Oficial de protección de datos personales OPD. Imagen Freepik
El oficial de protección de datos personales OPD debe velar por la implementación efectiva de las políticas y procedimientos para cumplir el régimen de protección de datos personales de Colombia.
Dentro de sus funciones, la Superintendencia de Industria y Comercio de Colombia realiza labores para garantizar que en el tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la Ley de Habeas Data.
Bajo ese marco, esa autoridad de supervisión emitió una guía cuyo propósito es que los responsables y encargados del tratamiento de datos personales adopten algunas recomendaciones relevantes.
Entre ellas se encuentra el nombramiento y definición de funciones del oficial de protección de datos personales OPD, una figura vista como un mecanismo idóneo que puede ayudar al cumplimiento del principio de responsabilidad demostrada.
Respecto a este principio, hay que recordar que consiste en que los sujetos obligados deben estar en capacidad de demostrar que han implementado medidas apropiadas, efectivas y verificables para cumplir con las obligaciones establecidas en las normas.
¿Cómo interpretar la nueva guía?
La más reciente guía emitida por la SIC gira en torno a la designación del oficial de protección de datos personales OPD en las organizaciones.
Además, la Superintendencia refuerza la postura, defendida por Infolaft en múltiples escenarios y ocasiones, relacionada con el hecho de que las áreas de cumplimiento deben respetar y cumplir a cabalidad con la normatividad vigente de Habeas Data.
De hecho, tanto la Superintendencia Financiera como la Superintendencia de Sociedades han estipulado que las organizaciones obligadas a cumplir con el SARLAFT y SAGRILAFT, respectivamente, deben dar pleno cumplimiento a las normas relacionadas con protección de datos personales.
Por esa razón es muy perjudicial caer en el error común de considerar que toda la información que aparece en Internet tiene naturaleza pública.
Según varios conceptos emitidos por la SIC, el solo hecho de que existan datos personales en sitios de acceso público –como Internet– no convierte a dichos datos personales en información pública.
Es más, la autoridad ha advertido que en esos casos el tratamiento de los datos deberá realizarse garantizando los derechos de habeas data y de intimidad del titular.
Además, dicho tratamiento debe dar aplicación a los principios de legalidad, finalidad, libertad, veracidad y calidad, transparencia, acceso y circulación restringida, seguridad, confidencialidad, consagrados en el artículo 4 de la Ley 1581 de 2012.
El mensaje de la SIC hacia las áreas de cumplimiento es claro y directo: en sus tareas de prevención del lavado de activos deben cumplir de forma estricta con las reglas estipuladas en materia de protección de datos personales. De no hacerlo, se exponen a fuertes sanciones.
¿Cuál es la función del oficial de protección de datos personales OPD?
De acuerdo con la guía, el oficial de protección de datos personales OPD debe velar por la implementación efectiva de las políticas y procedimientos para cumplir el régimen de protección de datos personales de Colombia.
Adicionalmente, debe velar por la implementación de las buenas prácticas de gestión de datos personales dentro de las empresas.
En igual sentido, el oficial de protección de datos personales OPD tendrá a su cargo la función de estructurar, diseñar y administrar el programa que permita a la organización cumplir las normas sobre protección de datos personales, así como establecer los controles de ese programa, su evaluación y revisión permanente.
¿Es posible designar un único oficial de protección de datos personales OPD para varias organizaciones?
La respuesta a esta pregunta es un contundente sí. Por ejemplo, un grupo empresarial puede tener un único oficial de protección de datos personales OPD, siempre y cuando tenga acceso a la información de cada una de las organizaciones que integran el conglomerado.
De igual forma, es posible que una organización externa preste los servicios de oficial de protección de datos personales OPD a más de un responsable y/o encargado del tratamiento.
Es decir, se permite la tercerización del oficial de protección de datos personales OPD.
En todo caso, la SIC precisó que el oficial de protección de datos personales OPD no responde en caso de incumplimiento del régimen de protección de datos personales, ya que son los responsables y encargados del tratamiento quienes están obligados a garantizar y demostrar que dicho tratamiento se realiza de conformidad con la regulación nacional.
Designación del OPD: recomendaciones de la SIC
Al interior de la guía publicada por la SIC hay varios consejos dirigidos a las empresas que opten por nombrar un oficial de protección de datos personales OPD. Infolaft reproduce, a continuación, algunos de ellos:
- Las organizaciones deben tener en cuenta los conocimientos del OPD, los cuales deben ser acordes con la sensibilidad, complejidad y cantidad de datos que deben ser tratados.
- El oficial de protección de datos personales OPD debe participar con regularidad en reuniones con los directivos de la organización.
- Es importante que el oficial de protección de datos personales OPD esté presente cuando se tomen decisiones con implicaciones para la protección de datos personales. Toda la información pertinente debería ser transmitida oportunamente al OPD para que pueda prestar una asesoría adecuada.
- Las opiniones del OPD deberían ser tenidas en cuenta. En caso de desacuerdos, se recomienda documentar los motivos por los cuales se desatiende el consejo del OPD por parte de la organización.
- El oficial de protección de datos personales OPD debe ser consultado con prontitud una vez se produzcan brechas a los códigos de seguridad de la organización o cualquier incidente que afecte la información.
- El OPD debe contar con los recursos necesarios para el adecuado cumplimiento de las funciones asignadas.
- Se recomienda establecer dentro de la organización algunas garantías básicas que contribuyan a asegurar que los OPD puedan realizar sus tareas con el suficiente grado de autonomía.
- Idealmente, el oficial de protección de datos personales OPD debería rendir cuentas directamente al más alto nivel jerárquico de la organización.
- El OPD es una persona idónea para cumplir con las tareas asociadas al Registro Nacional de Bases de Datos.
