Mediante Circular Externa No. 3 del primero de agosto de 2018, la Superintendencia de Industria y Comercio (SIC) indicó que las personas no obligadas a realizar el registro de sus bases de datos en el registro nacional de bases de datos (RNBD), conforme los parámetros del Decreto 90 de 2018, siguen estando obligadas a dar cumplimiento a las demás obligaciones establecidas en la Ley 1581 de 2012 sobre protección de datos personales, dentro de las que se encuentran las de obtener autorización por parte del titular para el tratamiento de sus datos, establecer políticas y procedimientos para su tratamiento, así como dar oportuna respuesta a las consultas, reclamos y peticiones presentadas por los titulares de los datos personales. 

Adicionalmente, estableció una nueva obligación para las personas no obligadas a realizar el registro de las bases de datos, bien sea que tengan la calidad de responsables o encargados de conformidad con la Ley 1581. Dispone la Circular comentada que los no obligados deberán realizar el reporte de los incidentes de seguridad que afecten la información contenida en las bases de datos, mediante el aplicativo dispuesto para tal fin en la página de la SIC o mediante los canales habilitados por la entidad para recibir comunicaciones, dentro de los 15 días hábiles siguientes al momento en que se detecten o conozcan los incidentes.

 

Por su parte, la Circular fijó las fechas en las cuales se deberá realizar la actualización de la información registrada en el RNBD, así:

 

• Dentro de los 10 días hábiles de cada mes, a partir de la inscripción, cuando se realicen cambios sustanciales en la información reportada, definiendo por cambio sustancial los relacionados con la finalidad de las bases de datos, el encargado, los canales de atención del titular, la clasificación de los datos personales, las medidas de seguridad, la política y la transferencia y transmisión internacional de datos personales.
• Anualmente, entre el 2 de enero y el 31 de marzo, a partir del 2020.
• Dentro de los 15 primeros días hábiles de los meses de febrero y agosto de cada año, los responsables obligados a realizar el registro deben actualizar la información de los reclamos presentados por los titulares.

   

Finalmente la entidad enfatizó el vencimiento de los plazos para realizar el respectivo registro:

 

• 30 de septiembre de 2018 para los responsables, sociedades y entidades sin ánimo de lucro, que tengan activos totales superiores a 610.000 UVT.
• 30 de noviembre de 2018, para los responsables, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 y hasta 610.000 UVT.
• 31 de enero de 2019 para las personas jurídicas de naturaleza pública

Fuente:

Superintendencia de Industria y Comercio, Circular Externa No. 3 del primero de agosto de 2018