Buscar search
Índice developer_guide

CONCEPTO 289222 DE 2015

(enero 14)

<Fuente: Archivo interno entidad emisora>

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Señores

AMIBIO

administracion@amibio.com.co

Asunto: Radicación: 15-289222- -00002-0000
Trámite: 113
Evento: 0
Actuación: 440
Folios: 1

Estimado(a) Señores:

Con el alcance previsto en el artículo 28 del Código de procedimiento Administrativo y de lo Contencioso Administrativo damos respuesta a su consulta radicada con el número de la referencia, en los siguientes términos.

1. OBJETO DE LA CONSULTA.

Manifiesta en su escrito lo siguiente: “El día de ayer recibí esta información donde nos solicitan realizar la inscripción de nuestras bases de datos en el RNBD pero no especifican cuales datos, en nuestro caso tenemos tres bases de datos:

- ASOCIADOS

- PROVEEDORES

- CLIENTES.

Les solicito muy cordialmente me sea aclarado cuales o si son todas las bases de datos que debemos inscribir”.

A continuación nos permitimos suministrarle información relevante en relación con su consulta, con el fin de brindarle mayores elementos de juicio al respecto. Lo anterior, teniendo en cuenta que esta Oficina Asesora Jurídica a través de un concepto no puede resolver situaciones particulares.

2. DEFINICIÓN DE DATO PERSONAL.

El literal f) del artículo 3 de la Ley 1581 de 2012 define al titular en los siguientes términos: /"Titular: Persona natural cuyos datos personales sean objeto de Tratamiento./" Por su parte el literal c) del precitado artículo define el dato personal en los siguientes términos: “Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.”

Al respecto, la Corte Constitucional mediante sentencia C-748 de 2011 señaló lo siguiente:

(...)

[E]n efecto, la jurisprudencia constitucional ha precisado que las características de los datos personales –en oposición a los impersonales - son las siguientes: “i) estar referido a aspectos exclusivos y propios de una persona natural, ii) permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.”

(...)

Los datos personales, a su vez, suelen ser clasificados en los siguientes grupos dependiendo de su mayor o menor grado de aceptabilidad de divulgación: datos públicos, semiprivados y privados o sensibles.

Por lo anterior, el dato personal es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables que cumplen con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.

3. ÁMBITO DE APLICACIÓN DE LA LEY 1581 DE 2012.

La Ley 1581 de 2012, en su artículo 2, señala el ámbito de aplicación de la siguiente manera:

“Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.

(... )”

La precitada ley aplica al tratamiento, es decir, la recolección, almacenamiento, uso, circulación o supresión, de datos personales registrados en cualquier base de datos o archivos por parte de entidades públicas o privadas.

Respecto al concepto de bases de datos o archivos la Corte Constitucional mediante Sentencia C-748 de 2011 señaló lo siguiente:

“El literal b) define las bases de datos como un “(...) conjunto organizado de datos personales que sea objeto de tratamiento”. Pese a que esta definición es bastante amplia y parece coincidir más con la de banco de datos empleada en la Ley 1266, en tanto el legislador goza de libertad de configuración en la materia, puede adoptar definiciones diferentes dependiendo de la regulación.

Ahora bien, la definición se ajusta a la Carta, pues cobija todo espacio donde se haga alguna forma de tratamiento del dato, desde su simple recolección, lo que permite extender la protección del habeas data a todo tipo de hipótesis. En concordancia, la Sala recuerda, como se indicó en la consideración 2.4.3.2., que el concepto de base de datos cobija los archivos, entendidos como depósitos ordenados de datos, lo que significa que los archivos están sujetos a las garantías previstas en el proyecto de ley”.

