RÉGIMEN LEGAL DE BOGOTÁ D.C.

DIRECTIVA 017 DE 2018

(Julio 09)

Para: SECRETARIOS (AS) DE DESPACHO, DIRECTORES (AS) DE DEPARTAMENTOS ADMINISTRATIVOS, GERENTES, PRESIDENTES (AS) Y DIRECTORES (AS) DE ESTABLECIMIENTOS PÚBLICOS, UNIDADES ADMINISTRATIVAS ESPECIALES, EMPRESAS INDUSTRIALES Y COMERCIALES DEL DISTRITO, SOCIEDADES DE ECONOMÍA MIXTA, SOCIEDADES ENTRE ENTIDADES PÚBLICAS, EMPRESA DE ACUEDUCTO Y ALCANTARILLADO DE BOGOTÁ, D.C., EMPRESAS SOCIALES DEL ESTADO, ALCALDES/AS LOCALES, Y RECTOR DEL ENTE UNIVERSITARIO AUTÓNOMO

De: SECRETARÍA JURÍDICA DISTRITAL

Asunto: REGISTRO NACIONAL DE BASES DE DATOS - RNBD

Ver Circular 001 de 2019, Presidencia de la República.

El artículo 25 de la Ley 1581 de 2012 determinó que el Registro Nacional de Bases de Datos - RNBD, administrado por la Superintendencia de Industria y Comercio, es el directorio público de las bases de datos personales sujetas a tratamiento que operan en el país, cuyo objeto es dar publicidad en esta materia y supervisar la efectiva protección de los derechos de los titulares.

Así, el Capítulo 26 del Decreto Único 1074 de 2015 y el Capítulo 2 del Título V de la Circular Única de la Superintendencia de Industria y Comercio, reglamentaron la información mínima que debe contener el RNBD, así como los términos y condiciones bajo los cuales las entidades públicas, Responsables del Tratamiento, deberán inscribir las bases de datos.

Ahora bien, teniendo en cuenta que el artículo 2.2.2.26.3.1 del Decreto 1074 de 2015, modificado por el artículo 2 del Decreto Nacional 090 de 2018, establece en particular el plazo para que la inscripción de las bases de datos en el RNBD, la Secretaría Jurídica Distrital, en el marco de las funciones establecidas en el artículo 3° del Decreto Distrital 323 de 2016, fija los siguientes lineamientos a fin de garantizar el cumplimiento de la citada disposición por parte de las entidades públicas:

1. Definición de base de datos

Se entenderá por base de datos el conjunto organizado de datos personales en medio físico o electrónico que sea objeto de Tratamiento, esto es, cualquier operación o conjunto de operaciones sobre los datos personales, como la recolección, almacenamiento, uso, circulación, supresión, actualización y/o eliminación, independientemente de la cantidad de datos personales que contenga.

2. Información mínima del Registro Nacional de Bases de Datos - RNBD

Las bases de datos inscritas deberán tener como mínimo la siguiente información:

1. Datos de identificación, ubicación y contacto del Responsable[1] del Tratamiento de la base de datos:

2. Datos de identificación, ubicación y contacto del o de los Encargados[2] del Tratamiento de la base de datos.

3. Canales para que los titulares ejerzan sus derechos: Las entidades públicas deberán poner a disposición de los ciudadanos y titulares de los datos personales, los medios de recepción y atención de peticiones, consultas y reclamos a fin de garantizar el derecho a conocer, actualizar, rectificar y suprimir los datos personales contenidos en las bases de datos. Estos canales deberán prever, como mínimo, la posibilidad de que el titular ejerza sus derechos a través del mismo medio por el cual fue recogida su información, dejando constancia de la recepción y trámite de la respectiva solicitud.

En caso de que el Tratamiento de datos lo realice el Encargado, el Responsable registrará la información de contacto del Encargado con el fin de que el titular pueda adelantar ante este el ejercicio de sus derechos, sin perjuicio de la posibilidad que tiene de acudir directamente ante el Responsable del Tratamiento.

4. Nombre y finalidad de la base de datos: El Responsable del Tratamiento identificará cada una de las bases de datos que inscriba, de acuerdo con la finalidad para la cual fue creada. El nombre será de libre elección del Responsable y la finalidad se limitará a la lista "Descripción de la finalidad" entregada por la Superintendencia de Industria y Comercio.

5. Forma de Tratamiento de la base de datos (manual y/o automatizada): Los datos personales contenidos en bases de datos podrán ser tratados de forma automatizada o manual. Son bases de datos manuales los archivos cuya información se encuentra organizada y almacenada de manera física y bases de datos automatizadas aquellas que se almacenan y administran con ayuda de herramientas informáticas.

En caso de que una base de datos automatizada tenga un respaldo en archivo físico, se entenderán como dos bases de datos diferentes, toda vez que la disposición, medidas de seguridad o controles implementados aplican de forma diferente y, por lo tanto, cada una se deberá inscribir de forma independiente.

6. Política de Tratamiento de la información: Las entidades públicas deberán registrar la respectiva política de Tratamiento de la información. La inscripción de la política no eximirá al Responsable del Tratamiento de su deber de ponerla en conocimiento de los Titulares.

