Tratamiento de Datos Personales, Seguridad y Privacidad de La Información  

ARTÍCULO 2.2.17.6.1. Responsable y encargado del tratamiento.

Los operadores de servicios ciudadanos digitales serán responsables del tratamiento de los datos personales que los ciudadanos le suministren directamente y encargados del tratamiento respecto de los datos que otras entidades le proporcionen.

En cada caso, los operadores de servicios ciudadanos digitales deberán cumplir los deberes legales que les corresponden como responsables o encargados y sin perjuicio de las obligaciones que se establecen en el presente título. 

ARTÍCULO 2.2.17.6.2. Evaluación del impacto de tratamiento de datos personales.

Antes de dar inicio a la prestación del servicio, los operadores de servicios ciudadanos digitales deberán evaluar el impacto de las operaciones de dichos servicios en el tratamiento de datos personales, la cual deberá incluir como mínimo lo siguiente:

1. Una descripción detallada de las operaciones de tratamiento de datos personales que involucra la prestación de los servicios ciudadanos digitales y de los fines del tratamiento;
2. Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
3. Una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales, y
4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad, diseño de software, tecnologías y mecanismos que garanticen la protección de datos personales, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y de otras personas eventualmente afectadas.

Los resultados de esta evaluación junto con las medidas para mitigar los riesgos serán tenidas en cuenta e implementadas como parte de la aplicación del fundamento de privacidad por diseño y por defecto.

(Lea También: Reglamentación parcial del Capítulo IV del Título III de la Ley 1437 de 2011)

ARTÍCULO 2.2.17.6.3.  Responsabilidad demostrada y programa integral de gestión de datos.

Los operadores de servicios ciudadanos digitales deberán adoptar medidas apropiadas, efectivas y verificables que le permitan demostrar el correcto cumplimiento de las normas sobre tratamiento de datos personales. Para el efecto, deben crear e implementar un Programa Integral de Gestión de Datos (PIGD), como mecanismo operativo para garantizar el debido tratamiento de los datos personales.

El PIGD debe cumplir las instrucciones de la Superintendencia de Industria y Comercio, en particular, la guía para la implementación del principio de responsabilidad demostrada (accountability) de dicha entidad.

ARTÍCULO 2.2.17.6.4. Delegado de protección de datos.

Cada operador designará un encargado de protección de datos que acredite conocimientos especializados en la materia, que actuará de manera autónoma, imparcial e independiente y que tendrá, como mínimo, las siguientes funciones:

1. Velar por el respeto de los derechos de los titulares de los datos personales respecto del tratamiento de datos que realice el operador.
2. Informar y asesorar al operador en relación con las obligaciones que les competen en virtud de la regulación colombiana sobre privacidad y tratamiento de datos personales.
3. Supervisar el cumplimiento de lo dispuesto en la citada regulación y en las políticas de tratamiento de información del operador y del principio de responsabilidad demostrada.
4. Prestar el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos.
5. Atender los lineamientos y requerimientos que le haga la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio o quien haga sus veces. 

ARTÍCULO 2.2.17.6.5. Privacidad por diseño y por defecto.

Los operadores de servicios ciudadanos digitales deberán atender las buenas prácticas y principios desarrollados en el ámbito internacional en relación con la protección y tratamiento de datos personales que son adicionales a la Accountability, y que se refieren al Privacy by design (PbD) y Privacy Impact Assessment (PIA), cuyo objetivo se dirige a que la protección de la privacidad y de los datos no puede ser asegurada únicamente a través del cumplimiento de la normativa, sino que debe ser un modo de operar de las organizaciones, y aplicarlo a los sistemas de información, modelos, prácticas de negocio, diseño físico, infraestructura e interoperabilidad, que permita garantizar la privacidad al ciudadano y a las empresas en relación con la recolección, uso, almacenamiento, divulgación y disposición de los mensajes de datos para los servicios ciudadanos digitales gestionados por el operador.

Para ello los operadores deberán tener en cuenta los siguientes lineamientos:

1. Realizar y actualizar las evaluaciones del impacto de tratamiento de los datos personales y el Programa Integral de Gestión de Datos Personales ante cambios que generen riesgos de privacidad.
2. Incorporar prácticas y procesos de desarrollo necesarios destinados a salvaguardar la información personal de los individuos a lo largo del ciclo de vida de un sistema, programa o servicio.
3. Mantener las prácticas y procesos de gestión adecuados durante el ciclo de vida de los datos que son diseñados para asegurar que sistemas de información cumplen con los requisitos, políticas y preferencias de privacidad de los ciudadanos.
4. Uso de los máximos medios posibles necesarios para garantizar la seguridad, confidencialidad e integridad de información personal durante el ciclo de vida de los datos, desde su recolección original, a través de su uso, almacenamiento, difusión y seguro destrucción al final del ciclo de vida.
5. Asegurar la infraestructura, sistemas TI, y prácticas de negocios que interactúan o implican el uso de cualquier información o dato personal siendo sujeta a verificación independiente por parte de todas las partes interesadas, incluyendo clientes, usuarios y organizaciones afiliadas.

ARTÍCULO 2.2.17.6.6. Seguridad de la información.

Los actores que traten información, en el marco del presente título, deberán adoptar medidas apropiadas, efectivas y verificables de seguridad que le permitan demostrar el correcto cumplimiento de las buenas prácticas consignadas en el modelo de seguridad y privacidad de la información emitido por el Ministerio de Tecnologías de la Información y las Comunicaciones, o un sistema de gestión de seguridad de la información certificable. Esto con el fin de salvaguardar la confidencialidad, integridad y disponibilidad de los activos de información.

ARTÍCULO 2.2.17.6.7. Limitación al uso de la información.

Los datos personales, la información contenida en la carpeta ciudadana y los datos enviados a través de los servicios de interoperabilidad de los usuarios y en general la información generada, producida, almacenada, enviada o compartida en la prestación de los servicios ciudadanos digitales, no podrán ser objeto de comercialización ni de explotación económica de ningún tipo, salvo autorización expresa del titular de los datos.