Ahora bien, respecto a la aplicación de la Ley 1581 de 2012 en cuanto al tratamiento por las entidades públicas y privadas, la Corte Constitucional en la precitada Sentencia señaló:

\" [P]or último, respecto de la tercera condición -posibilidad de tratamiento de los datos por entidades públicas o privadas, para la Sala surge la duda de si el empleo del término entidades supone una restricción inconstitucional, pues podría limitar el ámbito de aplicación a datos personales susceptibles de ser tratados solamente por personas jurídicas, lo que excluiría los casos de tratamiento por personas naturales.

Sin embargo, la Sala observa que el término entidad tienen varias acepciones, una de la cuales incluye a las personas naturales. En efecto, según el Diccionario de la Real Academia de la Lengua, una entidad puede ser una “[c]olectividad considerada como unidad. Especialmente, cualquier corporación, compañía, institución, etc., tomada como persona jurídica”, pero también puede ser un “[e]nte o ser”; esta segunda definición -más amplia- cobija a las personas naturales.

Así, en atención a los principios de interpretación conforme a la Constitución y de conservación del derecho, la Sala concluye que debe entenderse –sin necesidad de condicionar la exequibilidad del precepto- que la interpretación del inciso que se ajusta a la Carta es aquella según el cual el término entidades comprende tanto las personas naturales como jurídicas. De modo que así entendida la condición, la Sala también concluye que es compatible con la Carta, pues cobija las hipótesis necesarias para que el proyecto cumpla su finalidad de brindar protección a los datos personales.

Para terminar, resalta la Sala la importancia de esta disposición, en tanto reconoce que el tratamiento de datos personales también puede ser efectuado por personas privadas; de hecho, en el mundo globalizado, el sector privado lleva a cabo una parte muy considerable del tratamiento de datos, lo que lo dota de un poder informático a gran escala y lo convierte en un potencial vulnerador del derecho al habeas data. De ahí que uno de los grandes retos de la protección de los datos personales es la creación de mecanismos para hacer responsables a los particulares por el tratamiento inadecuado y abusivo de datos personales.\"

Por lo anterior, la Ley 1581 de 2012 se aplica a los datos personales que se encuentren en bases de datos o archivos de entidades públicas o privadas, entendidos estos, como el conjunto organizados o depósitos ordenados de datos personales sujetos a tratamiento, es decir, a la recolección, el almacenamiento, el uso, la circulación o la supresión de los mismos.

4. RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES.

El artículo 3 de la Ley 1581 de 2012 señala las siguientes definiciones:

“d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos”.

Respecto a las definiciones de responsables y encargados que trata el artículo 3 de la Ley 1581 de 2012, la Corte Constitucional mediante Sentencia C-748 de 2011 aclaró la diferencia entre ellos así:

“(...)

Constitucionalidad de los literales d) y e): definiciones de encargado y responsable de tratamiento del dato

En los literales d) y e) del artículo 3, se hace expresa mención al encargado y al responsable del dato, respectivamente. La Sala observa que la diferenciación de estos dos sujetos era determinante, por cuanto de ello depende el ámbito de sus deberes, enumerados en el título VI del proyecto, de modo que dichas definiciones están ligadas al principio de legalidad en materia sancionatoria y son una garantía para el titular del dato respecto de quién es obligado a cumplir diferentes prerrogativas que se desprenden del habeas data.

Sin embargo, se debe señalar desde ahora, al igual que se indicó en la sentencia C-1011 de 2008, que todos los principios de la administración de datos personales identificados en este proyecto -los cuales serán estudiados en otro acápite- son oponibles a todos los sujetos involucrados en el tratamiento del dato, entiéndase en la recolección, circulación, uso, almacenamiento, supresión, etc., sin importar la denominación que los sujetos adquieran, es decir, llámense fuente, responsable del tratamiento, operador, encargado del tratamiento o usuario, entre otros. Hechas estas aclaraciones, pasa la Sala a examinar la constitucionalidad de las definiciones.

El proyecto define al encargado del tratamiento como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de datos personales por cuenta del responsable del tratamiento. Por otro lado, el responsable del tratamiento es definido como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la base de datos y/o el tratamiento de los datos.

