Artículo 6

Definiciones. Para los efectos de este decreto, además de los términos contenidos en la Ley 81 de 2019, también regirán los siguientes: 1. Autoridad de control. La Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI), es el organismo de la administración pública responsable de supervisar, implementar y controlar el cumplimiento de la Ley 81 de 2019 y el presente decreto, en todo el territorio nacional. 2. Datos biométricos. Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona natural que permitan o confirmen la identificación única de dicha persona. 3. Datos genéticos. Datos personales relativos a las características genéticas heredadas o adquiridas de una persona natural que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona. 4. Datos relativos a la salud. Datos personales relativos a la condición física o mental de una persona natural, que revelen información sobre su estado de salud. 5. Derechos ARCO. Derechos irrenunciables básicos de los titulares de datos personales, e identificados como: derechos de acceso, rectificación, cancelación y oposición. 6. Destinatario: La persona natural o jurídica, autoridad pública, servicio u organismo al que se transfieran datos personales. 7. Elaboración de perfiles. Toda forma de tratamiento automatizado que utilice datos personales para evaluar determinados aspectos de una persona natural, y en particular para analizar o predecir aspectos relativos a su rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos. 8. Exportador. Persona natural o jurídica de carácter público o privado, domiciliado en el país, que efectúe transferencias de datos personales extrafronterizos, conforme a lo dispuesto en la Ley 81 de 2019 y el presente decreto. 9. Evaluación de impacto en protección de datos. Documentación del responsable del tratamiento que contiene la descripción de los procesos con datos personales que pueden generar riesgos para los derechos y deberes individuales y sociales, así como medidas, salvaguardas y mecanismos de mitigación de riesgos. 10. Oficial de Protección de Datos Personales. Funcionario designado para atender la unidad de enlace. 11. Regulador: Entidad del Estado encargada de fiscalizar a los sujetos de sectores regulados por leyes especiales. 12. Violación de la seguridad de los datos personales. Toda infracción a la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Principios. La protección de datos personales se rige por los principios de lealtad, finalidad, proporcionalidad, veracidad y exactitud, seguridad de los datos, transparencia, confidencialidad, licitud y portabilidad.

Principio de finalidad. Los responsables del tratamiento deberán recolectar datos con fines determinados y legítimos. Los datos no podrán utilizarse posteriormente de manera incompatible o diferente con dichos fines. El tratamiento ulterior de los datos personales con fines de investigación, estudios, encuestas o conocimientos de interés público, no se considerará incompatible con los fines que motivaron la recogida. Los fines del tratamiento de los datos determinarán el plazo de conservación de estos, transcurrido el cual el responsable del tratamiento los suprimirá o eliminará de sus archivos, registros, bases de datos, expedientes o sistemas de información, o en su caso, los someterá a un procedimiento de anonimización. Para determinar el plazo de conservación de los datos se acudirá a las leyes aplicables en cada caso y a las responsabilidades de todo orden que deban ser atendidas por el responsable del tratamiento o custodio de la base de datos. En el caso de datos personales relativos a condenas por delitos, infracciones administrativas o faltas disciplinarias se atenderá a lo dispuesto en el artículo 30 de la Ley 81 de 2019.

Principio de proporcionalidad. Para conocer qué datos son adecuados, pertinentes y mínimos necesarios para la finalidad perseguida con el tratamiento de los datos, los responsables del tratamiento y, en su caso, los custodios de la base de datos, tomarán en cuenta el estado de la tecnología, la naturaleza, ámbito, contexto y fines del tratamiento. Con este fin podrán realizar y documentar evaluaciones de impacto en protección de datos personales con el objeto de minimizar los datos objeto de tratamiento, conocer los riesgos que impliquen los tratamientos y adoptar las medidas y garantías necesarias para mitigarlos. La autoridad de control podrá definir aquellos supuestos en los que es recomendable realizar una evaluación de impacto y establecer las pautas o estándares a seguir en su desarrollo. Los responsables del tratamiento y los custodios de las bases de datos, adoptarán medidas organizativas que regulen el acceso a los datos personales en su entidad, conforme a este principio permitiendo el acceso a ellos únicamente a los empleados o funcionarios públicos que lo necesiten para el desarrollo de sus funciones y limitando el mismo a la cantidad de datos y al tiempo necesario para ello.