LA SIC EMITIÓ UNA GUÍA EN LA QUE ACLARA LAS FUNCIONES Y NOMBRAMIENTO DEL OFICIAL DE PROTECCIÓN DE DATOS PERSONALES
Recientemente, la Superintendencia de Industria y Comercio (SIC) publicó la guía en la que trata sobre el Oficial de Protección de Datos Personales (OPD) (la Guía), con el objetivo de proporcionar sugerencias a las organizaciones que, en aplicación del principio de responsabilidad demostrada, estén interesadas en nombrar un OPD.
El régimen de protección de datos en Colombia propende por que los responsables y encargados del tratamiento puedan demostrar que han implementado las medidas adecuadas para garantizar los derechos de los titulares, y en general, el cumplimiento de la regulación.
La Guía reconoce que el OPD no es un cargo reconocido por la legislación aplicable, aunque interpreta su necesidad, según algunas obligaciones incorporadas en la regulación aplicable conforme a las cuales es necesario contar con un área o persona a cargo de atender los requerimientos de titulares; y como parte del cumplimiento del principio de responsabilidad demostrada, para fortalecer el sistema de protección de datos personales de la compañía. En consecuencia, aunque no es obligatorio tener un OPD podría ser recomendable, dependiente del tamaño de la organización, así como de la dimensión y sensibilidad de las actividades de tratamiento que realiza.
A continuación, encontrará un resumen de las sugerencias presentadas por la SIC en la Guía:
1. Características del OPD
El OPD puede ser una persona o entidad designada para garantizar el cumplimiento del principio de responsabilidad demostrada en materia de datos personales. Al respecto anota la SIC:
a. Puede ser una persona natural perteneciente a la organización, o una persona o entidad externa (ej. una firma de abogados), incluso puede ser la misma persona o entidad para un grupo de organizaciones afiliadas (ej. grupos empresariales). No es obligatorio que sea un empleado, o una persona natural. En el caso en que sea una entidad externa, se debe asegurar que existe una persona natural a cargo de las funciones de OPD.
b. Los encargados del tratamiento solo deberán nombrar un OPD si el responsable lo requiere en el acuerdo de transmisión y procesamiento de datos.
c. Debe ser fácilmente accesible dentro y fuera de la organización, por lo que se recomienda la divulgación de sus datos de contacto tales como dirección, número telefónico de trabajo, dirección de correo electrónico, o incluso de cara al público mediante líneas directas o formularios de contacto en sitios web.
2. Funciones del OPD
Se recomienda que el perfil y las funciones del OPD se describan en manuales internos de la organización, y en el contrato que se suscriba con el OPD. Algunas de las funciones que la SIC recomienda que se le asignen al OPD son:
a. Asesorar al responsable o encargado en el cumplimiento de la normativa en materia de datos personales; y coordinar la implementación de programas de control internos en materia de datos personales.
b. Promover la implementación de sistemas de administración riesgos, y en general, promover una cultura de protección de datos dentro de la organización, consistente en revisión de contratos, entrenamiento a nuevos colaboradores y capacitación constante a empleados.
c. Gestionar el RNBD, lo que incluye entre otras actividades, actualizar el registro de las bases de datos de la organización en el RNBD.
3. Recomendaciones en relación al OPD y sus funciones
Los siguientes son algunos aspectos a tener en cuenta si la organización planea contar con un OPD:
a. El OPD debe tener conocimientos sobre el Régimen General de Protección de Datos en Colombia; más allá de eso el perfil específico del OPD apropiado para una organización dependerá de las características de la misma y de las actividades de tratamiento de datos que realiza.
b. El OPD debe contar con autonomía e independencia dentro de la organización, y por lo tanto ningún miembro de la organización debe imponer o sugerir al OPD las formas de abordar un asunto. Además, se debe evitar que esté inmerso en conflictos de interés, y por lo tanto si es una persona que ya se encuentra en la organización se debe ser muy cuidadoso al momento de nombrarlo de tal forma que no sea una persona que determina los fines y medios del tratamiento de datos personales.
c. La organización podrá desatender las recomendaciones del OPD, caso en el cual se deberán dejar plenamente documentadas las razones de tal decisión.
d. El OPD debe participar en las cuestiones y decisiones relativas al tratamiento de datos.
e. En la medida en que se nombre un OPD, la organización debe propender por otorgar acceso a la información y a los recursos necesarios para realizar su labor, e involucrar al OPD en todos los escenarios con potencial impacto en datos personales, incluyendo la estructuración de nuevos proyectos.
Finalmente, es importante anotar que el nombramiento de un OPD no pretende trasladar la responsabilidad sobre el cumplimiento de la normativa de datos al DPO designado; pues el primer y principal obligado es la organización en su calidad de responsable o encargado del tratamiento.
En caso de requerir mayor información o tener dudas o inquietudes, no dude en contactarnos.
Autor: María Alejandra De Los Ríos I [email protected] I Protección de Datos y Privacidad Mónica María Moreno I [email protected] I Protección de Datos y Privacidad
