Artículo 9

Principio de finalidad. Los responsables del tratamiento deberán recolectar datos con fines determinados y legítimos. Los datos no podrán utilizarse posteriormente de manera incompatible o diferente con dichos fines. El tratamiento ulterior de los datos personales con fines de investigación, estudios, encuestas o conocimientos de interés público, no se considerará incompatible con los fines que motivaron la recogida. Los fines del tratamiento de los datos determinarán el plazo de conservación de estos, transcurrido el cual el responsable del tratamiento los suprimirá o eliminará de sus archivos, registros, bases de datos, expedientes o sistemas de información, o en su caso, los someterá a un procedimiento de anonimización. Para determinar el plazo de conservación de los datos se acudirá a las leyes aplicables en cada caso y a las responsabilidades de todo orden que deban ser atendidas por el responsable del tratamiento o custodio de la base de datos. En el caso de datos personales relativos a condenas por delitos, infracciones administrativas o faltas disciplinarias se atenderá a lo dispuesto en el artículo 30 de la Ley 81 de 2019.

Principio de proporcionalidad. Para conocer qué datos son adecuados, pertinentes y mínimos necesarios para la finalidad perseguida con el tratamiento de los datos, los responsables del tratamiento y, en su caso, los custodios de la base de datos, tomarán en cuenta el estado de la tecnología, la naturaleza, ámbito, contexto y fines del tratamiento. Con este fin podrán realizar y documentar evaluaciones de impacto en protección de datos personales con el objeto de minimizar los datos objeto de tratamiento, conocer los riesgos que impliquen los tratamientos y adoptar las medidas y garantías necesarias para mitigarlos. La autoridad de control podrá definir aquellos supuestos en los que es recomendable realizar una evaluación de impacto y establecer las pautas o estándares a seguir en su desarrollo. Los responsables del tratamiento y los custodios de las bases de datos, adoptarán medidas organizativas que regulen el acceso a los datos personales en su entidad, conforme a este principio permitiendo el acceso a ellos únicamente a los empleados o funcionarios públicos que lo necesiten para el desarrollo de sus funciones y limitando el mismo a la cantidad de datos y al tiempo necesario para ello.

Principio de transparencia. Toda información o comunicación al titular de los datos personales relativa al tratamiento de éstos deberá ser en lenguaje sencillo y claro, y mantenerlo informado de todos los derechos que le amparan como titular del dato, así como la posibilidad de ejercer los derechos ARCO.

Principio de confidencialidad. Todas las personas que intervengan en el tratamiento de datos personales están obligadas a guardar secreto o reserva respecto de estos, incluso cuando hayan finalizado su relación con el titular o responsable del tratamiento de los datos, impidiendo el acceso o uso no autorizado.