- Bogota D.C - Calle 67 N° 7-94 Oficina 604
- 3138834959 - 601 7953297 Ext. 120
El oficial de protección de datos personales OPD debe velar por la implementación efectiva de las políticas y procedimientos para cumplir el régimen de protección de datos personales de Colombia.
Dentro de sus funciones, la Superintendencia de Industria y Comercio de Colombia realiza labores para garantizar que en el tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la Ley de Habeas Data.
Bajo ese marco, esa autoridad de supervisión emitió una guía cuyo propósito es que los responsables y encargados del tratamiento de datos personales adopten algunas recomendaciones relevantes.
Entre ellas se encuentra el nombramiento y definición de funciones del oficial de protección de datos personales OPD, una figura vista como un mecanismo idóneo que puede ayudar al cumplimiento del principio de responsabilidad demostrada.
Respecto a este principio, hay que recordar que consiste en que los sujetos obligados deben estar en capacidad de demostrar que han implementado medidas apropiadas, efectivas y verificables para cumplir con las obligaciones establecidas en las normas.
La más reciente guía emitida por la SIC gira en torno a la designación del oficial de protección de datos personales OPD en las organizaciones.
Además, la Superintendencia refuerza la postura, defendida por Infolaft en múltiples escenarios y ocasiones, relacionada con el hecho de que las áreas de cumplimiento deben respetar y cumplir a cabalidad con la normatividad vigente de Habeas Data.
Lea también: TikTok muda datos de usuarios en Europa a Irlanda: ¿mayor protección de la privacidad?
De hecho, tanto la Superintendencia Financiera como la Superintendencia de Sociedades han estipulado que las organizaciones obligadas a cumplir con el SARLAFT y SAGRILAFT, respectivamente, deben dar pleno cumplimiento a las normas relacionadas con protección de datos personales.
Por esa razón es muy perjudicial caer en el error común de considerar que toda la información que aparece en Internet tiene naturaleza pública.
Según varios conceptos emitidos por la SIC, el solo hecho de que existan datos personales en sitios de acceso público –como Internet– no convierte a dichos datos personales en información pública.
Es más, la autoridad ha advertido que en esos casos el tratamiento de los datos deberá realizarse garantizando los derechos de habeas data y de intimidad del titular.
Además, dicho tratamiento debe dar aplicación a los principios de legalidad, finalidad, libertad, veracidad y calidad, transparencia, acceso y circulación restringida, seguridad, confidencialidad, consagrados en el artículo 4 de la Ley 1581 de 2012.
El mensaje de la SIC hacia las áreas de cumplimiento es claro y directo: en sus tareas de prevención del lavado de activos deben cumplir de forma estricta con las reglas estipuladas en materia de protección de datos personales. De no hacerlo, se exponen a fuertes sanciones.
De acuerdo con la guía, el oficial de protección de datos personales OPD debe velar por la implementación efectiva de las políticas y procedimientos para cumplir el régimen de protección de datos personales de Colombia.
Podría interesarle: X (Twitter) recopilará tus datos biométricos: las nuevas reglas de Elon Musk son una afrenta a la protección de datos personales
Adicionalmente, debe velar por la implementación de las buenas prácticas de gestión de datos personales dentro de las empresas.
En igual sentido, el oficial de protección de datos personales OPD tendrá a su cargo la función de estructurar, diseñar y administrar el programa que permita a la organización cumplir las normas sobre protección de datos personales, así como establecer los controles de ese programa, su evaluación y revisión permanente.
La respuesta a esta pregunta es un contundente sí. Por ejemplo, un grupo empresarial puede tener un único oficial de protección de datos personales OPD, siempre y cuando tenga acceso a la información de cada una de las organizaciones que integran el conglomerado.
De igual forma, es posible que una organización externa preste los servicios de oficial de protección de datos personales OPD a más de un responsable y/o encargado del tratamiento. Es decir, se permite la tercerización del oficial de protección de datos personales OPD.
Contenido relacionado: Protección de datos en Perú: Conoce la normativa actual, sanciones y las principales obligaciones que las empresas deben cumplir en esta materia
En todo caso, la SIC precisó que el oficial de protección de datos personales OPD no responde en caso de incumplimiento del régimen de protección de datos personales, ya que son los responsables y encargados del tratamiento quienes están obligados a garantizar y demostrar que dicho tratamiento se realiza de conformidad con la regulación nacional.
Al interior de la guía publicada por la SIC hay varios consejos dirigidos a las empresas que opten por nombrar un oficial de protección de datos personales OPD. Infolaft reproduce, a continuación, algunos de ellos:
FUENTE: Infolaft. »Oficial de protección de datos personales: funciones y tareas» Infolaft.com. 07/09/2023. (https://www.infolaft.com/oficial-de-proteccion-de-datos-personales-funciones-y-tareas).