Una empresa instala nuevas cámaras de videovigilancia, cambia al responsable del manejo de datos y además recibe varias solicitudes de clientes para eliminar su información personal. Todo ocurre en cuestión de semanas. Nadie en la organización se preocupa demasiado: el sistema funciona, las ventas continúan y los empleados siguen trabajando normalmente.
Meses después llega una notificación de la Superintendencia de Industria y Comercio. La empresa nunca reportó el incidente de seguridad que ocurrió en su servidor, tampoco registró el cambio de responsable de la base de datos ni informó los reclamos de titulares en el Registro Nacional de Bases de Datos.
El problema no es técnico. Es legal.
La Ley 1581 de 2012, el Decreto 1377 de 2013 y el Decreto 1074 de 2015 obligan a reportar incidentes de seguridad, cambios sustanciales en las bases de datos y reclamaciones de titulares.
Muchos descubren estas obligaciones demasiado tarde.
👉 LEE NUESTRO BLOG, te va a sorprender.
Cuando llega mayo y nadie revisa los incidentes ni cambios en el RNBD
Cada año ocurre el mismo fenómeno.
Las empresas recuerdan el Registro Nacional de Bases de Datos en enero o febrero cuando escuchan hablar de la actualización anual. Sin embargo, una vez termina marzo, muchos creen que el tema de Habeas Data quedó resuelto por el resto del año.
Ahí comienza el verdadero riesgo.
La normativa colombiana de protección de datos establece que el cumplimiento del RNBD no es un trámite anual, sino un sistema de seguimiento permanente que obliga a reportar incidentes de seguridad, cambios sustanciales en las bases de datos y reclamos de titulares durante todo el año.
Cuando llegamos a mayo, muchas organizaciones ya han realizado cambios importantes sin reportarlos.
Cambian proveedores tecnológicos.
Nombran un nuevo responsable del tratamiento de datos.
Implementan nuevas bases de datos de clientes o marketing.
Instalan cámaras de videovigilancia.
Reciben solicitudes de eliminación de datos o reclamos de titulares.
Y ninguno de estos eventos se reporta.
El problema es que la Superintendencia de Industria y Comercio no revisa solamente si una empresa registró sus bases de datos.
Revisa si la organización demuestra responsabilidad en el manejo de la información.
El error más común: pensar que el RNBD se revisa una vez al año
Durante más de una década asesorando empresas en cumplimiento de Habeas Data, he visto un patrón repetirse.
El gerente cree que el cumplimiento consiste en tener una política de privacidad publicada en la página web y registrar una base de datos en el sistema de la SIC.
Pero la regulación colombiana es más exigente.
El Decreto 1074 de 2015 establece que las organizaciones deben mantener actualizada la información registrada en el RNBD y reportar eventos relevantes que puedan afectar el tratamiento de datos personales.
Entre esos eventos aparecen tres obligaciones que muchas empresas desconocen.
La primera es el reporte de incidentes de seguridad, que debe realizarse dentro de los quince días hábiles siguientes a su detección cuando una base de datos sufre vulneraciones, accesos no autorizados o pérdida de información.
La segunda obligación corresponde al reporte de cambios sustanciales en las bases de datos inscritas. Cuando ocurre un cambio en el responsable del tratamiento, el encargado del procesamiento, la finalidad del tratamiento o los canales de atención al titular, la organización debe actualizar la información dentro de los diez primeros días hábiles del mes siguiente al cambio.
La tercera obligación corresponde al reporte semestral de reclamos de titulares, que debe realizarse durante los primeros quince días hábiles de febrero y agosto.
Este reporte incluye las solicitudes, quejas o reclamos presentados por ciudadanos respecto al uso de sus datos personales.
Cuando las organizaciones ignoran estas obligaciones, el RNBD deja de ser una herramienta de transparencia y se convierte en una evidencia de incumplimiento.
Lo que la SIC realmente investiga
Muchas empresas creen que la SIC solo sanciona grandes escándalos de fuga de datos.
La realidad es diferente.
Las investigaciones suelen comenzar por situaciones aparentemente simples.
Un ciudadano presenta una queja porque pidió eliminar sus datos y nunca recibió respuesta.
Un residente de un conjunto se queja por cámaras instaladas sin avisos adecuados.
Un cliente descubre que su información fue utilizada para enviar publicidad sin autorización.
A partir de ese momento, la SIC revisa el sistema completo de cumplimiento.
Se analizan políticas de tratamiento.
Se revisan contratos con proveedores.
Se verifica la inscripción y actualización en el RNBD.
Y también se revisa si los incidentes de seguridad o los cambios sustanciales fueron reportados.
En los últimos años, la autoridad ha investigado organizaciones de distintos sectores, desde empresas tecnológicas y operadores de telecomunicaciones hasta entidades financieras, plataformas digitales y empresas de seguridad.
También han existido investigaciones relacionadas con el tratamiento de datos de niños, niñas y adolescentes, donde la ley exige medidas especiales de protección.
En propiedades horizontales el problema suele surgir con los sistemas de videovigilancia.
En comercio electrónico aparece cuando se utilizan bases de datos para campañas de marketing sin autorización válida.
En entidades públicas ocurre cuando se publican bases de datos con información personal en portales institucionales.
El denominador común siempre es el mismo: falta de gobernanza sobre la información.
La responsabilidad demostrada en la protección de datos
La Corte Constitucional colombiana dejó claro, en la Sentencia C-748 de 2011, que el derecho al habeas data es un derecho fundamental.
Esto significa que las organizaciones no solo deben cumplir la ley, sino demostrar que lo hacen.
