Preparado por Carlos Kure
En el mes de agosto de 2023, la Superintendencia de Industria y Comercio (en adelante, la “SIC”) expidió la “Guía Oficial de Protección de Datos Personales”[1] . Esta guía establece una serie de sugerencias para las organizaciones que pretendan designar un Oficial de Protección de Datos Personales (en adelante, “OPD”). Lo anterior, en cumplimiento del deber en cabeza de los Responsables[2] y Encargados[3] del Tratamiento de Datos Personales de designar a una persona o área que asuma la función de protección de datos personales[4].
Naturaleza y relevancia de la Guía
Es importante tener en cuenta que las sugerencias establecidas en la guía no corresponden a obligaciones legales, ni se consideran de obligatorio cumplimiento. Los lineamientos establecidos constituyen recomendaciones de la autoridad para que los Responsables y Encargados implementen medidas de responsabilidad demostrada con miras a dar cumplimiento a la Ley 1581 de 2012 y sus decretos reglamentarios, o el Régimen General de Protección de Datos Personales. En tal sentido, es pertinente tener en cuenta que la SIC, usualmente, toma en cuenta los lineamientos establecidos en sus guías como criterios de interpretación en la toma de decisiones relacionadas con el ejercicio de sus poderes de investigación y control autoridad de Protección de Datos Personales.
Recomendaciones sobre la Designación del OPD
La SIC reconoce que cada organización, como Responsable o Encargado del Tratamiento, tiene un papel fundamental en lo que respecta a posibilitar el desempeño del OPD en su cargo, empezando con su nombramiento. En tal sentido, la autoridad formula una serie de recomendaciones para tener en cuenta al momento de designar a la persona que asumirá el rol de OPD, incluyendo entre otras:
- Garantizar que el OPD sea accesible y fácil de ubicar. La guía recomienda poner a disposición del público la información de contacto del OPD que permita a los interesados ¬– dentro y fuera de la organización ¬– así como a la autoridad comunicarse con este de forma sencilla.
- Verificar y garantizar el conocimiento especializado del OPD en relación con la sensibilidad, complejidad y cantidad de datos que la organización trata. Adicionalmente, se recomienda verificar que OPD cuente con conocimientos relacionados al Régimen General de Protección de Datos Personales de Colombia, con las prácticas nacionales e internacionales en la materia, y con conocimiento del sector empresarial y de la organización de las prácticas y procedimientos del Resposable/Encargado.
- Procurar la participación del OPD en todas las cuestiones relativas a la Protección de Datos Personales. La guía considera importante que el OPD sea considerado como un interlocutor dentro de la organización y que forme parte de los correspondientes grupos de trabajo que se ocupan de las actividades relacionadas con el Tratamiento de datos dentro de la organización.
Recomendaciones sobre las Funciones del Oficial de Protección de Datos Personales
Adicionalmente, la SIC propone algunas sugerencias para que las organizaciones tengan en cuenta en relación con las funciones específicas a desempeñar por los OPDs:
- Supervisar la observancia del Régimen de Protección de Datos Personales:
Una de las funciones esenciales de los OPDs es justamente supervisar el cumplimiento de la normativa local de protección de datos personales. En tal sentido, la autoridad sugiere y desarrolla una lista de obligaciones específicas para lograr dicho cometido, incluyendo el informar, asesorar y emitir recomendaciones a la organización como Responsable o Encargado del Tratamiento, realizar un entrenamiento general en protección de datos personales para todos los empleados de la compañía e integrar las políticas de protección de datos dentro de las actividades de las áreas de la organización.
- Servir como un canal de cooperación con la autoridad de control y actuación como punto de contacto:
Es importante que el OPD actúe como un punto de contacto para facilitar el acceso de la SIC como autoridad de protección de datos personales a la información necesaria para el ejercicio de sus poderes de investigación y control. Adicionalmente, se recomienda que el OPD realice consultas a la SIC sobre cualquier asunto en el marco de su rol.
- Realizar el registro en el Registro Nacional de Bases de Datos:
En los casos que sea requerido por la ley, es recomendable que los OPD elaboren inventarios y mantengan un registro de las operaciones de tratamiento basándose en la información que les proporcionan las diferentes áreas del Responsable del Tratamiento de datos en la organización, y que en tal sentido asuma la tarea de realizar y actualizar el registro de esta en el RNBD.
No dude en contactar a Carlos Kure ckure@brickabogados.com o a Laura Rincón lrincon@brickabogados.com si tienen alguna inquietud o si desean ampliación sobre el tema anteriormente expuesto.
El presente documento ha sido preparado por Brick Abogados especialmente para sus clientes, únicamente con fines informativos, por lo cual no se considera como asistencia o recomendación legal.
[1] La guía se encuentra disponible en el siguiente enlace: https://www.sic.gov.co/sites/default/files/files/2023/Guia%20de%20datos%202023%20(2).pdf [2] El literal e del artículo 3 de la Ley 1581 de 2012 define la figura de Responsable del Tratamiento como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos [3] El literal d del artículo 3 de la Ley 1581 de 2012 define la figura del Encargado del Tratamiento como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. [4] Artículo 2.2.2.25.4.4., Decreto 1074 de 2015.