Estas definiciones parecen inspirarse en el derecho comunitario europeo, especialmente en la Directiva 95/46/CE y en el Dictamen 1/2010 del Grupo Consultivo sobre Protección de Datos, a las que vale la pena remitirnos por razones meramente ilustrativas y con el fin de acercamos al correcto entendimiento de uno y otro concepto, labor que a veces se torna difícil por el avance de las tecnologías de la información y otros retos que impone la globalización.

El Dictamen 1/2010 señala que lo que permite identificar al responsable de otros agentes que participan en el proceso, es que él es el que determina los fines y los medios esenciales del tratamiento de los datos. También indica en relación con los medios, que se hablará de responsable cuando el sujeto realice un control o determine elementos esenciales de los medios, tales como el tiempo que los datos deben permanecer almacenados, la forma cómo se hará su uso o se pondrán en circulación, el acceso a los mismos etc. Por su parte, precisa que el encargado es quien realiza el tratamiento por cuenta del responsable, es decir, por delegación y, por tanto, es natural y jurídicamente distinto del responsable.

Los criterios de (i) definición de los fines y medios del tratamiento del dato personal y (ii) existencia de delegación, también resultan útiles en nuestro caso para establecer la diferencia entre responsable y encargado. Ciertamente, el concepto “decidir sobre el tratamiento” empleado por el literal e) parece coincidir con la posibilidad de definir jurídica y materialmente- los fines y medios del tratamiento. Usualmente, como reconocen varias legislaciones, el responsable es el propietario de la base de datos; sin embargo, con el fin de no limitar la exigibilidad de las obligaciones que se desprenden del habeas data, la Sala observa que la definición del proyecto de ley es amplia y no se restringe a dicha hipótesis. Así, el concepto de responsable puede cobijar tanto a la fuente como al usuario, en los casos en los que dichos agentes tengan la posibilidad de decidir sobre las finalidades del tratamiento y los medios empleados para el efecto, por ejemplo, para ponerlo en circulación o usarlo de alguna manera.

De otro lado, el criterio de delegación coincide con el término “por cuenta de” utilizado por el literal e), lo que da a entender una relación de subordinación del encargado al responsable, sin que ello implique que se exima de su responsabilidad frente al titular del dato.

(...)

Ahora bien, vale la pena advertir que el encargado del tratamiento no puede ser el mismo responsable, pues se requiere que existan dos personas identificables e independientes, natural y jurídicamente, entre las cuales una -el responsable- le señala a la otra -el encargado- como quiere el procesamiento de unos determinados datos. En este orden, el encargado recibe unas instrucciones sobre la forma como los datos serán administrados.

(...)

Establecida la diferencia entre responsable y encargado, la Sala observa, en primer lugar, que las definiciones de los literales d) y e) representan ejercicio legítimo de la libertad de configuración del legislador estatutario justificada en la forma cómo se desarrolla el tratamiento del dato, y en segunda lugar, que la clasificación tiene además utilidad desde el punto de vista constitucional, esta es, definir el régimen de responsabilidades y obligaciones de quienes participan en el tratamiento del dato personal.

En efecto, de acuerdo con las definiciones acogidas por el proyecto de ley, los responsables del tratamiento tienen mayores compromisos y deberes frente al titular del dato, pues son los llamados a garantizar en primer lugar el derecho fundamental al habeas data, así como las condiciones de seguridad para impedir cualquier tratamiento ilícito del dato. La calidad de responsable igualmente impone un haz de responsabilidades, específicamente en lo que se refiere a la seguridad y a la confidencial idad de los datos sujetos a tratamiento.

En la sentencia C-1011 de 2008, se señaló que en la administración de datos personales es posible identificar varias etapas, cuya diferenciación permite adscribir determinados niveles de responsabilidad a los sujetos que participan de él. Así, por ejemplo, sobre la calidad de la información, el encargado del tratamiento tendrá deberes de diligencia y cuidado en la medida en que como lo consagra el proyecto de ley, está obligado a realizar de forma oportuna, la actualización, rectificación o supresión del dato, según el caso, literal c) del artículo 18.

