Conpes 3995 Política Nacional de Confianza y Seguridad Digital
julio 30, 2020
Cinco recomendaciones legales para la protección de los Datos Personales en los Procesos de Selección.
agosto 1, 2020
Curso: Oficial de Protección de Datos Personales
Curso 2023: Oficial de Protección de Datos Personales
El Oficial de Protección de Datos Personales en Colombia es una figura que tiene cada vez mayor acogida en las organizaciones de todos los sectores y diferentes tamaños. Sin embargo, esta figura ha ido adecuándose conforme a las características propias de las organizaciones.
esquemas de adopción:
Algunos esquemas que las Organizaciones han incorporado para la figura del Oficial de Protección de Datos Personales, son las siguientes:
- Creación del Cargo de Oficial de Protección de Datos Personales (muy frecuente en Universidades, Entidades financieras, Hospitales)
- Creación del Rol de Oficial de Protección de Datos Personales en cargos como Oficiales de Cumplimiento, Oficial de Seguridad de la Información, Equipo de Riesgos, Oficinas de TI, Director o funcionarios del Proceso de Planeación o de Calidad, entre otros.
- Auxiliar/Asistente o Rol operativo del Oficial de Protección de Datos Personales que depende de un Jefe Oficial de Protección de Datos Personales (como Rol)
- Comité que cumple las funciones de Oficial de Protección de Datos Personales o Comités Consultivos de Protección de Datos Personales (conformado por el área jurídica, mercadeo, TI, Riesgos, RRHH, entre otros)
- Consultores externos (firmas de abogados y/o abogados independientes) que cumplen la función de Oficial de Protección de Datos Personales.
- Contratistas del Estado que cumplen con dicha función, sin tener el rotulo de “Oficial de Protección de Datos Personales”
Reconocimiento legal
En Colombia, la figura del Oficial de Protección de Datos Personales no se encuentra reconocida expresamente en la normatividad en protección de datos personales. No obstante, antes de tomarnos a la ligera dicha afirmación, es importante precisar que el Decreto 1377 de 2013, establece algunas consideraciones que nos puede dar pista sobre la necesidad de tener esta figura dentro de la organización.
Primero:
En los requisitos que debe contener la política de tratamiento de la información, establece que se debe mencionar la persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos.
Segundo:
En el artículo 26 del mencionado decreto, reconoce el principio de responsabilidad demostrada. Dicho principio, se encuentra desarrollado en la Guía de Responsabilidad Demostrada de la SIC. Por lo anterior, al adoptar este principio, se espera que el Responsable, tenga en cuenta esta figura.
Reforzando la afirmación del punto anterior, el artículo 27 del Decreto 1377, menciona que “…las medidas efectivas y apropiadas implementadas por el Responsable deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio. Dichas políticas deberán garantizar:
- La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012 y este decreto.
- La adopción de mecanismos internos para poner en práctica esas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación.
- La adopción de procesos para la atención y respuestas a consultas, peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del tratamiento.
(…)
En este caso, los requisitos que esta pidiendo este artículo, se materializa en un Proceso de Gestión de Datos Personales, el cual, tiene que tener un doliente, y en general, un responsable de su ejecución y correcto funcionamiento.
Tercero:
Por otro lado, el reciente Decreto 620 de 2020, relativo a los servicios ciudadanos digitales, dispuso en el artículo 2.2.17.5.4 que todo responsable y encargado del tratamiento deberá designar a una persona o área que asuma la función de protección de datos personales (…) entre otros, conforme a la Guía de Responsabilidad Demostrada de la SIC.
Funciones del Oficial de Protección de Datos Personales
La Guía de Responsabilidad Demostrada trae una serie de actividades que debe desempeñar el Oficial de Protección de Datos Personales, ya lo habíamos mencionado hace un tiempo atrás.
El Decreto 620 de 2020, en su artículo 2.2.17.5.4 también establece otras obligaciones para el Oficial de Protección de Datos Personales para el Sector Público.
- Velar por el respeto de los derechos de los titulares de los datos personales respecto del tratamiento de datos que realice el prestador de servicios ciudadanos digitales.
- Informar y asesorar al prestador de servicios ciudadanos digitales en relación con las obligaciones que les competen en virtud de la regulación colombiana sobre privacidad y tratamiento de datos personales.
- Supervisar el cumplimiento de lo dispuesto en la citada regulación y en las políticas de tratamiento de información del prestador de servicios ciudadanos digitales, así como del principio de responsabilidad demostrada.
- Prestar el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos.
- Atender los lineamientos y requerimientos que le haga la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio o quien haga sus veces.
No obstante, ese mismo Decreto establece que las entidades públicas deberán:
- Realizar y actualizar las evaluaciones de impacto del tratamiento de los datos personales y el Programa Integral de Gestión de Datos Personales ante cambios que generen riesgos de privacidad.
- Incorporar prácticas y procesos de desarrollo necesarios destinados a salvaguardar la información personal de los individuos a lo largo del ciclo de vida de un sistema, programa o servicio.
- Mantener las prácticas y procesos de gestión adecuados durante el ciclo de vida de los datos que son diseñados para asegurar que los sistemas de información cumplen con los requisitos, políticas y preferencias de privacidad de los ciudadanos.
- Adoptar las medidas necesarias para preservar la seguridad, confidencialidad e integridad de la información personal durante el ciclo de vida de los datos, desde su recolección original, a través de su uso, almacenamiento, circulación y supresión al final del ciclo de vida.
(..)
- Contar con una estrategia de seguridad y privacidad de la información, seguridad digital y continuidad de la prestación del servicio, en la cual, deberán hacer periódicamente una evaluación del riesgo de seguridad digital que incluya una identificación de las mejoras a implementar en su Sistema de Administración del Riesgo Operativo. Para lo anterior, deben contar con normas. políticas. procedimientos. recursos técnicos, administrativos y humanos necesarios para gestionar efectivamente el riesgo (…)
Conclusión
En el sector privado en principio, no es obligatorio la figura del Oficial de Protección de Datos, sin embargo, con los antecedentes legales mencionados anteriormente, es mejor que la Organización cuente con uno, no solo por los argumentos normativos mencionados, sino, porque es uno de los pasos necesarios que ayudan a que las políticas adoptadas en el cumplimiento de la norma, sean evaluadas, actualizadas, que cuenten con un seguimiento y que internamente exista un responsable para que dichas políticas funcionen, aunque es tarea de todos.
En el sector público, la figura del Oficial de Protección de Datos Personales se convierte en obligatoria, teniendo en cuenta su manifestación expresa en este nuevo Decreto. No obstante, aún falta camino por recorrer, debido a que el Departamento Administrativo de la Función Pública, deberá establecer (presumo) la incorporación de este nuevo cargo en las estructuras administrativas de las entidades públicas y por su puesto en el manual de funciones.
