Artículo 32

Limitaciones al ejercicio de los derechos. Sin perjuicio de las limitaciones indicadas, en los artículos anteriores, podrá limitarse el ejercicio de los derechos del titular de los datos personales, en cualquiera de los siguientes casos: 1. Cuando el tratamiento sea necesario para el cumplimiento de un objetivo de interés público. 2. Cuando el tratamiento impida o entorpezca el debido trámite dentro de un proceso administrativo o judicial o por seguridad del Estado. 3. Cuando sea necesario para el ejercicio de las funciones propias de las autoridades públicas. 4. Cuando sea solicitado por las autoridades judiciales competentes para el aseguramiento del cumplimiento de la ley, con las condiciones previstas en la Ley 81 de 2019. 5. Cuando el responsable del tratamiento acredite tener motivos legítimos para que el tratamiento prevalezca sobre los intereses, los derechos y las libertades del titular. 6. Cuando el tratamiento sea necesario para el cumplimiento de una ley. 7. Cuando los datos personales sean necesarios para el mantenimiento o cumplimiento de una relación jurídica o contractual.

Ejercicio del derecho de portabilidad. El interesado tendrá derecho a recibir los datos personales que le incumben, en un formato estructurado, genérico, de uso común y lectura mecánica, bien para reutilizarlos para sí mismo, o para transmitirlos a otro responsable del tratamiento sin que el responsable pueda impedirlo. Son condiciones para el ejercicio de este derecho: 1. Que los datos los haya facilitado el titular directamente al responsable del tratamiento. 2. Que el tratamiento esté basado en el consentimiento o en un contrato. 3. Que sea un volumen relevante de datos y el tratamiento se efectúe por medios automatizados. El interesado tendrá derecho a que los datos personales se transmitan directamente a él o que el responsable los transmita directamente a otro responsable cuando sea técnicamente posible, por medios seguros e interoperables. Quedan excluidos de este derecho los datos que deriven de otra condición de licitud para el tratamiento o los que resulten de la elaboración propia del responsable del tratamiento.

Responsabilidad en el tratamiento. El responsable del tratamiento y el custodio de la base de datos implementarán los mecanismos necesarios para acreditar el cumplimiento de los principios y obligaciones establecidas en la Ley 81 de 2019 y en el presente decreto. Rendirán cuentas sobre el tratamiento de datos personales en su posesión al titular de los datos y a la autoridad de control. Para ello, deberán elaborar una ficha técnica que contendrá los protocolos, procesos y procedimientos de gestión y transferencia segura de los datos, que será fiscalizado y supervisado por la autoridad de control. Los responsables del tratamiento y los custodios de la base de datos podrán adoptar, entre otras, las siguientes medidas: 1. Elaborar protocolos y procesos de protección de datos personales obligatorios y exigibles al interior de la organización del responsable del tratamiento o custodios de la base de datos. 2. Revisar periódicamente los procedimientos de gestión y transferencia segura de los datos personales para determinar las modificaciones que se requieran. Para ello podrán establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales. 3. Cumplir con las normas o estándares nacionales o internacionales en materia de protección de datos personales. 4. Adoptar mecanismos de autorregulación vinculantes en materia de protección de datos personales. 5. Elaborar y mantener actualizado el registro de bases de datos a que se refiere la Ley 81 de 2019. 6. Evaluar el impacto de los tratamientos de datos a realizar, antes de su ejecución, para garantizar la proporcionalidad y minimización de datos en el tratamiento. 7. Establecer protocolos para la atención y respuesta al ejercicio de los derechos por los titulares de los datos. 8. Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones en materia de protección de datos personales. 9. Designar a un oficial de protección de datos, que participe de forma adecuada y en tiempo oportuno, en todas las cuestiones relativas a la protección de datos personales.

Deber de confidencialidad. Los responsables del tratamiento y/o los custodios de la base de datos, así como todas las personas que intervengan en cualquier fase del tratamiento de los datos, estarán sujetas al deber de secreto o confidencialidad, respecto de los datos personales objeto de tratamiento a los que tengan acceso por razón de sus funciones. Para tal fin, garantizarán que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad y así lo reflejarán en los protocolos de tratamiento de datos de sus entidades públicas y privadas. Esta obligación será complementaria al secreto profesional de conformidad con la ley aplicable. Se aplicará durante todo el tiempo que dure el tratamiento y se mantendrá aun cuando hubiese finalizado la relación del empleado o funcionario con el responsable del tratamiento o el custodio de la base de datos.