Ver todo el Código Decreto Ejecutivo no.285 que reglamenta la Ley 81 de 2019 sobre Protección de Datos Personales

Capítulo III Utilización de datos personales

Artículo 36

Seguridad de los datos personales. Las medidas técnicas y organizativas deben ser suficientes para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento de los datos personales. Para ello se tomará como referencia las normas o estándares nacionales e internacionales en la materia, así como también los mecanismos de autorregulación vinculantes o cualquier otro mecanismo que se determine adecuado para tales fines. Para determinar estas medidas, se considerarán los siguientes factores:

1. El riesgo para los derechos y libertades de los titulares, en particular, por el valor potencial cuantitativo y cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión.

2. El estado de la tecnología.

3. Los costos para la aplicación de las medidas.

4. La naturaleza de los datos personales tratados, en especial, si se trata de datos personales sensibles.

5. El alcance, contexto y las finalidades del tratamiento.

6. Las transferencias internacionales de datos personales que se realicen o pretendan realizar.

7. El número de los titulares afectados.

8. Las posibles consecuencias que se derivarán de una violación de seguridad de los datos para los titulares;

9. Las violaciones de seguridad de los datos previas, ocurridas en el tratamiento de datos personales. Una vez analizados los riesgos del tratamiento y determinadas las medidas a adoptar, el responsable del tratamiento y/o el custodio de la base de datos llevará a cabo una serie de acciones que garanticen el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de las medidas de seguridad aplicables al tratamiento de los datos personales, de manera periódica. La autoridad de control podrá establecer normas técnicas mínimas para hacer aplicables las disposiciones del contenido de este artículo, teniendo en cuenta la naturaleza de la información procesada, las características específicas del tratamiento y el estado actual de la tecnología, especialmente dirigidas a pequeñas y medianas empresas.

Para funciones avanzadas como Exportar y Análisis IA

Activar Funciones Gratis

Leer contexto cercano:

Documentación de las violaciones de la seguridad de los datos personales. El responsable del tratamiento documentará toda violación de seguridad de los datos personales ocurrida en cualquier fase del tratamiento, identificando, como mínimo, la siguiente información y conservándola a disposición de la autoridad de control: 1. La fecha en que ocurrió. 2. El motivo de la violación. 3. Los hechos relacionados con ella y sus efectos 4. Las medidas correctivas implementadas de forma inmediata y definitiva. La autoridad de control verificará la gravedad del incidente y para salvaguardar los derechos de los titulares, podrá ordenar que el responsable del tratamiento adopte medidas, tales como la amplia difusión del hecho en los medios de comunicación y/o medidas para revertir o mitigar los efectos del incidente. Cuando la violación de seguridad tenga lugar en redes públicas de comunicación, se atenderá también a lo que se establezca en las normas especiales sobre telecomunicaciones, relacionadas con la seguridad pública y la defensa nacional.

Deber de confidencialidad. Los responsables del tratamiento y/o los custodios de la base de datos, así como todas las personas que intervengan en cualquier fase del tratamiento de los datos, estarán sujetas al deber de secreto o confidencialidad, respecto de los datos personales objeto de tratamiento a los que tengan acceso por razón de sus funciones. Para tal fin, garantizarán que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad y así lo reflejarán en los protocolos de tratamiento de datos de sus entidades públicas y privadas. Esta obligación será complementaria al secreto profesional de conformidad con la ley aplicable. Se aplicará durante todo el tiempo que dure el tratamiento y se mantendrá aun cuando hubiese finalizado la relación del empleado o funcionario con el responsable del tratamiento o el custodio de la base de datos.

Registro de las bases de datos. El registro de las bases de datos transferidas a terceros constará por escrito, por cualquier medio, inclusive por medios electrónicos. Respecto de cada base de datos se dejará constancia en dicho registro de: 1. La identificación de la base de datos. 2. La identificación del responsable de la base de datos. 3. La naturaleza de los datos personales que contiene, esto es, la descripción del universo de personas que comprende la base de datos. 4. Las condiciones de legitimación aplicables. 5. La finalidad o finalidades del tratamiento. 6. Los procedimientos de obtención y tratamiento de los datos. 7. El plazo de conservación de los datos. 8. El destino de los datos y las personas naturales o jurídicas a las que pueden ser transferidos. 9. Las medidas técnicas y organizativas de seguridad adoptadas, al menos un resumen de ellas o la referencia a la política o protocolo donde se describen. 10. Los protocolos aplicables a la base de datos, tales como los referentes a la atención y respuesta del ejercicio de los derechos por los titulares de los datos. 11. La descripción técnica de la base de datos. 12. La identificación y periodo de todas las personas que han ingresado a los datos personales dentro de los quince días hábiles desde que se inicie la actividad. Los responsables del tratamiento y/o los custodios de la base de datos mantendrán el registro actualizado, de forma que responda con veracidad a la realidad de los tratamientos que se lleven a cabo. Estará a disposición de la autoridad de control cuando ésta lo requiera.

Notificación de violaciones de la seguridad de los datos personales. Cuando el responsable del tratamiento tenga conocimiento de una violación de seguridad, entendida ésta como cualquier daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los datos personales, aun cuando ocurra de manera accidental, en cualquier fase del tratamiento y que represente un riesgo para la protección de los datos personales, notificará de inmediato dicho incidente a la autoridad de control y a los titulares afectados. El custodio de la base de datos deberá informar al responsable del tratamiento de manera inmediata cuando tenga conocimiento de una violación de seguridad. La notificación que realice el responsable del tratamiento a los titulares afectados estará redactada en un lenguaje claro y sencillo. La notificación se realizará en el plazo de las setenta y dos horas a partir de que se conozca el incidente y contendrá, al menos, la siguiente información: 1. La naturaleza del incidente. 2. Los datos personales comprometidos. 3. Las acciones correctivas realizadas de forma inmediata. 4. Las recomendaciones al titular sobre las medidas que éste pueda adoptar para proteger sus intereses. 5. Los medios disponibles al titular para obtener mayor información al respecto.

¿Necesitas analizar esta ley con IA?

Regístrate en Jurídica para usar a Lex, guardar casos y descargar en Word.

Crear Cuenta Gratis