Artículo 2.2.2.25.5.1. De la transferencia y transmisión internacional de datos personales.
Para la transmisión y transferencia de datos personales, se aplicarán las siguientes reglas:
- Las transferencias internacionales de datos personales deberán observar lo previsto en el artículo 26 de la Ley 1581 de 2012.
- Las transmisiones internacionales de datos personales que se efectúen entre un Responsable y un Encargado para permitir que el encargado realice el tratamiento por cuenta del responsable. No requerirán ser informadas al Titular ni contar con su consentimiento cuando exista un contrato en los términos del artículo 2.2.2.25.5.2.
(Lea También: e Reglamentan Los Artículos 12 y 13 de La Ley 1266 de 2008)
Artículo 2.2.2.25.5.2. Contrato de transmisión de datos personales.
El contrato que suscriba el Responsable con los encargados para el tratamiento de datos personales bajo su control y responsabilidad señalará los alcances del tratamiento. Las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y las obligaciones del Encargado para con el titular y el Responsable.
Mediante dicho contrato el Encargado se comprometerá a dar aplicación a las obligaciones del Responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables.
Además de las obligaciones que impongan las normas aplicables dentro del citado contrato. Deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:
- Dar Tratamiento, a nombre del Responsable, a los datos personales conforme a los principios que los tutelan.
- Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.
- Guardar confidencialidad respecto del tratamiento de los datos personales.
Responsabilidad Demostrada Frente al Tratamiento de Datos Personales
Artículo 2.2.2.25.6.1. Demostración.
Los responsables del tratamiento de datos personales deben ser capaces de demostrar. A petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este capítulo, en una manera que sea proporcional a lo siguiente:
- La naturaleza jurídica del responsable y, cuando sea del caso, su tamaño empresarial, teniendo en cuenta si se trata de una micro, pequeña, mediana o gran empresa. De acuerdo con la normativa vigente.
- La naturaleza de los datos personales objeto del tratamiento.
- El tipo de Tratamiento.
- Los riesgos potenciales que el referido tratamiento podrían causar sobre los derechos de los titulares.
En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, los Responsables deberán suministrar a esta una descripción de los procedimientos usados para la recolección de los datos personales. Como también la descripción de las finalidades para las cuales esta información es recolectada y una explicación sobre la relevancia de los datos personales en cada caso.
En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, quienes efectúen el Tratamiento de los datos personales deberán suministrar a esta evidencia sobre la implementación efectiva de las medidas de seguridad apropiadas:
Artículo 2.2.2.25.6.2. Políticas internas efectivas.
En cada caso, de acuerdo con las circunstancias mencionadas en los numerales 1, 2, 3 y 4 del artículo 2.2.2.25.6.1. las medidas efectivas y apropiadas implementadas por el Responsable deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio. Dichas políticas deberán garantizar:
- La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable. Para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012 y este capítulo.
- La adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación.
- La adopción de procesos para la atención y respuesta a consultas, peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del tratamiento.
La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas. Para el manejo adecuado de los datos personales que administra un Responsable. Será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente capítulo.
