El 18 de enero se publicó un nuevo decreto en relación con el registro de las bases de datos personales ante la Superintendencia de Industria y Comercio, este es el Decreto 090 del 18 de enero de 2018, por el cual se modifican los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio Industria y Turismo.
Dentro de las consideraciones existe una que se había anticipado en un artículo anterior: seguimos con un porcentaje de responsables que han hecho su registro menor al 25% (misma cifra argumentada los decretos anteriores), es decir, volvemos a la alarmante conclusión de que la Superintendencia no ha cumplido con su labor de socialización y divulgación de acuerdo al mandato de ley y, teniendo en cuenta que este es el tercer aplazamiento, se puede prever que exista un cuarto o quinto ya que no se ven intenciones de parte de la Superintendencia por cambiar o mejorar los programas de difusión que, por lo visto, tampoco están siendo monitoreadas por los entes de control.
Ahora, para hacer que el universo de aplicación de la obligación de registro y vigilancia se vea más pequeño y poder mostrar un cumplimiento más grande, además, enmascarándolo con la campaña anti-trámites (ver imagen tomada de www.sic.gov.co), se ha decidido exonerar del registro a algunos tipos de entidades. Con esto la Superintendencia presentará un porcentaje de cumplimiento de registro de base de datos significativamente mayor al 25% sin haber realizado una gestión diferente (y probablemente sin aumentar el número de bases de datos registradas). Desafortunadamente a día de hoy la SIC1 no ha dado cifras sobre el número de empresas que han registrado sus bases de datos, desagregando esta información en los rangos o criterios que hoy está usando para hacer la reducción del universo, ni está dando la magnitud de cada uno de los rangos. La no publicación de estas cifras nos hace presumir que los porcentajes de declaración de bases de datos que se publicarán en próximas fechas estén desvirtuados por el hecho que el universo de afectados por la obligatoriedad de registro se haya reducido drásticamente, y no tanto por la cantidad de registros realizados, por lo que el factor determinante para hacer subir los porcentajes de declarantes no será que las declaraciones se hayan realmente incrementado de un día para otro tras la publicación de este nuevo decreto.
Para hacer la reducción del universo se usan algunos criterios de definición de micro, pequeña y mediana empresa que vienen de la Ley 905 de 2004, estos son:
- Mediana empresa: activos totales entre 100.000 y 610.000 UVTs2 .
- Pequeña empresa: activos totales entre 501 y 5.000 SMMLV3.
- Microempresa: activos totales menores a 500 SMMLV.
De acuerdo con el nuevo decreto, serán objeto de inscripción en el Registro Nacional de Bases de Datos, aquellas empresas que son responsables y caigan dentro una de las siguientes características:
- Sociedades y entidades sin ánimo de lucro con activos superiores a 100.000 UVTs.
- Personas jurídicas de naturaleza pública.
Y los plazos se ajustan así:
- 30 de septiembre de 2018: Sociedades y entidades sin ánimo de lucro con activos superiores a 610.000 UVTs.
- 30 de noviembre de 2018: Sociedades y entidades sin ánimo de lucro con activos totales entre 100.000 y 610.000 UVTs.
- 31 de enero de 2019: Personas jurídicas de naturaleza pública.
Afortunadamente, encontramos que se mantiene la obligación de cumplir la norma en cuanto al programa de protección de datos personales para todos y que está obligación está vigente desde el momento de la expedición del Decreto 1377 del 27 de junio de 2013. Lo único que se le quitó a las pequeñas y micro empresas fue la obligación de registrar las bases de datos en el RNBD4.
