¿TU EMPRESA REALMENTE SÍ ESTÁ OBLIGADA A CUMPLIR LA LEY DE HABEAS DATA?

Por: Datappyme

Expertos en Protección de Datos Personales

Es más común de lo esperado escuchar a empresarios y personal en importantes cargos de administración de empresas de todos los sectores de la economía, afirmar que sus empresas no están obligadas al cumplimiento del Régimen de Protección de Datos Personales. 

Esta falsa creencia, ha llevado a que muchas de estas empresas, lamentablemente, hayan sido sancionadas por la Superintendencia de Industria y Comercio con la imposición de altas sumas de dinero y a que muchas más, en este momento, estén afrontando investigaciones administrativas por el incumplimiento de estas obligaciones. 

¿A qué se debe que tantas empresas tengan esta percepción?

En Datappyme hemos identificado dos principales razones por las que las empresas incurren en este error, por lo que decidimos hacer esta entrada para que las conozcas y evites incurrir en ellas: 

  1. Creer que el tamaño empresarial, el número de empleados o clientes, sus activos o ingresos económicos, entre otros, son factores que los excluyen del cumplimiento de estas obligaciones: 

Muchas empresas consideran que el hecho de tener pocos empleados o pocos clientes o el hecho de tener pocos activos, un bajo volumen de ventas, o factores como sus ingresos o facturación, son causales que determinan si deben cumplir o no la Ley de Protección de Datos Personales.

Lo cierto es que la Ley 1581 de 2012 no establece el tamaño de las empresas, ni el número de sus clientes o empleados, ni tampoco sus ingresos, como factores para determinar si están obligados o no al cumplimiento de las obligaciones en materia de Habeas Data. El solo hecho de tratar datos personales, implica que deban cumplir todas las obligaciones legales en la materia. 

Todas las empresas en Colombia tratan, necesariamente, los datos personales de sus empleados, clientes, proveedores o prospectos y demás stakeholders para el desarrollo de las actividades que constituyen su objeto social y su modelo de negocio. De lo contrario, no sería posible llevarlas a cabo. Este hecho, implica que estén obligadas al cumplimiento de la Ley de Protección de Datos. 

Frente a este tema, inquietante para muchas empresas, la Superintendencia de Industria y Comercio tuvo la oportunidad de aclararlo en los siguientes términos: “De igual forma es pertinente aclarar que el régimen general de Protección de Datos Personales es aplicable a todas las empresas que realicen el tratamiento de datos personales, es decir, que recolecten, almacenen, usen o circulen datos personales. La Ley no tiene ninguna excepción que excluya de su aplicación por el tamaño de la empresa, el número de empleados que tenga o la cantidad o tipo de datos personales que administre, tal como se estipuló en el artículo 2 de la Ley 1581 de 2012 el cual reza así: (…)” Superintendencia de Industria y Comercio, Resolución 5477 de 2019.

  1. Creer que el Registro Nacional de Bases de Datos es la única obligación en la materia: 

Muchas personas creen que el registro de las bases de datos ante en RNBD de la SIC, es la única obligación en materia de Habeas Data o al menos la única que podría dar lugar  a una sanción. Esto, debido a la gran cobertura mediática que tuvo esta obligación en prácticamente todos los medios de comunicación del país, su cumplimiento, los plazos y la dificultad para cumplirla por la gran mayoría de empresas.

Recordemos que el grueso de la población empresarial, en razón del Decreto 090 de 2018 ya no está obligado a cumplir con esta obligación, ya que solo las entidades públicas y las personas jurídicas o ESAL con activos superiores a las 100.000 UVT deberán proceder con este registro y sus correspondientes actualizaciones. 

Ante la mencionada disposición, que tuvo igual o mayor eco mediático, pues dejaba sin vigencia esta obligación en la mayoría de la población empresarial, todas esas personas y empresas que a partir de ese momento dejaron de tener esa obligación, entraron en un estado de tranquilidad al punto de olvidar, en algunos casos, casi por completo que el registro de las bases de datos era sólo una obligación más y que a pesar de que ya no tenía que registrar estas bases de datos, seguirán sujetos al cumplimiento de todas las demás obligaciones. Obligaciones que, por demás, son igual de sancionables que el hecho de no registrar las bases de datos. 

Así que con relación a esta primera razón lo cierto es que existe una alta responsabilidad de los medios de comunicación que por el afán de sacar un titular vinculado a un plazo determinado, obviaron, en muchos casos, mencionar que además de esa obligación de registro, las empresas seguían contando con otras obligaciones igual o más importantes e igual de punibles. 

En todo caso, si haces parte de una empresa que no está obligada a registrar sus bases de datos pero que tampoco cumple con las demás obligaciones en protección de datos y aún no ha sido investigada por la SIC estás a tiempo de ajustar esta situación, cumplir efectivamente estas obligaciones y evitar sanciones millonarias. 

Comprender que el registro de las bases de datos no es la única obligación en materia de Habeas Data y que la Ley no establece excepciones al cumplimiento de estas obligaciones legales, le permitirá a tu empresa adoptar una posición proactiva para identificar las actuaciones que debe adelantar y los instrumentos a adoptar, con en el fin de cumplir con el Régimen de Protección de Datos Personales.

Cumplir las obligaciones legales en materia de Protección de Datos Personales está al alcance de tu empresa.

Datappyme te invita a que conozcas cómo cumplir efectivamente tus obligaciones legales en Protección de Datos. Inscríbete aquí en nuestro Webinar Gratuito y conoce mucha más información valiosa para tí y tu empresa.

Más de Datappyme:

Adquiera Datappyme ahora