Obligación de las empresas de registrar bases de datos ante la Superintendencia de Industria y Comercio (SIC)
¿Sabía usted que el próximo 31 de marzo de 2026 vence el plazo para registrar las bases de datos ante la Superintendencia de Industria y Comercio (SIC)?
Por: Carolina Sampedro.
La protección de datos personales se ha consolidado como una obligación empresarial transversal en Colombia y, en este contexto, la Ley 1581 de 2012 estableció el deber de registrar determinadas bases de datos en el Registro Nacional de Bases de Datos (RNBD), definido como el directorio público de las bases de datos sometidas a tratamiento en el país y administrado por la SIC. Para los responsables obligados, el cumplimiento de esta obligación deberá realizarse a más tardar el 31 de marzo de 2026, ya sea para efectuar el registro inicial o para actualizar la información reportada.
Ahora bien, de conformidad con lo dispuesto en el Decreto 1074 de 2015, el registro de las bases de datos —cuando resulta obligatorio— debe contener, como mínimo, la siguiente información:
- Datos de identificación, ubicación y contacto del Responsable del Tratamiento.
- Datos de identificación, ubicación y contacto del o de los Encargados del Tratamiento, si los hay.
- Canales habilitados para el ejercicio de los derechos de los titulares de la información.
- Nombre y finalidad de la base de datos.
- Forma de tratamiento de la información (manual y/o automatizada).
- Política de Tratamiento de la Información, debidamente adoptada y publicada.
La información registrada debe mantenerse actualizada, reportando oportunamente cualquier modificación sustancial en las bases de datos o en las condiciones del tratamiento.
¿Quiénes están obligados a registrar bases de datos?
La Superintendencia de Industria y Comercio, a través del Concepto 22-300986, ha precisado el alcance subjetivo de la obligación de registro en el RNBD, señalando que están obligados a realizarlo:
- Las sociedades con activos totales superiores a 100.000 UVT, equivalentes a COP $5.237.400.000 para el año 2026.
- Las entidades sin ánimo de lucro con activos totales superiores a 100.000 UVT (COP $5.237.400.000 para 2026).
- Las personas jurídicas de naturaleza pública.
La SIC ha aclarado expresamente que los establecimientos de comercio y las sucursales de sociedades extranjeras, no están obligados a registrar bases de datos de manera independiente.
Es importante advertir que el hecho de no superar los umbrales que generan la obligación formal de registro no exime a las empresas del cumplimiento integral del régimen de protección de datos personales. En estos casos, los responsables del tratamiento deben garantizar, entre otras, las siguientes obligaciones sustanciales:
- Adopción y publicación de políticas de tratamiento de datos personales y aviso de privacidad.
- Obtención de autorizaciones previas, expresas e informadas cuando aplique.
- Implementación de un programa integral de gestión de datos personales.
- Adopción de manuales y procedimientos para la atención de consultas y reclamos.
- Implementación de medidas técnicas, humanas y administrativas de seguridad adecuadas para proteger la información.
Desde Savvia Legal S.A.S, acompañamos a las empresas en la revisión del cumplimiento de los requisitos legales en materia de protección de datos personales, el registro y actualización de bases de datos ante la SIC, y la implementación de buenas prácticas de gobierno de la información. Asimismo, apoyamos a nuestros clientes en el seguimiento de calendarios de obligaciones empresariales frente a las distintas entidades del Estado, con un enfoque preventivo, estratégico y alineado con la sostenibilidad legal y reputacional de las organizaciones.
En Savvia Legal somos Excelencia, Experiencia y Estrategia. Somos Savvia Legal.
