Para la actualización del registro nacional de bases de datos personales RNBD, la Superintendencia de Industria y Comercio habilito el modulo para la inscripción del Oficial de Protección de Datos Personales.
De acuerdo con el Decreto 1074 de 2015, Artículo 2.2.2.25.4.4. Medios para el ejercicio de los derechos: Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012.
De esta forma, al momento de hacer la actualización de las bases de datos en el RNBD, se debe adicionar la información de la persona natural o jurídica que al interior de la organización desempeña la función de Oficial de Protección de Datos Personales.
Vea también: Tareas para actualizar el RNBD y cumplir con la ley 1581
Recuerde que para la actualización del registro RNBD se deben tener en cuenta las fechas establecidas por la ley, como son: cada año entre el 2 de enero al 31 de marzo, hasta febrero 21 de 2024 para reporte de reclamos presentados en 2023 y en agosto 26 de 2024 para los reclamos presentados en 2024.
Funciones del Oficial de Protección de Datos Personales OPD
En términos generales la función del Oficial de PD en la organización es:
- Velar por la implementación efectiva de las políticas y procedimientos adoptados por ésta para cumplir la ley de Protección de Datos Personales de Colombia.
- Implementar buenas prácticas de gestión de datos personales dentro de la empresa.
- Integrar las políticas de protección de datos dentro de las actividades de las demás áreas de la organización (talento humano, seguridad, call centers, gestión de proveedores, etc.)
- Estructurar, diseñar y administrar el programa que permita a la empresa cumplir las normas sobre protección de datos personales.
- Establecer los controles de ese programa, su evaluación y revisión permanente.
- Obtener las declaraciones de conformidad y certificación de las Normas Corporativas Vinculantes de la Superintendencia de Industria y Comercio cuando sea requerido.
- Revisar y depurar el inventario de bases de datos personales que se van a registrar al Registro Nacional de Bases de Datos y actualizar el reporte en las fechas establecidas, atendiendo a las instrucciones que sobre el particular emita la Superintendencia de Industria y Comercio.
- Realizar entrenamiento en protección de Datos personales para todos los empleados de la compañía y medir la participación, además de calificar el desempeño, en los entrenamientos realizados.
- Velar por la implementación de planes de auditoría interna para verificar el cumplimiento de sus políticas de Tratamiento de información personal.
- Realizar seguimiento al Programa Integral de Gestión de Datos Personales.
- Acompañar y asistir a la organización en la atención de las visitas y los requerimientos que realice la Superintendencia de Industria y Comercio.
Hay que tener presente que la designación de un Oficial de PD por parte del Responsable del Tratamiento no implica que su Encargado del Tratamiento también tenga que designar uno. Lo anterior, sin perjuicio de las obligaciones contractuales que entre las partes surjan del contrato de transmisión de datos personales. Dicho contrato señalará los alcances del Tratamiento, las actividades que el Encargado realizará por cuenta del Responsable para el Tratamiento de
los datos personales y las obligaciones del Encargado para con el Titular y el Responsable. Adicionalmente, aquel contrato podría establecer la necesidad de que el Encargado del Tratamiento cuente también con un Oficial de PD, si así se estima conveniente.
Es posible designar un Oficial de PD único para varias empresas de un Grupo Empresarial. En estos casos, lo importante es garantizar la accesibilidad del Oficial de PD a cada empresa. De igual forma, es posible que una empresa externa que se especialice en el tema, preste los servicios de Oficial de PD a más de un Responsable y/o Encargado del Tratamiento.
Es importante que el Oficial de PD sea considerado como un interlocutor dentro de la organización y que pueda ser parte de los grupos de trabajo que se ocupan de las actividades relacionadas con el Tratamiento de datos dentro de la organización, además de las siguientes actividades:
- Se invite al Oficial de PD a participar con regularidad en reuniones con los directivos de la organización.
