El 18 de enero de 2018 se emitió el Decreto 090, por medio del cual se modificaron las reglas de juego para la inscripción de bases de datos ante el Registro Nacional de Bases de Datos administrado por la Superintendencia de Industria y Comercio. Los cambios se orientan fundamentalmente a la reducción de los obligados y a la definición de nuevos plazos para el cumplimiento, atendiendo a criterios de orden patrimonial y de naturaleza jurídica.
De esta manera, los obligados al registro ahora serán:
· Sociedades comerciales con activos totales superiores a 100.000 UVT
· Entidades sin ánimo de lucro con activos totales superiores a 100.000 UVT
· Personas jurídicas de naturaleza pública en consecuencia, las sociedades y ESAL con activos por un monto inferior a 100.000 UVT y las personas naturales no están ya obligadas a realizar el señalado registro. No obstante, ello no las releva de cumplir los deberes previstos en la Ley 1581 de 2012 y su reglamento compilado en el Decreto 1074 de 2015.
Por lo tanto, deben tener Políticas de tratamiento de la información, autorizaciones para el tratamiento de datos, medidas adecuadas de seguridad de la información, cláusulas de confidencialidad y protección de datos, así como contar con un área o persona a cargo de protección de datos para la atención de consultas y reclamos en tanto mecanismos para el ejercicio de los derechos de hábeas data de los titulares, entre otras obligaciones tales como el cumplimiento del principio de Responsabilidad Demostrada.
De otra parte, en relación con los plazos máximos de registro, quedaron de la siguiente manera:
30 DE SEPTIEMBRE DE 2018
· Sociedades comerciales con activos totales a partir de 610.000 UVT
· Entidades sin ánimo de lucro con activos totales a partir de 610.000 UVT
31 DE ENERO DE 2019
· Personas jurídicas de naturaleza pública
30 DE NOVIEMBRE DE 2018
· Sociedades comerciales con activos totales entre 100.000 y 610.000 UVT
· Entidades sin ánimo de lucro con activos totales entre 100.000 y 610.000 UVT
UNIÓN ENTRE PRIVACIDAD Y SEGURIDAD
Es importante resaltar que el cambio de plazos no significa que una empresa no tenga la necesidad de contar con procesos fuertes en temas de seguridad y privacidad de la información. En la actualidad se vuelve una necesidad entender que los procesos de protección de datos han evolucionado a temas técnicos y que deben ser integrados con seguridad de la información.
El cambio del plazo en el registro da una oportunidad a las empresas de entender sus riesgos en protección de datos y seguridad de la información, como a crear sistemas integrales de protección de datos con temas de calidad, riesgos, indicadores y fundamentados en responsabilidad demostrada.
Por Diego Arévalo, Director Jurídico Cloud Seguro