En esa línea, lo importante para una verdadera garantía del derecho al habeas data, es que se pueda establecer de manera clara la responsabilidad de cada sujeto o agente en el evento en que el titular del dato decida ejercer sus derechos. Cuando dicha determinación no exista o resulte difícil llegar a ella, las autoridades correspondientes habrán de presumir la responsabilidad solidaria de todos, aspecto éste sobre el que guarda silencio el proyecto de ley y que la Corte debe afirmar como una forma de hacer efectiva la protección a la que se refiere el artículo 15 de la Carta”.

Por lo anterior, el responsable del tratamiento de los datos personales es la persona natural o jurídica que decide sobre las finalidades del tratamiento y los medios empleados para el efecto, por ejemplo, para ponerlo en circulación o usarlo de alguna manera o su acceso y el encargado es la persona natural o jurídica que realiza el tratamiento de los datos personales por instrucción del responsable.

5. REGISTRO NACIONAL DE BASES DE DATOS PERSONALES.

El artículo 25 de la Ley 1581 de 2012 señala lo siguiente:

“Definición. El Registro Nacional de Bases de Datos es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país.

El registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos.

Para realizar el registro de bases de datos, los interesados deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información, las cuales obligarán a los responsables y encargados del mismo, y cuyo incumplimiento acarreará las sanciones correspondientes. Las políticas de Tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la presente ley.

Parágrafo. El Gobierno Nacional reglamentará, dentro del año siguiente a la promulgación de la presente Ley, la información mínima que debe contener el Registro, y los términos y condiciones bajo los cuales se deben inscribir en éste los Responsables del Tratamiento.”

Dicho artículo fue reglamentado mediante el artículo 2.2.2.26.1.2., del Decreto 1074 de 2015, que incorpora el Decreto 886 de 2014 y en el que se determina qué bases de datos deben ser inscritas en el Registro Nacional de Bases de datos:

“Ámbito de aplicación. Serán objeto de inscripción en el Registro Nacional de Bases de Datos, las bases de datos que contengan datos personales cuyo Tratamiento automatizado o manual se realice por personas naturales o jurídicas, de naturaleza pública o privada, en el territorio colombiano o fuera de él, en este último caso, siempre que al Responsable del Tratamiento o al Encargado del Tratamiento le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales. Lo anterior sin perjuicio de las excepciones previstas en el artículo 2 de la Ley 1581 de 2012.”

De acuerdo con lo cual, todas las bases que sean reguladas por la Ley 1581 de 2012 deben ser inscritas en el Registro Nacional de Bases de Datos, sin importar si el Responsable o Encargado del Tratamiento son entidades de naturaleza pública o privada y personas naturales o jurídicas, deben ser objeto de inscripción en el Registro.

Por otra parte, respecto de la información mínima que debe contener el Registro Nacional de Bases de Datos el artículo 2.2.2.26.2.1., del Decreto 1074 de 2015 establece:

“Información mínima del Registro Nacional de Bases de Datos. La información mínima que debe contener el Registro Nacional de Bases de Datos es la siguiente:

  1. Datos de identificación, ubicación y contacto del Responsable del Tratamiento de la base de datos;
  2. Datos de identificación, ubicación y contacto del o de los Encargados del Tratamiento de la base de datos;
  3. Canales para que los titulares ejerzan sus derechos;
  4. Nombre y finalidad de la base de datos;
  5. Forma de Tratamiento de la base de datos (manual y/o automatizada), y
  6. Política de Tratamiento de la información.

La Superintendencia de Industria y Comercio, como autoridad de protección de datos personales, podrá establecer dentro del Registro Nacional de Bases de Datos información adicional a la mínima prevista en este artículo, acorde con las facultades que le atribuyó la Ley 1581 de 2012 en el literal h) del artículo 21.”

