Analytics

jueves, 1 de junio de 2017

Nuevo plazo para registrar las bases de datos personales en Colombia

Hace unos días (el 4 de mayo) que participé en una de las formaciones que dicta la Superintendencia de Industria y Comercio en relación con el Registro Nacional de Bases de Datos Personales, durante la sesión de preguntas y respuestas los instructores invitaron a uno de los profesionales del equipo legal que apoya los procesos relacionados con este tema internamente para apoyar la tarea y ser formales en las respuestas entregadas, en alguna de las preguntas de los participantes, el abogado fue enfático en afirmar que el Gobierno Nacional no daría más plazos para el registro.


Sin embargo, al navegar en la página web de la Superintendencia de Industria y Comercio (http://www.sic.gov.co/) encontramos un banner que ocupa el 70% de la página principal donde presenta el borrador del decreto con el que se dará un nuevo aplazamiento para el cumplimiento de la obligación de declarar las bases de datos personales.

Al revisar el proyecto podemos encontrar que se mantiene la consideración inicial del primer aplazamiento (decreto 1759 de 2016), pero se incluye un nuevo elemento a considerar para tomar esta determinación y es el hecho de que menos del 25% del total de los sujetos obligados a hacer el registro lo han hecho.

Si analizamos las consideraciones para este aplazamiento deberíamos llegar a algunas conclusiones alarmantes: la primera sería que la tarea de divulgación y socialización, no se ha realizado de acuerdo al mandato de la ley y, esta es una obligación del Estado a través de las entidades que lo representan, esto representa una acción que debería ser verificada por las entidades de control.

El segundo tema a considerar es: si los obligados a reportar mantienen la indisciplina, el Gobierno seguirá dando plazos de manera indefinida, deslegitimando el proceso y pisoteando un trabajo que le ha costado mucho esfuerzo al mismo Gobierno para lograr la protección de la información de sus ciudadanos.

Y finalmente, tantos aplazamientos pueden significar una falta de visión, un análisis pobre de las causas de los incumplimientos y una planeación inadecuada, ya que una simple ampliación de plazos no va a asegurar que al final del ciclo se logre el objetivo si no se plantean u ofrecen mecanismos que garanticen el cumplimiento de la norma.

El decreto entonces, se queda corto porque no le da a la Superintendencia herramientas adicionales para mejorar la “divulgación y socialización” y si a la fecha menos del 25% de los responsables han hecho la tarea, ¿qué hace pensar que en 6 meses lo hará el 75% faltante si la ampliación anterior fue similar y no se logró el propósito?

No sería mejor ofrecer un plazo mayor brindando recursos adicionales para que la Superintendencia pueda ofrecer herramientas, plantillas, guías y ejemplos específicos a aquellas empresas que por su tamaño no tienen la capacidad para hacer un análisis juicioso sobre el estado de la protección de datos al interior de las empresas.

Si no se plantean mecanismos de apoyo es mejor no seguir dando plazos y dedicar los recursos a verificar el cumplimiento de una ley que ya va a cumplir 5 años, que ahora se amplían quedando con los siguientes plazos :
  • Los Responsables del Tratamiento, personas jurídicas de naturaleza privada y sociedades de economía mixta inscritas en las cámaras de comercio del país, deberán realizar la referida inscripción a más tardar el 31 de enero de 2018, de acuerdo con las instrucciones que para el efecto imparta la SIC.
  • Los Responsables del Tratamiento, personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio, deberán inscribir sus bases de datos en el Registro Nacional de Bases de Datos a más tardar el 31 de enero de 2019, conforme con las instrucciones impartidas para tales efectos por la SIC.
Las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos en los literales a) y b), deberán inscribirse dentro de los 2 meses siguientes, contados a partir de su creación.


Autor: Javier Roberto Amaya Madrid, ISO 27001 LA, PCI QSA, PCI PCIP
Consultor en Seguridad