Superintendencia de Industria y Comercio

CIRCULAR EXTERNA 1 DE 2016

(Noviembre 8)

Asunto: Modificar el capítulo segundo del título V de la Circular Única de la Superintendencia de Industria y Comercio.

1. Objeto.

Impartir instrucciones a los responsables del tratamiento de datos personales, personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio, para efectos de realizar la inscripción de sus bases de datos en el Registro nacional de bases de datos (RNBD).

2. Fundamento legal.

El artículo 19 de la Ley 1581 de 2012, régimen general de protección de datos personales, designa a la Superintendencia de Industria y Comercio como la autoridad de protección de datos y dispuso que esta entidad “ejercerá la vigilancia para garantizar que en el tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley”.

El artículo 21 de la Ley 1581 de 2012, establece las funciones a cargo de la Superintendencia de Industria y Comercio, entre las que se encuentran “(v)elar por el cumplimiento de la legislación en materia de protección de datos personales”, “(i)mpartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los responsables del tratamiento y encargados del tratamiento a las disposiciones previstas en la presente ley”, “(s)olicitar a los responsables del tratamiento y encargados del tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones”, y “(a)dministrar el Registro nacional público de bases de datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento”.

Para el adecuado cumplimiento de sus funciones de vigilancia en materia de protección de datos personales, la Superintendencia de Industria y Comercio diseñó el sistema integral de supervisión inteligente (SISI) basado en riesgos, el cual está compuesto por diferentes procesos, entre ellos, el de recolección de información acerca de las bases de datos personales sujetas a tratamiento que operan en el país.

El artículo 25 de la Ley 1581 de 2012 creó el Registro nacional de bases de datos (RNBD), el cual define como el directorio público de las bases de datos personales sujetas a tratamiento que operan en el país y dispuso que sea administrado por la Superintendencia de Industria y Comercio.

El capítulo 26 del Decreto Único 1074 de 2015 reglamentó el artículo 25 de la Ley 1581 de 2012 y estableció la información mínima que debe contener el registro, así como los términos y condiciones de inscripción. En particular, en el artículo 2.2.2.26.2.1, el citado decreto señaló que “(l)a Superintendencia de Industria y Comercio, como autoridad de protección de datos personales, podrá establecer dentro del Registro nacional de bases de datos información adicional a la mínima prevista en este artículo, acorde con las facultades que le atribuyó la Ley 1581 de 2012 en el literal h) del artículo 21”. Así mismo, en el artículo 2.2.2.26.3.2 dispuso que “(l)a Superintendencia de Industria y Comercio establecerá el procedimiento de inscripción en el Registro nacional de bases de datos que deberán cumplir los responsables del tratamiento, previa validación de su identidad, de acuerdo con lo que para el efecto establezca esa entidad”.

Por lo expuesto, se hace necesario establecer la información adicional que contendrá el Registro nacional de bases de datos (RNBD) y el procedimiento de inscripción (i) para que los responsables del tratamiento de datos personales, personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio, cumplan con este deber legal y (ii) la Superintendencia de Industria y Comercio ejerza de manera eficiente sus funciones de vigilancia en materia de protección de datos personales.

Los responsables del tratamiento no cargarán en el Registro nacional de bases de datos (RNBD) sus bases de datos con información personal. Solamente inscribirán la información establecida en el capítulo 26 del Decreto Único 1074 de 2015 y en la presente circular.

3. Instructivo.

Adicionar el capítulo segundo sobre el Registro nacional de bases de datos (RNBD) al título v de la circular única, el cual quedará así:

Capítulo Segundo: Registro nacional de bases de datos (RNBD)

2.5. Información adicional que deberá inscribirse en el Registro nacional de bases de datos (RNBD).

Los responsables del tratamiento, personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio, deben inscribir en el Registro nacional de bases de datos (RNBD) la siguiente información, además de la establecida mediante el capítulo 26 del Decreto Único 1074 de 2015.

a) Información almacenada en la base de datos. Es la clasificación de los datos personales almacenados en cada base de datos, agrupados por categorías y subcategorías, de acuerdo con la naturaleza de los mismos.

b) Medidas de seguridad de la información. Corresponde a los controles implementados por el responsable del tratamiento para garantizar la seguridad de las bases de datos que está registrando, teniendo en cuenta las preguntas dispuestas para el efecto en el RNBD. Tales preguntas no constituyen de ninguna manera instrucciones acerca de las medidas de seguridad que deben implementar los responsables del tratamiento de datos personales.

c) Procedencia de los datos personales. La procedencia de los datos se refiere a si estos son recolectados del titular de la información o suministrados por terceros y si se cuenta con la autorización para el tratamiento o existe una causal de exoneración, de acuerdo con lo establecido en el artículo 10 de la Ley 1581 de 2012.