En concordancia con lo anterior, esta Superintendencia expidió la Circular Externa 002 del 3 de noviembre de 2015 en la que se imparten instrucciones sobre el Registro Nacional de Bases de Datos para personas jurídicas de naturaleza privada inscritas en las Cámaras de Comercio y sociedades de economía mixta, entre ellas, la información adicional a la señalada en el artículo 2.2.2.26.2.1. del Decreto 1074 de 2015, que debe inscribirse en los siguientes términos:

a) Información almacenada en la base de datos. Es la clasificación de los datos personales almacenados en cada base de datos, agrupados por categorías y subcategorías, de acuerdo con la naturaleza de los mismos.

b) Medidas de seguridad de la información. Corresponde a los controles implementados por el Responsable del Tratamiento para garantizar la seguridad de las bases de datos que está registrando, teniendo en cuenta las preguntas dispuestas para el efecto en el RNBD. Tales preguntas no constituyen de ninguna manera instrucciones acerca de las medidas de seguridad que deben implementar los Responsables del Tratamiento de datos personales.

c) Procedencia de los datos personales. La procedencia de los datos se refiere a s estos son recolectados del Titular de la información o suministrados por terceros y si se cuenta con la autorización para el tratamiento o existe una causal de exoneración, de acuerdo con lo establecido en el artículo 10 de la Ley 1581 de 2012.

d) Transferencia internacional de datos personales. La información relacionada con la Transferencia internacional de datos personales comprende la identificación del destinatario como Responsable del Tratamiento, el país en el que este se encuentra ubicado y si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio o por una causal de excepción en los términos señalados en el artículo 26 de la Ley 1581 de 2012.

e) Transmisión internacional de datos personales. La información relacionada con la Transmisión internacional de datos comprende la identificación del destinatario como Encargado del Tratamiento, el país en el que este se encuentra ubicado, si se tiene un contrato de transmisión de datos en los términos señalados en el artículo 2.2.2.25.5.2 de la Sección 5 del Capítulo 25 del Decreto Único 1074 de 2015 o si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio.

f) Cesión o transferencia nacional de la base de datos. La información relacionada con la cesión o transferencia nacional de datos incluye la identificación del cesionario, quien se considerará Responsable del Tratamiento de la base de datos cedida a partir del momento en que se perfeccione la cesión. No es obligatorio para el cedente registrar la cesión de la base de datos. Sin embargo, el cesionario, como Responsable del Tratamiento, debe cumplir con el registro de la base de datos que le ha sido cedida.

g) Reporte de novedades. Una vez finalizada la inscripción de la base de datos en el RNBD, se reportarán como novedades los reclamos presentados por los Titulares y los incidentes de seguridad que afecten la base de datos, de acuerdo con las siguientes reglas:

(i) Reclamos presentados por los Titulares. Corresponde a la información de los reclamos presentados por los Titulares ante el Responsable y/o el Encargado del Tratamiento, según sea el caso, dentro de un semestre calendario (enero - junio y julio - diciembre). Esta información se reportará teniendo en cuenta lo manifestado por los Titulares y los tipos de reclamos prestablecidos en el registro. El reporte deberá ser el resultado de consolidar los reclamos presentados por los Titulares ante el Responsable y el (los) Encargado(s) del Tratamiento.

(ii) Incidentes de seguridad. Se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado, que deberán reportarse al RNBD dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

La información relacionada con las medidas de seguridad, los reclamos presentados por los Titulares y los incidentes reportados por los Responsables del Tratamiento no estará disponible para consulta pública”.

