Diseño de una metodología para el inventario y registro de bases de datos personales ante la Superintendencia de Industria Comercio -SIC- de Colombia: Una propuesta para las entidades del nivel central del SINA

Abstract

El presente trabajo aportar una metodología cuyo fundamento central es el contraste entre el ciclo de vida de la gestión de datos personales (recolección, almacenamiento, uso, circulación o supresión) como un tipo especial de activo, versus los procesos de gestión de la organización, en este caso las entidades que conforman el Sistema Nacional Ambiental (SINA) de Colombia. Esto como insumo para la elaboración del inventario de bases de datos personales tratadas en dichas organizaciones, la identificación de las medidas (controles) a aplicar para su protección y la definición de la política interna en la materia. Todo ello con el fin de cumplir oportunamente con la inscripción en el Registro nacional de bases de datos personales (RNBD) ante la Superintendencia de industria y comercio de Colombia (SIC), autoridad de protección de datos del país. El estudio también permitió establecer que desde el punto de vista jurídico, el modelo colombiano de protección de datos personales corresponde a un sistema híbrido de protección, compuesto por una ley sectorial en materia del dato comercial y financiero (ley 1266 de 2008), y una ley general de protección de datos (ley 1581 de 2012). Esto último confirmó uno de los resultados de la aplicación del Modelo de Madurez de la Capacidad de Ciberseguridad para las Naciones (CMM) en Colombia en 2016, en cuanto a que “...hay leyes en vigor que obligan a las empresas a implementar políticas de protección de datos en el lugar de trabajo”. Para realizar el trabajo de investigación, se diseñaron y desarrollaron tres fases, cuyos resultados se exponen en capítulos independientes de este documento. Las conclusiones y recomendaciones para futuros trabajos son presentadas como cierre en el último capítulo.

This paper provides a methodology whose central foundation is the contrast between the life cycle of personal data management (collection, storage, use, circulation or deletion) as a special type of asset, versus the management processes of the organization, in this case, the entities that make up the National Environmental System (SINA) of Colombia. This as an input for the preparation of the inventory of personal databases processed in said organizations, the identification of the measures (controls) to be applied for their protection and the definition of the internal policy on the matter. All this in order to timely comply with the registration in the national registry of personal databases (RNBD) before the Superintendency of industry and commerce of Colombia, the country's data protection authority. The study also established that from a legal point of view, the Colombian data protection model corresponds to a hybrid system of personal protection, made up of a sectoral law on commercial and financial data (law 1266 of 2008), and a law general data protection (law 1581 of 2012). The latter constituted one of the results of the application of the Cybersecurity Capacity Maturity Model for Nations (CMM) in Colombia in 2016, in that “...there are laws in force that oblige companies to implement policies data protection in the workplace. To carry out the research work, three phases were designed and developed, the results of which are presented in independent chapters of this document. The conclusions and recommendations for future work are presented as a closing in the last chapter.