitirá a la entidad demostrar su apego a la norma.
Sociedades de Economía Mixta si deben inscribir sus Bases de datos teniendo en cuenta sus activos.
La Superintedencia de Industria y Comercio a través de concepto recordó que las Sociedades de economia Mixta si estan obligadas a registrar las Bases de datos de conformidad con los postulados de la Ley 1581 de 2012 y su decreto reglamentario 1074 de 2015; en particular teniendo en cuenta los plazos señalados en el Decreto 090 de 2018. Debe tenerse presente que inicialmente todas las empresas y personas naturales que tuvieran la calidad de responsables del tratamiento de datos personales, indistintamente de su naturaleza o de su tamaño, estaban obligadas a inscribirse ante el Registro Nacional de Bases de datos. Esto cambió con la entrada en vigencia del Decreto 090 en enero de 2018, cuando el Ministerio de Comercio, Industria y Turismo, señalo que con el fin de simplificar tramites de las Mipymes, solo debian registrar las Bases de datos las consideradas Grandes y Medianas empresas y todas las entidades publicas. Pues bien, en el Decreto no se menciono a la Sociedades de economia mixta, aquellas en las que el estado en cualquier orden tiene participacion accionaria. En este sentido, a traves del concepto 18-36981 aclaró que el Decreto 090 de 2018 a través del cual fueron modificados los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 del Decreto 1074 de 2015 no establece distinciones frente a las sociedades ni toma como factor determinante la participación accionaria del Estado en la conformación de las mismas. En consecuencia y en relación con sociedades de economía mixta, se deberán tener en cuenta los términos establecidos en los numerales a) y b) del artículo 2.2.2.26.3.1 del Decreto 1074 de 2015 modificado por el Decreto 090 de 2018 relativos a los plazos de las sociedades. En conclusion, dichas sociedades deberan tener en cuenta sus activos para definir su plazo de vencimiento asi: a. Sociedades de economia mixta con activos superiores a 610.000 UVT (+$20.225.160.000) vence el plazo el 30 de Septiembre de 2018. b. Sociedades de economia mixta con activos entre 100.000 y 610.000 UVT (entre +$3.315.600.000 y $20.225.160.000) vence el plazo el 30 de Noviembre de 2018. Finalmente resaltamos la importancia de aclarar que todas las empresas y entidades, aun aquellas que no deben realizar el RNBD, SI deben cumplir con el resto de obligaciones incorporadas por la Ley 1581 de 2012 y consideramos que para las sociedades de economia mixta si aplican las sanciones economicas (Hasta 2000 smlmv) que señala el Regimen de proteccion de datos en Colombia.
El RNBD nuevamente sufre modificaciones: Solo Medianas y Grandes empresas deberan registrar bases de datos ante la SIC.
Nuevamente el Registro Nacional de Bases de Datos es modificado. Por tercera ocasion se amplian los plazos para que los sujetos obligados cumplan con esta importante obligacion de transparencia frente al manejo de los datos de terceros. Si bien se ha tenido suficiente tiempo, lo cierto que es las empresas no entienden su utilidad ni su justificacion. Con esta ultima modificacion, el Gobierno ha anunciado ademas de la ampliacion en las fechas, una reduccion significativa para las organizaciones que deben cumplirlo. En efecto, a traves del Decreto 090 de 2018, el Ministerio de Comercio, Industria y Turismo cambió el ambito de aplicacion frente al Registro, ya que en un principio toda entidad de naturaleza publica o privada, aun las personas naturales que trabajaran con datos personales, debian hacerlo. Analizado en forma practica dicha modificacion se tiene en principio, tres momentos especificos en los cuales operaran los vencimientos para los nuevos obligados: 1. Empresas (Sociedades Comerciales) y Entidades sin animo de lucro catalogadas como Grandes empresas. Es decir aquellas con activos superiores a $20.225.160.000 (610.000 UVT). Plazo: Hasta Septiembre 30 de 2018. 2. Empresas (Sociedades Comerciales) y Entidades sin animo de lucro catalogadas como Medianas empresas. Es decir aquellas con activos entre $3.315.600.000 y 20.225.159.999 (Entre 100.000 a 610.000 UVT). Plazo: Hasta Noviembre 30 de 2018. 3. Personas Jurídicas de Naturaleza Publica. Plazo: Hasta el 31 de Enero de 2019. Debemos anotar que estos cambios no han estado exentos de criticas. Lastimosamente la Autoridad Colombiana en materia de datos personales ha dado un rasgo netamente mercantil a la proteccion de datos. En la practica muchos tratamientos de datos sensibles se dan por instituciones pequeñas como Instituciones de Salud, Colegios y Universidades y por ende tal actividad debe estar en el foco de vigilancia de la entidad. Es nuestro parecer que no se cumplen los postulados señalados por el Art. 25 de la Ley 1581 de 2012 y avalados por la Corte Constitucional, en cuanto al RNBD como herramienta para garantizar los derechos de los titulares de datos.