Así mismo, la precitada Circular Externa señala el procedimiento para realizar el Registro Nacional de Bases de Datos, el cual deberá hacerse de acuerdo a las instrucciones contenidas en el “Manual del Usuario del Registro Nacional de Bases de Datos - RNBD” publicado en el sitio Web de la Superintendencia de Industria y Comercio, www.sic.gov.co

La inscripción se realizará en línea a partir del 9 de noviembre de 2015 en el portal Web de esta entidad www.sic.gov.co ingresa por el micrositio de “Protección de datos personales” ubicado en la barra horizontal superior, luego “Sobre la Protección de Datos Personales” y, finalmente, “Registro Bases de Datos”, en el menú vertical que se encuentra al lado izquierdo.

Ahora bien, el artículo 2.2.2.26.3.1. del Decreto 1074 de 2015 establece lo siguiente:

“Plazo de inscripción. Los Responsables del Tratamiento deberán inscribir sus bases de datos en el Registro Nacional de Bases de Datos dentro del año siguiente a la fecha en que la Superintendencia de Industria y Comercio habilite dicho registro, de acuerdo con las instrucciones que para el efecto imparta esa entidad. Las bases de datos que se creen con posterioridad a ese plazo, deberán inscribirse dentro de los dos (2) meses siguientes a partir de su creación.”

De acuerdo con lo cual, existirán dos plazos para la inscripción de una base de datos en el Registro Nacional de Bases de Datos:

  • Para las bases de datos que existen a momento de la habilitación del mismo por parte de la Superintendencia de Industria y Comercio, será dentro del año siguiente a la fecha de la entrada en funcionamiento del Registro.
  • Para las bases de datos creadas luego de la entrada en funcionamiento del Registro serán dos (2) meses desde su creación.

En todo caso, esta Superintendencia señaló en la Circular Externa 002 de 2015 que para evitar el vencimiento de este plazo e inscribir las bases de datos oportunamente, se sugiere el siguiente cronograma:

ÚLTIMOS DÍGITOS NIT (SIN EL DÍGITO DE CONFIRMACIÓN) - PLAZO

De 00 a 24 Del 09/11//2015 a 08/02/2016

De 25 a 49 Del 09/02/2016 a 10/05/2016

De 50 a 74 Del 06/05/2016 a 08/08/2016

De 75 a 99 Del 09/08/2016 a 08/11/2016

Para obtener mayor información sobre el Registro Nacional de Bases de Datos puede ingresar a nuestra página web www.sic.gov.coescoge el icono de “Protección de Datos Personales” que se encuentra en la parte superior de la página, y allí escoge ““Sobre Protección de Datos Personales”, al lado izquierdo encuentra el icono “Registro Nacional de Bases de Datos”, allí encontrará la Circular Externa 002 de 2015, el Manual del Usuario del Registro Nacional de Bases de Datos -RNBD-, la inscripción y un video tutorial.

6. CONCLUSIONES.

6.1. Los datos personales permiten asociar a una persona natural determinada o determinable con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.

6.2. La Ley 1581 de 2012 se aplica a los datos personales que se encuentren en bases de datos o archivos de entidades públicas o privadas, entendidos estos, como el conjunto organizados o depósitos ordenados de datos personales sujetos a tratamiento, es decir, a la recolección, el almacenamiento, el uso, la circulación o la supresión de los mismos

6.3. El responsable del tratamiento (recolección, almacenamiento, uso, circulación y/o supresión) de los datos personales, es la persona natural o jurídica que decide sobre las finalidades del tratamiento y los medios empleados para el efecto, por ejemplo, para ponerlo en circulación o usarlo de alguna manera o permitir su acceso.

6.4. Todas las personas naturales o jurídicas que tenga la calidad de responsable del tratamiento de datos personales deben registrar las bases de datos en el Registro Nacional de bases de Datos, conforme al procedimiento señalado por esta Superintendencia en la Circular Externa 002 de 2015.

Si requiere mayor información sobre el desarrollo de nuestras funciones y sobre las normas objeto de aplicación por parte de esta entidad, puede consultar nuestra página de internet www.sic.gov.co

Atentamente,

WILLIAM ANTONIO BURGOS DURANGO

JEFE OFICINA ASESORA JURÍDICA

×
Volver arriba