El rol del Oficial de Protección de Datos Personales con la Ley 1581

adminProteccion de datos

La Ley de protección de datos 1581 y la Guía de responsabilidad demostrada habla de dicho rol, el cual es responsable de hacer cumplir con el sistema de protección de datos personales al interior de la Organización.

LA NORMATIVA DICE:

El Decreto 1377 de 2013 establece las características del Oficial de Protección de Datos Personales con los siguientes artículos:

Artículo 23, Decreto 1377 de 2013. “Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente decreto”

Artículo 26. Demostración. Los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este decreto, en una manera que sea proporcional a lo siguiente:

  1. La naturaleza jurídica del responsable y, cuando sea del caso, su tamaño empresarial, teniendo en cuenta si se trata de una micro, pequeña, mediana o gran empresa, de acuerdo con la normativa vigente.
  1. La naturaleza de los datos personales objeto del tratamiento.
  1. El tipo de Tratamiento.
  1. Los riesgos potenciales que el referido tratamiento podrían causar sobre los derechos de los titulares.

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, los Responsables deberán suministrar a esta una descripción de los procedimientos usados para la recolección de los datos personales, como también la descripción de las finalidades para las cuales esta información es recolectada y una explicación sobre la relevancia de los datos personales en cada caso.

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, quienes efectúen el Tratamiento de los datos personales deberán suministrar a esta evidencia sobre la implementación efectiva de las medidas de seguridad apropiadas:

Artículo 27. Políticas internas efectivas. En cada caso, de acuerdo con las circunstancias mencionadas en los numerales 1, 2, 3 y 4 del artículo 26 anterior, las medidas efectivas y apropiadas implementadas por el Responsable deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio. Dichas políticas deberán garantizar:

  1. La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012 y este decreto.
  1. La adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación.
  1. La adopción de procesos para la atención y respuesta a consultas, peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del tratamiento.

 

La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los datos personales que administra un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente decreto.

De acuerdo a esto, la función del oficial de protección de datos o del área encargada de protección de datos en la organización es:

  • Velar por la implementación efectiva de las políticas y procedimientos adoptados por ésta, para cumplir la norma de protección de datos personales
  • La implementación de buenas prácticas de gestión de datos personales dentro de la empresa con las siguientes acciones: (i) estructurar, diseñar y administrar el programa que permita a la organización cumplir con las normas sobre protección de datos, (ii) establecer los controles de ese programa, su evaluación y revisión permanente”

La Guía de Responsabilidad Demostrada de la SIC, complementa con los siguientes puntos:

“Ahora bien, las organizaciones para el desarrollo, implementación y seguimiento de un Programa Integral de Gestión de Datos Personales deben garantizar su eficacia permanente, el cumplimiento y la adherencia a estándares de responsabilidad demostrada. Los responsables deben supervisar, evaluar y revisar su programa para asegurar que siga siendo pertinente y eficaz, para ello el Oficial de Protección de Datos debe desarrollar un plan de supervisión y revisión anual”

 

  • Promover la elaboración e implementación de un sistema que permita administrar los riesgos del tratamiento de datos personales.
  • Coordinar la definición e implementación de los controles del Programa Integral de Gestión de Datos Personales.
  • Servir de enlace y coordinador con las demás áreas de la organización para asegurar una implementación transversal del Programa Integral de Gestión de Datos Personales.
  • Impulsar una cultura de protección de datos dentro de la organización.
  • Mantener un inventario de las bases de datos personales en poder de la Organización y clasificarlas según su tipo.
  • Registrar las bases de datos de la organización en el Registro Nacional de Bases de Datos y actualizar el reporte atendiendo a las instrucciones que sobre el particular emita la SIC.
  • Obtener las declaraciones de conformidad de la SIC cuando sea requerido.
  • Revisar los contenidos de los contratos de transmisiones internacionales de datos que se suscriban con Encargados no residentes en Colombia.
  • Analizar las responsabilidades de cada cargo de la organizacional, para diseñar un programa de entrenamiento en protección de datos personales especifico para cada uno de ellos.
  • Realizar un entrenamiento general en protección de datos personales para todos los empleados de la compañía
  • Realizar el entrenamiento necesario a los nuevos empleados, que tengan acceso por las condiciones de su empleo, a datos personales gestionados por la organización
  • Integrar las políticas de datos dentro de las actividades de las demás áreas de la organización (talento humano, seguridad, call centers y gestión de proveedores, etc)
  • Medir la participación, y calificar el desempeño de los empleados, se encuentre haber completado satisfactoriamente el entrenamiento sobre protección de datos personales.
  • Requerir que dentro de los análisis de desempeño de los empleados, se encuentre haber completado satisfactoriamente el entrenamiento sobre protección de datos personales
  • Velar por la implementación de planes de auditoria interna para verificar el cumplimiento de sus políticas de tratamiento de la información personal.
  • Acompañar y asistir a la organización en la atención de las visitas y los requerimientos que realice la SIC
  • Realizar seguimiento al Programa Integral de Gestión de Datos Personales.

La organización puede tercerizar esta labor contratando una empresa especializada para que desarrolle las actividades mencionadas o haga las veces de oficial de protección de datos personales, actuando de forma coherente con el tipo de organización y siendo un canal de comunicación consistente entre las áreas, colaboradores, directivos de la organización y la gerencia.