Artículo 34

Obligaciones del regulador o autoridad reguladora. El regulador o autoridad reguladora de cada sector, contará con un periodo de nueve meses, a partir de la entrada en vigencia del presente decreto, para establecer dentro de su normativa todos los protocolos, procesos y los procedimientos de tratamiento y transferencias segura que deban cumplir los sujetos regulados.

Responsabilidad en el tratamiento. El responsable del tratamiento y el custodio de la base de datos implementarán los mecanismos necesarios para acreditar el cumplimiento de los principios y obligaciones establecidas en la Ley 81 de 2019 y en el presente decreto. Rendirán cuentas sobre el tratamiento de datos personales en su posesión al titular de los datos y a la autoridad de control. Para ello, deberán elaborar una ficha técnica que contendrá los protocolos, procesos y procedimientos de gestión y transferencia segura de los datos, que será fiscalizado y supervisado por la autoridad de control. Los responsables del tratamiento y los custodios de la base de datos podrán adoptar, entre otras, las siguientes medidas: 1. Elaborar protocolos y procesos de protección de datos personales obligatorios y exigibles al interior de la organización del responsable del tratamiento o custodios de la base de datos. 2. Revisar periódicamente los procedimientos de gestión y transferencia segura de los datos personales para determinar las modificaciones que se requieran. Para ello podrán establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales. 3. Cumplir con las normas o estándares nacionales o internacionales en materia de protección de datos personales. 4. Adoptar mecanismos de autorregulación vinculantes en materia de protección de datos personales. 5. Elaborar y mantener actualizado el registro de bases de datos a que se refiere la Ley 81 de 2019. 6. Evaluar el impacto de los tratamientos de datos a realizar, antes de su ejecución, para garantizar la proporcionalidad y minimización de datos en el tratamiento. 7. Establecer protocolos para la atención y respuesta al ejercicio de los derechos por los titulares de los datos. 8. Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones en materia de protección de datos personales. 9. Designar a un oficial de protección de datos, que participe de forma adecuada y en tiempo oportuno, en todas las cuestiones relativas a la protección de datos personales.

Registro de las bases de datos. El registro de las bases de datos transferidas a terceros constará por escrito, por cualquier medio, inclusive por medios electrónicos. Respecto de cada base de datos se dejará constancia en dicho registro de: 1. La identificación de la base de datos. 2. La identificación del responsable de la base de datos. 3. La naturaleza de los datos personales que contiene, esto es, la descripción del universo de personas que comprende la base de datos. 4. Las condiciones de legitimación aplicables. 5. La finalidad o finalidades del tratamiento. 6. Los procedimientos de obtención y tratamiento de los datos. 7. El plazo de conservación de los datos. 8. El destino de los datos y las personas naturales o jurídicas a las que pueden ser transferidos. 9. Las medidas técnicas y organizativas de seguridad adoptadas, al menos un resumen de ellas o la referencia a la política o protocolo donde se describen. 10. Los protocolos aplicables a la base de datos, tales como los referentes a la atención y respuesta del ejercicio de los derechos por los titulares de los datos. 11. La descripción técnica de la base de datos. 12. La identificación y periodo de todas las personas que han ingresado a los datos personales dentro de los quince días hábiles desde que se inicie la actividad. Los responsables del tratamiento y/o los custodios de la base de datos mantendrán el registro actualizado, de forma que responda con veracidad a la realidad de los tratamientos que se lleven a cabo. Estará a disposición de la autoridad de control cuando ésta lo requiera.

Seguridad de los datos personales. Las medidas técnicas y organizativas deben ser suficientes para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento de los datos personales. Para ello se tomará como referencia las normas o estándares nacionales e internacionales en la materia, así como también los mecanismos de autorregulación vinculantes o cualquier otro mecanismo que se determine adecuado para tales fines. Para determinar estas medidas, se considerarán los siguientes factores: 1. El riesgo para los derechos y libertades de los titulares, en particular, por el valor potencial cuantitativo y cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión. 2. El estado de la tecnología. 3. Los costos para la aplicación de las medidas. 4. La naturaleza de los datos personales tratados, en especial, si se trata de datos personales sensibles. 5. El alcance, contexto y las finalidades del tratamiento. 6. Las transferencias internacionales de datos personales que se realicen o pretendan realizar. 7. El número de los titulares afectados. 8. Las posibles consecuencias que se derivarán de una violación de seguridad de los datos para los titulares; 9. Las violaciones de seguridad de los datos previas, ocurridas en el tratamiento de datos personales. Una vez analizados los riesgos del tratamiento y determinadas las medidas a adoptar, el responsable del tratamiento y/o el custodio de la base de datos llevará a cabo una serie de acciones que garanticen el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de las medidas de seguridad aplicables al tratamiento de los datos personales, de manera periódica. La autoridad de control podrá establecer normas técnicas mínimas para hacer aplicables las disposiciones del contenido de este artículo, teniendo en cuenta la naturaleza de la información procesada, las características específicas del tratamiento y el estado actual de la tecnología, especialmente dirigidas a pequeñas y medianas empresas.