7. Información almacenada en la base de datos. Las entidades deberán clasificar los datos personales almacenados en cada base de datos, agrupados por categorías y subcategorías, de acuerdo con su naturaleza (datos de identificación, ubicación, socioeconómicos, sensibles, etc.)

8. Medidas de seguridad de la información. Las entidades públicas deberán registrar las medidas de seguridad y/o los controles implementados para minimizar los riesgos y garantizar la seguridad de la base de datos que está registrando.

9. Procedencia de los datos personales. Las entidades deberán identificar si los datos son recolectados del Titular de la información o suministrados por terceros y si cuentan con la autorización para el tratamiento o, por el contrario, existe una causal de exoneración, de conformidad con el artículo 10 de la Ley 1581 de 2012.

10. Reporte de Novedades: Una vez finalizada la inscripción de la base de datos en el RNBD, las entidades deberán reportar como novedades:

i) Los reclamos realizados por los titulares de los datos de las bases registradas dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto (semestre calendario)

ii) Los incidentes de seguridad presentados, esto es, cualquier violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de datos personales que sean objeto de Tratamiento, dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos[3].

3. Plazo de inscripción

En cumplimiento del artículo 2 del Decreto 080 de 2018, las entidades públicas deberán inscribir de forma independiente, cada una de sus bases de datos en el Registro Nacional de Bases de Datos - RNBD a más tardar el treinta y uno (31) de enero de 2019.

Las bases de datos que se creen con posterioridad al vencimiento del plazo referido deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación.

4. Recomendaciones generales

Antes de adelantar el registro, se recomienda realizar el inventario de las bases de datos, manuales o automatizadas, con información personal teniendo en cuenta los siguientes criterios:

- Cantidad de bases de datos

- Cantidad de titulares por cada base de datos. La cantidad corresponderá no al número de registros sino a la cantidad de titulares o personas naturales cuyos datos personales se almacenen en la base de datos a inscribir.

- Información detallada de los canales o medios que se tienen previstos para atender las solicitudes de los titulares.

- Tipo de datos personales contenidos en cada base de datos (datos de identificación, ubicación, socioeconómicos, sensibles, etc.)

- Ubicación física de las bases de datos (archivadores y/o servidores, internos o externos a las instalaciones físicas del responsable).

- Medidas de seguridad y/o controles implementados en la base de datos para minimizar los riesgos y garantizar la seguridad de la base de datos a registrar.

- Información sobre la autorización de los titulares de los datos contenidos en las bases de datos.

- Forma de obtención de los datos (directamente del titular o mediante terceros).

- Políticas de tratamiento de la información.

- Nombre y finalidad de la base de datos

- Si el tratamiento de la información, se realiza a través de un Encargado, se requerirá su Identificación y ubicación.

5. Áreas encargadas

Para adelantar el inventario, se recomienda contar con las secretarías generales y las áreas de gestión corporativa a fin de establecer criterios para la recolección de la información y consolidar el inventario de la entidad. Lo anterior, sin perjuicio de que internamente las entidades adopten una organización distinta para tal fin.

6. Procedimiento de inscripción en el Registro Nacional de Bases de Datos - RNBD

Los Responsables del Tratamiento de datos personales, deberán inscribir sus bases de datos en el RNBD, siguiendo las instrucciones contenidas en el "Manual del Usuario del Registro Nacional de Bases de Datos - RNBD" publicado en el sitio Web de la Superintendencia de Industria y Comercio, www.sic.gov.co. > Protección de Datos Personales > Registro Nacional de Bases de Datos.

7. Actualización de la información contenida en el Registro Nacional de Bases de Datos - RNBD

A partir del 2020, la información contenida en el Registro Nacional de Bases de Datos - RNBD deberá actualizarse anualmente, entre el 2 de enero y el 31 de marzo.

A partir de la inscripción de la base de datos y cuando se realicen cambios sustanciales relacionados con i) la finalidad, ii) el Encargado del Tratamiento, iii) los canales de atención al Titular, iv) la clasificación o tipos de datos personales almacenados en cada base de datos, v) las medidas de seguridad de la información implementadas o vi) la Política de Tratamiento de la Información, la entidad deberá actualizar la información dentro de los primeros diez (10) días hábiles de cada mes.

8. Incumplimiento

De conformidad con el artículo 23 de la Ley 1581 de 2012, en el evento en que la Superintendencia de Industria y Comercio advierta un presunto incumplimiento por parte de las entidades públicas, remitirá la actuación a la Procuraduría General de la Nación a fin de que adelante la investigación respectiva.

En caso de requerir ayuda adicional, se podrán comunicar a la línea gratuita nacional de la Superintendencia de Industria y Comercio 018000-910165 o al call center (571) 5920400 para resolver inquietudes y dudas puntuales.

Finalmente, vale la pena señalar que el éxito del registro dependerá de la coordinación y planeación en los procesos internos de recolección, almacenamiento, utilización y administración de los datos.

DALILA ASTRID HERNÁNDEZ CORZO

Secretaria Jurídica Distrital

NOTAS DE PIE DE PÁGINA