Según lo establecido por el Decreto 090 de 2018 y la Circular 003 de 2018, los obligados a cumplir con el Registro Nacional de Bases de Datos (RNBD) y actualizar su la información consignada son las sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT) (COP$4.706.500.000).

• El RNBD debe actualizarse dentro de los 10 primeros días hábiles del mes siguiente a la fecha cuando se realicen cambios sustanciales. Son considerados cambios sustanciales los relacionados con: (i) la finalidad de las bases de datos, (ii) los responsables (i.e., la persona que controla y decide sobre una base de datos) y encargados (i.e., terceras personas a quienes el responsable comisione para que, por su cuenta y en su interés, procesen datos personales, usualmente proveedores de servicios), (iii) los canales de atención al titular, (iv) la clasificación o tipos de datos personales almacenados, (v) las medidas de seguridad de la información, (vi) la Política de Tratamiento de la Información del responsable, y (vii) las transferencias internacionales de datos personales.
• También se debe actualizar la información consignada en el RNBD anualmente, entre el 2 de enero y el 31 de marzo de cada año. En este plazo, como mínimo se debe actualizar la información relacionada con el número de titulares.
• Adicionalmente, dentro de los 15 primeros días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción, los responsables deben actualizar la información de los reclamos presentados por los titulares.
• Tenga en cuenta que las normas sobre datos personales establecen la obligación de reportar a la SIC los incidentes que supongan un riesgo a la seguridad de los datos personales. Este reporte debe efectuarse dentro de los 15 días hábiles siguientes al momento en que se tenga conocimiento del incidente. Se entiende que ocurre un incidente de seguridad cuando existe una violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información contenida en una base de datos.
• Por último, tengan presente que ahora la SIC solicita la información del área o persona encargada de atender los temas relacionados con datos personales como lo puede ser el oficial de protección de datos personales. 

NOTA: En el 2023, la SIC impuso 93 sanciones, es decir, alrededor de 5 mil millones de pesos. Además, emitió 2508 órdenes administrativas y recibió 4,000 quejas relacionadas con el incumplimiento de las normas de datos personales, lo que representa un aumento con respecto a las 3356 quejas recibidas en el 2022.