Instrucciones a los administradores societarios para el tratamiento de datos personales

A continuación, se resumen los puntos clave de la circular:

1. Surgimiento de las obligaciones:

El artículo 2 de la Constitución Política de Colombia establece que uno de los fines esenciales del Estado es garantizar la efectividad de los principios y derechos constitucionales, incluyendo la protección del Habeas Data y el tratamiento de datos personales.

Por lo anterior, los administradores societarios tienen un rol crucial y deben asegurar el cumplimiento de las normas sobre tratamiento de datos personales, establecidas en leyes como la 1266 de 2008, la 1581 de 2012 y la 2157 de 2021, y sus decretos reglamentarios, por lo que tienen el deber de responsabilidad demostrada o “accountability", el cual exige a los administradores societarios adoptar medidas útiles, oportunas, eficientes y demostrables para acreditar el total y correcto cumplimiento de la regulación.

2. El administrador como responsable del tratamiento:

De acuerdo con la Ley Estatutaria 1581 de 2012, el responsable del Tratamiento de Datos es la persona natural o jurídica que decide sobre la base de datos y su manejo.

No obstante, los administradores societarios son corresponsables del Tratamiento cuando en conjunto con la persona jurídica determinen los fines o los elementos esenciales de los medios para el tratamiento de los datos personales.

3. Obligaciones de los administradores en el tratamiento de datos personales:

• Las obligaciones de los administradores respecto al Tratamiento de Datos Personales son:
• Cumplir con lo establecido en la regulación relativa a la protección de datos personales.
• Establecer Políticas Internas Efectivas para garantizar el debido tratamiento de datos personales en la actividad económica, las cuales deben ser objeto de monitoreo y control para garantizar su cumplimiento. 
• Adoptar mecanismos internos para hacer cumplir las Políticas Internas Efectivas, incluyendo herramientas de implementación, entrenamiento y programas de sensibilización que deben ser conocidos y promovidos por los administradores, a través de:

1. La designación de una persona o área que asumirá la función de protección de datos personales dentro de la organización;
2. Aprobar y verificar el real y efectivo cumplimiento de un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de las normas;
3. Establecer canales de comunicación que le permitan a la persona o al área responsable informar de manera periódica a los administradores sobre la ejecución de las políticas Internas Efectivas de la organización.

• Establecer los lineamientos corporativos adecuados para adoptar medidas preventivas que protejan los derechos de los titulares de datos personales, como lo son, los estudios de impacto de privacidad, los cuales, deben incluir:

1. Descripción detallada de las operaciones de tratamiento de datos personales.
2. Evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales, incluyendo la identificación y clasificación estos.
3. Las medidas previstas para evitar la materialización de los riesgos, medidas de seguridad, diseño de software, tecnologías y mecanismos que garanticen la protección de datos personales, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y de otras personas que puedan eventualmente resultar afectadas.

• Establecer lineamientos para fortalecer continuamente las medidas de seguridad de la información.

4. Conclusión

Los administradores societarios serán corresponsables del Tratamiento de Datos Personales cuando en conjunto con la persona jurídica determinen los fines o los elementos esenciales de los medios para el tratamiento de los datos personales.