La actualización del Registro Nacional de Bases de Datos (RNBD) es una obligación anual que deben cumplir muchas empresas en Colombia ante la Superintendencia de Industria y Comercio (SIC).

El plazo máximo para realizar esta actualización vence cada año el 31 de marzo, y su incumplimiento puede generar investigaciones administrativas y multas de hasta 2.000 salarios mínimos.

Sin embargo, más allá del trámite ante la SIC, este proceso también representa una oportunidad para que las empresas revisen sus políticas de tratamiento de datos personales y sus medidas de seguridad de la información y ciberseguridad.

En este artículo explicamos:

• Qué es el RNBD?

• Qué empresas deben actualizarlo?

• Qué información debe reportarse?

• Qué aspectos de seguridad y protección de datos deberían actualizarse en 2026?

¿Qué es el Registro Nacional de Bases de Datos (RNBD)?

El Registro Nacional de Bases de Datos (RNBD) es un sistema administrado por la Superintendencia de Industria y Comercio que permite registrar las bases de datos que contienen información personal de clientes, empleados, proveedores u otros titulares.

Este registro hace parte del régimen de protección de datos personales establecido en la Ley 1581 de 2012, cuyo objetivo es garantizar el derecho constitucional al habeas data.

A través del RNBD, las empresas deben informar a la autoridad:

• Las bases de datos que poseen.

• La finalidad del tratamiento de la información.

• El número aproximado de titulares.

• Los encargados del tratamiento.

• Las medidas de seguridad implementadas.

¿Qué empresas están obligadas a registrar y actualizar el RNBD?

En Colombia están obligadas a registrar y actualizar sus bases de datos en el RNBD principalmente:

Sociedades comerciales.

Todas aquellas que tengan activos totales superiores a 100.000 UVT.

Entidades sin ánimo de lucro.

También deben registrarse cuando sus activos superen 100.000 UVT.

Entidades públicas.

Las entidades del Estado que administren bases de datos con información personal.

Para el año 2026, este umbral equivale aproximadamente a más de 5.200 millones de pesos en activos.

Es importante aclarar que:

• Los establecimientos de comercio, agencias o sucursales no se registran de manera independiente.

• El registro corresponde a la persona jurídica titular de las bases de datos.

Actualización del RNBD: plazo máximo 31 de marzo.

Las empresas que ya tienen bases de datos registradas deben realizar una actualización anual obligatoria entre el 2 de enero y el 31 de marzo.

Durante esta actualización se debe verificar que la información registrada ante la SIC sea correcta y esté actualizada.

Los principales aspectos que deben revisarse son:

Información de la empresa.

• Razón social.

• Rirección y datos de contacto.

• Responsable del tratamiento de datos.

• Área encargada de protección de datos.

Información sobre las bases de datos.

• Tipo de bases de datos registradas.

• Número aproximado de titulares.

• Finalidad del tratamiento.

• Categorías de datos personales.

Encargados del tratamiento

Se deben reportar los terceros que tengan acceso o administren información personal.

Medidas de seguridad

Las empresas deben indicar las medidas implementadas para proteger los datos personales.

Además, cuando ocurren cambios sustanciales en las bases de datos, estos deben reportarse dentro de los 10 primeros días hábiles del mes siguiente.

Actualización de políticas de tratamiento de datos: seguridad de la información y ciberseguridad.

Uno de los aspectos que más observan actualmente las autoridades es la seguridad de la información.

Muchas empresas cumplen con el registro del RNBD pero mantienen políticas de tratamiento de datos desactualizadas, lo que aumenta el riesgo de sanciones.

Entre las medidas que deberían revisarse o incorporarse se encuentran:

Gestión de incidentes de seguridad.

Las empresas deben contar con protocolos para:

• detectar incidentes de seguridad.

• reportarlos internamente.

• gestionar filtraciones o accesos no autorizados.

Cuando un incidente compromete datos personales, debe reportarse a la SIC.

Control de accesos a la información.

Es recomendable definir:

• perfiles de acceso a bases de datos.

• autenticación segura.

• control de usuarios autorizados.

Protección tecnológica.

Las empresas deberían implementar medidas como:

• cifrado de información sensible.

• copias de seguridad periódicas.

• sistemas de protección contra malware.

Gestión de proveedores.

Los proveedores que acceden a datos personales deben firmar acuerdos que incluyan:

• obligaciones de confidencialidad.

• estándares mínimos de seguridad.

• deber de notificación ante incidentes de datos.

Capacitación en protección de datos.

Los colaboradores que manejan información personal deben recibir capacitación sobre:

• tratamiento adecuado de datos personales.

• prevención de fugas de información.

• seguridad digital básica.

Sanciones por no actualizar el RNBD.

El incumplimiento de las obligaciones en materia de protección de datos puede generar sanciones por parte de la Superintendencia de Industria y Comercio, entre ellas:

• Multas de hasta 2.000 salarios mínimos legales mensuales vigentes.

• Suspensión de actividades relacionadas con el tratamiento de datos.

• Cierre temporal de operaciones relacionadas con las bases de datos.

Además de las sanciones económicas, también existe un riesgo reputacional significativo para las empresas.

Conclusión.

La actualización del RNBD antes del 31 de marzo es una obligación legal que deben cumplir muchas organizaciones en Colombia.

Sin embargo, más que un trámite administrativo, debería aprovecharse como una oportunidad para revisar integralmente:

• Las bases de datos registradas.

• Las políticas de tratamiento de datos personales.

• Las medidas de seguridad de la información y ciberseguridad.

Un adecuado cumplimiento no solo evita sanciones, sino que también fortalece la confianza de clientes, empleados y aliados comerciales en el manejo de su información.