Conozca la normativa sobre Habeas Data

El bufete de abogados Marrugo Rivera y Asociados - FuturLex explica en este artículo en qué consiste el decreto reglamentario 886 (mayo de 2014) que pone en marcha el Registro Nacional de Bases de Datos en Colombia. Este decreto se une al 1377 de 2013 sobre el mismo tema.

La Ley de Protección de Datos es de obligatorio cumplimiento para las empresas colombianas que manejan datos personales de clientes, proveedores o usuarios de sus páginas web.

El Registro Nacional de Bases de Datos es un instrumento orientador sobre la recolección de datos personales y su tratamiento (automatizado o no).

El directorio público de las bases de datos es administrado por la Superintendencia de Industria y Comercio y, por tanto, los titulares de datos personales pueden acceder a esta información.

Frente al cuerpo del decreto se resalta que el mismo guarda alta coincidencia con el proyecto de decreto presentado a consideración el año anterior. Solamente fue eliminado de la información mínima del registro lo relativo a la "vigencia de la base de datos"; de manera que, en cualquier caso, todo tratamiento está sujeto a la temporalidad definida por el responsable y las condiciones particulares de las actividades sobre los datos.

A tener en cuenta

• No pueden existir tratamientos infinitos e indefinidos de los datos.
• La finalidad del tratamiento de los datos debe acotarse también en tiempo. Recomendamos revisar el capítulo II del Decreto 886 que define los elementos mínimos que contendrá el Registro.
• Los artículos 6 y 7 del Decreto establecen las condiciones en que el responsable y encargado presentarán la información del Registro: como sujetos obligados, ambos actores deben realizar labores sobre el tratamiento que ejercen, de manera que a efectos operativos existe correlación en las bases de datos cuando se trate de un dato personal registrado de forma asincrónica (diferida) tanto por un responsable como por el encargado.
• El articulo 8 merece un poco más de análisis en lo relacionado con los canales para el ejercicio de derechos ya que la experiencia práctica vivida con ocasión de las actividades del artículo 10 del Decreto 1377, hacen prever que nuevamente se generen inconvenientes operativos para los sujetos en la actividad del registro. No queda claro cómo pueden los sujetos obligados cumplir con la obligación de mantener el mismo canal por el que se recogió inicialmente el dato.

• Es bien sabido que los canales se sujetan a la realidad técnica y operativa al momento de la recolección, lo cual en muchos casos es imposible de mantener o reproducir con exactitud en un momento ulterior. Es decir, que no necesariamente el canal utilizado en la recolección de datos, como por ejemplo en una rifa, es el canal más adecuado en un momento posterior y la obligación de mantener dicho canal supondría una carga desproporcionada para el responsable.
• Los artículos 9, 10 y 11 del decreto, representan la realidad frente al tratamiento adecuado de datos personales por las empresas y organizaciones toda vez que recogen dos elementos fundamentales a la hora de las actividades con datos personales. Uno es la identificación (Nombre y finalidad) que obedece al proceso de clasificación y calificación que deberá realizar el sujeto obligado con el fin de hacer la inscripción de forma correcta al Registro nacional de bases de datos y en segunda medida esta la nominación, que debe estar acorde con la finalidad para la cual fueron recabados los datos personales.
• El artículo 10 establece las formas de tratamiento, esto es, la modalidad en la que se ejerce el procesamiento de los datos. En términos generales habrá tratamiento automatizado o tratamiento manual – no automatizado.
• El proceso de actualización de la información se realizará en un plazo máximo de 2 meses.
• Por último, es importante resaltar que si bien aún no se han expedido las recomendaciones en materia de medidas de seguridad de orden tecnológico, es cierto que a voces del Art. 26 del Decreto 1377 de 2013, hoy toda empresa en Colombia debe tratar datos personales con medidas que impidan su pérdida, adulteración o fuga y que dichas medidas técnicas deberán estar acordes con la naturaleza y tipología de datos personales, el tamaño de la empresa y los riesgos potenciales que el tratamiento podrían causar sobre los derechos de los titulares.
• Sabemos que la Delegatura de Protección de Datos viene trabajando en las recomendaciones de índole técnica y como se ha expresado en distintas ocasiones, la norma obliga a las empresas a contar con medidas de seguridad, pero no estaría de más el tener un lineamiento sobre los estándares a utilizar en el resguardo de la información.