De ahí surge el concepto de responsabilidad demostrada, adoptado por la Superintendencia de Industria y Comercio.
Este principio exige que las empresas puedan probar que cuentan con mecanismos adecuados para proteger los datos personales.
No basta con tener una política escrita.
La organización debe demostrar que:
existen protocolos para atender reclamos,
los incidentes de seguridad se reportan oportunamente,
las bases de datos registradas se mantienen actualizadas,
y el personal conoce las normas de tratamiento de información.
Cuando estos elementos no existen, la organización queda expuesta a sanciones.
Cómo se ve este problema en una empresa real
Imaginemos una empresa de comercio electrónico en Bogotá.
Durante los últimos dos años ha crecido rápidamente.
Tiene bases de datos de clientes, proveedores, campañas de marketing y servicio al cliente.
Un día decide contratar un nuevo proveedor tecnológico que gestionará su plataforma de ventas.
El proveedor tendrá acceso a la base de datos de clientes.
Ese cambio convierte al proveedor en encargado del tratamiento de datos personales.
La empresa nunca reporta ese cambio en el RNBD.
Meses después ocurre una vulneración en la plataforma.
Un atacante logra acceder a información de clientes.
El incidente se descubre, pero nadie lo reporta ante la SIC.
Cuando la autoridad inicia una investigación, el problema ya no es solo el incidente.
El problema es la ausencia total de control sobre el sistema de protección de datos.
El mundo también está endureciendo las reglas
Colombia no es la única jurisdicción que exige controles estrictos.
En Europa, el Reglamento General de Protección de Datos (GDPR) obliga a reportar incidentes de seguridad en un plazo máximo de 72 horas.
En Estados Unidos, leyes como la California Consumer Privacy Act (CCPA) establecen derechos para que los consumidores soliciten acceso o eliminación de su información personal.
En Brasil, la Lei Geral de Proteção de Dados (LGPD) creó una autoridad nacional que vigila el uso de datos personales en empresas y entidades públicas.
Todas estas normas tienen algo en común.
Las organizaciones deben demostrar control sobre la información que gestionan.
Los datos personales ya no son solo un activo empresarial.
Son un derecho del ciudadano.
Cómo resolverlo con TODO EN UNO.NET
En TODO EN UNO.NET hemos desarrollado un modelo práctico para implementar el cumplimiento de Habeas Data.
La primera fase consiste en un análisis inicial, donde evaluamos las bases de datos existentes, las políticas de tratamiento, los contratos con proveedores y la inscripción en el RNBD.
En esta etapa identificamos brechas relacionadas con incidentes de seguridad, cambios sustanciales no reportados o ausencia de protocolos para reclamos.
La segunda fase corresponde a la definición estratégica, donde diseñamos un plan de cumplimiento alineado con la Ley 1581 de 2012 y las guías de la Superintendencia de Industria y Comercio.
La tercera fase corresponde a la implementación y acompañamiento, donde se elaboran manuales, políticas, matrices de responsabilidad, protocolos de videovigilancia y procedimientos para el tratamiento de datos de niños, niñas y adolescentes.
Este proceso permite que la organización no solo cumpla la ley, sino que construya confianza con clientes y ciudadanos.
“Si hoy solucionas este problema con nosotros, seguiremos acompañándote para que no vuelva a ocurrir.”
Hace un tiempo una pequeña empresa de servicios tecnológicos se acercó a nosotros.
Habían escuchado que debían registrar sus bases de datos ante la SIC.
Lo hicieron.
Creyeron que con eso era suficiente.
Meses después cambiaron su proveedor de almacenamiento en la nube, instalaron cámaras en sus oficinas y recibieron varias solicitudes de clientes para eliminar información personal.
Nada de eso se reportó.
Cuando revisamos su sistema de cumplimiento encontramos que la empresa tenía tres incumplimientos importantes.
No existía protocolo de incidentes de seguridad.
Los cambios en la base de datos no habían sido reportados.
Y las solicitudes de titulares no tenían un procedimiento formal.
Implementamos políticas, registramos los cambios en el RNBD y capacitamos al personal.
La empresa no solo evitó sanciones.
También ganó algo más importante.
Confianza.
El verdadero valor de la protección de datos no está únicamente en evitar sanciones.
Está en construir una cultura de confianza digital.
En TODO EN UNO.NET acompañamos a organizaciones públicas y privadas en el diseño de sistemas de cumplimiento que permiten gestionar la información de manera responsable.
Nuestro trabajo incluye la elaboración de políticas de tratamiento de datos, protocolos de videovigilancia, gestión del Registro Nacional de Bases de Datos, implementación de medidas para el tratamiento de datos de niños, niñas y adolescentes, control de transferencias internacionales de información y aplicación del principio de responsabilidad demostrada.
También desarrollamos esquemas de cumplimiento basados en productos mínimos viables, que permiten iniciar con un modelo práctico y escalable de protección de datos.
Esto significa que una organización puede comenzar con una estructura sólida de cumplimiento y fortalecerla progresivamente conforme crece.
La protección de datos no debe verse como un obstáculo para la innovación.
Debe convertirse en una ventaja competitiva.
Cuando una empresa demuestra que protege la información de sus clientes, empleados y ciudadanos, está construyendo reputación y confianza.
En TODO EN UNO.NET creemos firmemente en una idea simple pero poderosa.
Transformamos el cumplimiento en confianza y ventaja competitiva.
👉 “Nunca la tecnología por la tecnología en sí misma, sino la tecnología por la funcionalidad.”
Proteger los datos no es un trámite: es un acto de respeto hacia quienes confían en tu empresa.
