La reglamentación del registro de bases de datos

Son de resaltar los objetivos que vienen a cumplirse con el Registro Nacional de Bases de Datos como instrumento orientador del estado actual del fenómeno de los datos personales y su tratamiento automatizado o no. Este primer factor nos lleva a entender que este nuevo proceso no comporta la construcción de un repositorio central de bases de datos, sino, como bien lo indica el artículo 25 de la Ley 1581 del 2012, el mismo es un directorio público de las bases de datos sujetas a tratamiento que operan en el país y el cual será administrado por la Superintendencia de Industria y Comercio (SIC).

Frente al cuerpo del Decreto 886 del 2014, se resalta que el mismo guarda alta coincidencia con el proyecto de decreto presentado a consideración el año anterior. Solamente fue eliminado de la información mínima del registro lo relativo a la “vigencia de la base de datos”. Recuérdese en todo caso que todo tratamiento está sujeto a la temporalidad definida por el responsable y las condiciones particulares de las actividades sobre los datos. Por tanto, sigue siendo necesario mantener presente que no pueden existir tratamientos infinitos e indefinidos, y en la conceptualización en cuanto a la finalidad, el tratamiento debe acotarse también en su sujeción temporal.

El capítulo II define los elementos mínimos que contendrá el registro, sin perjuicio de que la SIC establezca mayores condiciones en cuanto a información en el proceso de registro. Los artículos 6º y 7º establecen las condiciones en que responsable y encargado presentarán la información del registro. Obsérvese que como sujetos obligados, ambos actores procederán a realizar labores sobre el tratamiento que ejercen, lo cual, por efectos operativos, conducirá indefectiblemente a que exista correlación en bases de datos cuando se trate de un dato personal registrado de forma asincrónica, tanto por un responsable como por el encargado. Debemos anotar que el titular podrá escoger a su arbitrio frente a quién presenta reclamación, pudiendo acudir directamente al responsable del tratamiento.

El artículo 8º merece un poco más de análisis, en lo relacionado con los canales para el ejercicio de derechos, ya que la experiencia práctica vivida con ocasión de las actividades del artículo 10 del Decreto 1377 del 2013 hacen prever, al menos como algo factible, el que nuevamente se generen inconvenientes operativos para los sujetos en la actividad del registro. No es totalmente claro en la redacción del mencionado artículo  cómo pueden los sujetos obligados cumplir con la obligación de mantener el mismo canal por el que se recogió inicialmente el dato. Es bien sabido que los canales se sujetan a la realidad técnica y operativa al momento de la recolección, lo cual, en muchos casos, es imposible de mantener o reproducir con exactitud en un momento ulterior.

Los artículos 9º, 10 y 11 representan la realidad frente al tratamiento adecuado de datos personales por las empresas y organizaciones, toda vez que recogen dos elementos fundamentales a la hora de las actividades con esos datos. Uno es la identificación (nombre y finalidad), que obedece al proceso de clasificación y calificación que deberá realizar el sujeto obligado con el fin de hacer la inscripción de forma correcta al registro nacional de bases de datos y, en segunda medida, esta nominación debe estar acorde con la finalidad para la cual fueron recabados los datos personales. El artículo 10 establece las formas de tratamiento, esto es, la modalidad en la que se ejerce el procesamiento de los datos. En términos generales, habrá tratamiento automatizado o tratamiento manual. Por su parte, el artículo 11 establece frente a las políticas de tratamiento plena coincidencia con los artículos 25 de la Ley 1581 y el 13 del Decreto 1377 como documento estructural y de obligatoria observancia para los responsables, dada la fuerza vinculante de las disposiciones de la política frente a la empresa que las formula.

Por otra parte, el capítulo III establece algunos aspectos procedimentales frente a la actividad del registro. Llama la atención el cambio frente al proyecto de decreto en cuanto a la fecha inicial para el registro, el cual pasó de seis meses a un año, que deberá contarse desde que la SIC lo abra. Menciona el artículo que la entidad además impartirá otras instrucciones que, suponemos, se relacionan con aspectos formales tales como: plazos para el registro, proceso de identificación y autenticación de los usuarios, así como otros requisitos, como lo menciona el artículo 12 del decreto. El proceso de actualización de la información se realizará en un plazo máximo de dos meses.

Por último, es importante resaltar que si bien aún no se han expedido las recomendaciones en materia de medidas de seguridad de orden tecnológico, es cierto que a voces del artículo 26 del Decreto 1377, hoy toda empresa en Colombia debe tratar datos personales con medidas que impidan su pérdida, adulteración o fuga, y que dichas medidas técnicas deberán estar acordes con la naturaleza y tipología de datos personales, el tamaño de la empresa y los riesgos potenciales que el tratamiento podría causar sobre los derechos de los titulares. Sabemos que la Delegatura de Protección de Datos viene trabajando en las recomendaciones de índole técnica, y como se ha expresado en distintas ocasiones, la norma obliga a las empresas a contar con medidas de seguridad, pero no estaría de más el tener un lineamiento sobre los estándares a utilizar en el resguardo de la información.

Iván Darío Marrugo

Abogado, Marrugo Rivera &Asociados

*Texto resumido