- Pueda estar presente cuando se tomen decisiones con implicaciones para la protección de datos personales. Toda la información pertinente debería de transmitírsele al Oficial de PD y a su debido tiempo con el fin de que pueda prestar una asesoría adecuada.
- La opinión del Oficial de PD sea debidamente tenida en cuenta. En caso de desacuerdo, se recomienda, como buena práctica, documentar los motivos por los que no se sigue el consejo.
- Se consulte al Oficial de PD con prontitud una vez que se haya producido una brecha a los códigos de seguridad de la organización o cualquier incidente que afecte la información.
El Oficial de PD debe contar con todos los recursos necesarios para el adecuado cumplimiento de las funciones asignadas, además del acceso a los datos personales y a las operaciones de Tratamiento que se realicen, es necesario que tenga acceso a otras áreas de la organización como el área de recursos humanos, Oficina Jurídica y área de tecnología y seguridad.
https://www.sic.gov.co/sites/default/files/files/2023/Guia%20de%20datos%202023%20(2).pdf
Se debe garantizar que el Oficial de PD no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones, sea o no empleado del Responsable o Encargado del Tratamiento. El Oficial debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. Aunque el Oficial de PD puede tener otras funciones, solamente deberían confiársele tareas y actividades que no den lugar a conflictos de intereses.
Adicionalmente, es recomendable que se garanticen los mecanismos idóneos para el mantenimiento y actualización de sus conocimientos especializados. Es decir, debe darse a los Oficiales de PD la oportunidad de mantenerse al día con respecto a los avances que se den en el ámbito de la protección de datos y seguridad de la información de manera continua.
Con el fin de poner en funcionamiento un sistema efectivo de manejo de riesgos y controles internos para garantizar que los datos estén protegidos y se traten debidamente conforme con la regulación existente, la Superintendencia de Industria y Comercio ha sugerido efectuar una evaluación de impacto en la privacidad (Privacy Impact Assessment – PIA por sus siglas en inglés). Esta labor se encuentra en cabeza del Responsable del Tratamiento y no del Oficial de PD, aunque este puede dar la asesoría respectiva de acuerdo a solicitud del Responsable.
Dependiendo del tipo de organización y su respectivo tamaño, se recomienda que el Oficial de PD presida un comité integrado por las diferentes dependencias de la organización para la adecuada toma de decisiones relativa al Tratamiento de Datos personales. Dicho comité, velaría por la adecuada articulación de las políticas organizacionales en materia de información. Como miembros del comité, podrían participar las siguientes áreas:
- Recursos humanos
- Financiera
- Jurídica
- Administrativa
- Informática y tecnología
- Comunicaciones
El Registro Nacional de Bases de Datos es una herramienta que materializa la transparencia porque de manera abierta y libre permite que cualquier ciudadano consulte la información reportada en el mismo y las Políticas de Tratamiento de la Información de las entidades estatales publicas o privadas.
De esta manera, la adecuada realización de las funciones del Oficial de PD ayudará a incrementar la confianza de los Titulares en la organización y dado que la confianza es factor crucial para el crecimiento y consolidación de cualquier actividad que involucre el Tratamiento de Datos Personales, debería ser una de las prioridades estratégicas más importantes para cada empresa.
PRODATI es la solución integral que reúne todos los aspectos requeridos para el cumplimiento de la ley de protección de datos personales, detectar vulnerabilidades y riesgos, mejorar los niveles de ciberseguridad, alinearse al estándar ISO 27001 y facilitar el proceso de capacitación y concientización del personal por medio de nuestra plataforma en la nube.
Nuestros clientes han reducido sus costos de implementación y mantenimiento en más de un 50%, mejorando su postura de ciberseguridad, previniendo incidentes, ataques informáticos y sanciones legales. Si no esta seguro que tiene y que le falta, le podemos ayudar a evaluar su nivel de cumplimiento de la Ley de protección de datos personales y seguridad de la información.