El problema más grande de este planteamiento es que, bajo el criterio de reducir el alcance de vigilancia, se deja de lado el monitoreo de las empresas donde suele haber un mayor desorden y disciplina en el manejo de las bases de datos personales y donde existe una menor cantidad de recursos para llevar el control de estos datos, esto también puede estar excluyendo de declarar a empresas que tienen el manejo de información bastante sensible como por ejemplo datos médicos, información de menores, datos socio-económicos, información sobre raza, religión, situación de desplazamiento, entre otros. Un ejemplo de esta situación se puede ver en la Resolución 13790 de 20165 de la SIC, donde podemos ver que no es un caso hipotético sino un evento de la realidad Colombiana que ya ha sido sancionado; en caso de una brecha en una entidad de este tipo se puede afectar de manera importante a las personas; igualmente, se deja de lado el criterio del volumen de las bases de datos, que podría ser un factor determinante a la hora de tener que hacer el registro de las bases de datos, porque es un hecho que una empresa pequeña puede tener a su cargo cientos de miles de registros, un ejemplo notable es la sanción definida en la Resolución 15339 de 20166 de la SIC. Ahora, como no hay que registrar las bases de datos en muchas empresas ¿Quién va a proteger los derechos de los ciudadanos en referencia al manejo de bases de datos personales y la Superintendencia busca reducir su tarea?
Por otro lado, debemos revisitar el tema de que si los obligados a reportar mantienen la indisciplina y el Gobierno, a través de sus organismos, no obliga al cumplimiento y continúa dando plazos de manera indefinida, seguirá deslegitimando el proceso y devaluando un trabajo que le ha costado mucho esfuerzo al mismo Gobierno para lograr la protección de la información de sus ciudadanos.
Una nota para pensar: tantos aplazamientos pueden significar una falta de visión, un análisis pobre de las causas de los incumplimientos y una planeación inadecuada por parte del Superintendente, ya que la reducción del universo y una ampliación de plazo no va a asegurar que al final del ciclo se logre el objetivo, es necesario plantear estrategias y definir mecanismos que garanticen que el cumplimiento de la norma será efectivo y generará sanciones a quienes no lo hagan.
Volvemos a tener un decreto que se queda corto porque no le da a la Superintendencia herramientas adicionales para mejorar las capacidades de “divulgación y socialización”, y si a la fecha después de dos aplazamientos, estando a punto de culminar el segundo plazo, tenemos que menos del 25% de los responsables han hecho la tarea, ¿Qué hace pensar que en 8 meses lo hará el 75% faltante si la ampliación anterior fue similar y no se logró el propósito?.
A la fecha no se ha visto que la Superintendencia esté cambiando sus mecanismos de difusión, ni que facilite la implementación con recursos adicionales, como, por ejemplo, ofrecer herramientas, plantillas, guías y ejemplos específicos a aquellas empresas que por su tamaño no tienen la capacidad para hacer un análisis juicioso sobre el estado de la protección de datos al interior de las empresas.
Para mayor información sobre el decreto y el proceso de registro de bases de datos visitar la página de la Superintendencia de Industria y Comercio: http://www.sic.gov.co/gobierno-nacional-reduce-universo-de-obligados-a-cumplir-el-registro-de-bases-de-datos-ante-superintendencia-de-industria-y-comercio.
1Superintendencia de Industria y Comercio
2Unidad de Valor Tributario
3Salario Mínimo Mensual Legal Vigente
4Registro Nacional de Bases de Datos
5www.sic.gov.co/sites/default/files/files/Res%20No_%2013790%20de%202016%20-%20SERGIO%20GUZMAN%20MUNOZ.pdf
6http://www.sic.gov.co/sites/default/files/files/Res%20No_%2015339%20de%202016%20-%20LUIS%20EDUARDO%20PALACIO.pdf
Autor: Javier Roberto Amaya Madrid
3Salario Mínimo Mensual Legal Vigente
4Registro Nacional de Bases de Datos
5www.sic.gov.co/sites/default/files/files/Res%20No_%2013790%20de%202016%20-%20SERGIO%20GUZMAN%20MUNOZ.pdf
6http://www.sic.gov.co/sites/default/files/files/Res%20No_%2015339%20de%202016%20-%20LUIS%20EDUARDO%20PALACIO.pdf
Autor: Javier Roberto Amaya Madrid
CISM, ISO 27001 LA, PCI QSA, PCI PCIP
Dpto. Consultoría
