Comercial y de la empresa


Gómez Pinzón

¿Se debe designar un Oficial de Protección de Datos en Colombia?

16 de febrero de 2024

Por: Alejandro Gómez Laserna

Asociado Junior Consultorio Gómez Pinzón
Gómez Pinzón

Canal de noticias de Asuntos Legales

Contenido

INTRODUCCIÓN

En los últimos años, el tratamiento de datos personales se ha convertido en una actividad que las organizaciones desarrollan por defecto en ejercicio de su objeto social. Como consecuencia, la regulación ha creado mecanismos para que los datos de los titulares sean tratados correctamente por las entidades privadas y públicas. Por ejemplo, en Europa, el Régimen General de Protección de Datos ha introducido la figura del Oficial de Protección de Datos (OPD), quien tiene como principal función vigilar el cumplimiento de la normativa aplicable al interior de la organización y velar por el respeto de los derechos de los titulares.

¿El régimen colombiano de protección de datos personales impone, obligatoriamente, la designación de un OPD?

El régimen colombiano de protección de datos personales (RCPDP) no establece, explícitamente, la designación de un OPD. Sin embargo, el Decreto 1377 de 2013 (compilado en el Decreto 1074 de 2015), el cual reglamentó la Ley 1581 de 2012, prevé que, tanto los encargados como los responsables del tratamiento tienen la obligación de designar a una persona o área que asuma la función de protección de datos personales. Además, los responsables del tratamiento están obligados a informar la existencia de dicha área o persona en sus políticas de privacidad.

Asimismo, de acuerdo con las últimas actualizaciones al Registro Nacional de Bases de Datos, se habilitó una función para que los responsables del tratamiento incluyan los datos de contacto de su OPD, el cual puede ser una persona natural o jurídica. Vale recalcar que dicha actualización se produjo con ocasión de los postulados del Decreto 1074 de 2015 en comento.

En conclusión, pese a que el RCPDP no prevé la designación de un OPD bajo esta acepción particular, lo cierto es que en la práctica los encargados y los responsables del tratamiento deben designar a una persona natural o jurídica que asuma este tipo de funciones.

¿Cuáles son las funciones de un OPD?

El RCPDP únicamente dispone que el OPD debe tramitar las peticiones, consultas y reclamos de los titulares en ejercicio de sus derechos.

Ahora, de forma no vinculante, la Superintendencia de Industria y Comercio (SIC) ha publicado una guía del OPD, la cual presenta directrices frente a su designación y las funciones que se esperaría que asumiera. Dentro de ellas se destaca la cooperación con la SIC; la realización de evaluaciones de impacto de privacidad; el análisis y comprobación del estado de cumplimiento del RCPDP; la implementación de un sistema de administración de riesgos derivados del tratamiento de información personal, así como la emisión de recomendaciones en materia de protección de datos personales al interior de la organización.

¿Cuál es su responsabilidad frente a la autoridad de protección de datos personales?

En principio, el OPD no está sujeto al cumplimento de las obligaciones del RCPDP a título personal, sino que asume la vigilancia en el cumplimiento de estas al interior de la entidad. Por ejemplo, si el OPD omitiera atender las solicitudes de los titulares, la SIC solo podría reprochar tal omisión a la organización que actúa como encargado o responsable del tratamiento, mas no al OPD.

*Alejandro Gómez Laserna, asociado Junior Consultorio Gómez Pinzón