d) Transferencia internacional de datos personales. La información relacionada con la transferencia internacional de datos personales comprende la identificación del destinatario como responsable del tratamiento, el país en el que este se encuentra ubicado y si la operación está cobijada por una declaración de conformidad emitida por la delegatura para la protección de datos personales de la Superintendencia de Industria y Comercio o por una causal de excepción en los términos señalados en el artículo 26 de la Ley 1581 de 2012.

e) Transmisión internacional de datos personales. La información relacionada con la transmisión internacional de datos comprende la identificación del destinatario como encargado del tratamiento, el país en el que este se encuentra ubicado, si se tiene un contrato de transmisión de datos en los términos señalados en el artículo 2.2.2.25.5.2 de la sección 5 del capítulo 25 del Decreto Único 1074 de 2015 o si la operación está cobijada por una declaración de conformidad emitida por la delegatura para la protección de datos personales de la Superintendencia de Industria y Comercio.

f) Cesión o transferencia nacional de la base de datos. La información relacionada con la cesión o transferencia nacional de datos incluye la identificación del cesionario, quien se considerará responsable del tratamiento de la base de datos cedida a partir del momento en que se perfeccione la cesión. No es obligatorio para el cedente registrar la cesión de la base de datos. Sin embargo, el cesionario, como responsable del tratamiento, debe cumplir con el registro de la base de datos que le ha sido cedida.

g) Reporte de novedades. Una vez finalizada la inscripción de la base de datos en el RNBD, se reportarán como novedades los reclamos presentados por los titulares y los incidentes de seguridad que afecten la base de datos, de acuerdo con las siguientes reglas:

i) Reclamos presentados por los titulares. Corresponde a la información de los reclamos presentados por los titulares ante el responsable y/o el encargado del tratamiento, según sea el caso, dentro de un semestre calendario (enero-junio y julio-diciembre). Esta información se reportará teniendo en cuenta lo manifestado por los titulares y los tipos de reclamos prestablecidos en el registro. El reporte deberá ser el resultado de consolidar los reclamos presentados por los titulares ante el responsable y el (los) encargado(s) del tratamiento.

ii) Incidentes de seguridad. Se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el responsable del tratamiento o por su encargado, que deberán reportarse al RNBD dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

La información relacionada con las medidas de seguridad, los reclamos presentados por los titulares y los incidentes reportados por los responsables del tratamiento no estará disponible para consulta pública.

2.6. Procedimiento de inscripción en el Registro nacional de bases de datos (RNBD).

Los responsables del tratamiento de datos personales, personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio, deberán inscribir sus bases de datos en el RNBD, de acuerdo con las instrucciones contenidas en el “Manual del usuario del Registro nacional de bases de datos (RNBD)” publicado en el sitio web de la Superintendencia de Industria y Comercio, www.sic.gov.co.

La inscripción se realizará en línea a partir del 9 de noviembre de 2016 en el portal web de esta entidad(1).

De acuerdo con lo establecido en el artículo 2.2.2.26.3.1 de la sección 3 del capítulo 26 del Decreto Único 1074 de 2015, o en la norma que lo modifique o sustituya, dicha inscripción podrá realizarse en cualquier momento dentro del plazo allí señalado, a partir de la fecha en la que la Superintendencia de Industria y Comercio habilite el registro.

A cada base de datos se le asignará un número de radicado, una vez se finalice el procedimiento de inscripción.

La información inscrita en el RNBD estará sujeta a verificación de esta superintendencia.

En el 2017 se habilitará la inscripción en el RNBD de las bases de datos de los responsables del tratamiento con domicilio fuera de Colombia, previa publicación de las instrucciones que para el efecto impartirá esta superintendencia.

2.7. Actualización de la información contenida en el Registro nacional de bases de datos (RNBD).

La información contenida en el RNBD deberá actualizarse, como se indica a continuación:

i) Dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información registrada.

ii) Anualmente, entre el 2 de enero y el 31 de marzo.

Son cambios sustanciales los que se relacionen con la finalidad de la base de datos, el encargado del tratamiento, los canales de atención al titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la política de tratamiento de la información y la transferencia y transmisión internacional de datos personales.

Adicionalmente, dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción, los responsables del tratamiento deben actualizar la información de los reclamos presentados por los titulares, referida en el número (i) del literal g) del numeral 2.1 anterior. El primer reporte de reclamos presentados por los titulares se deberá realizar en el segundo semestre de 2018 con la información que corresponda al primer semestre del 2018”.

4. Vigencia.

La presente circular externa entra a regir a partir de la fecha de su publicación en el Diario Oficial.

N. del D.: La presente circular va dirigida a los responsables del tratamiento de datos personales: personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio.

1 www.sic.gov.co. Se ingresa por el micrositio de “Protección de datos personales” ubicado en la barra horizontal superior, luego “Sobre la Protección de Datos Personales” y, finalmente, “Registro Bases de Datos”, en el menú vertical que se encuentra al lado izquierdo.