Artículo 38

Mecanismos de autorregulación vinculante. La autoridad de control impulsará la elaboración de mecanismos de autorregulación vinculantes con el objeto de facilitar el cumplimiento de la Ley 81 de 2019 y este decreto a los responsables del tratamiento y custodios de la base de datos, tomando en cuenta las características específicas de los distintos sectores de la actividad productiva o grupos económicos de empresas. Quienes promuevan la adopción de un mecanismo de autorregulación vinculante deberán someterlo a la aprobación de la autoridad de control quien deberá resolver en un plazo de cuarenta y cinco días hábiles.

Contenido del mecanismo de autorregulación vinculante. En el contenido de los mecanismos de autorregulación vinculante debe quedar consignado: 1. El cumplimiento de los principios de tratamiento. 2. Los protocolos de información y transparencia con el titular de los datos. 3. Los procedimientos de recogida, tratamiento, transferencia y conservación de los datos. 4. Las condiciones de cumplimiento para las transferencias internacionales de datos. 5. La atención y respuesta al ejercicio de los derechos por los titulares de los datos. 6. Las medidas técnicas y organizativas dirigidas a garantizar la seguridad en el tratamiento y transferencia de los datos. La adhesión a un mecanismo de autorregulación vinculante supondrá una garantía de cumplimiento para el custodio de la base de datos y para las transferencias internacionales de datos a los efectos previstos en la Ley 81 de 2019. Una vez aprobados serán publicados en la Gaceta Oficial.

Seguridad de los datos personales. Las medidas técnicas y organizativas deben ser suficientes para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento de los datos personales. Para ello se tomará como referencia las normas o estándares nacionales e internacionales en la materia, así como también los mecanismos de autorregulación vinculantes o cualquier otro mecanismo que se determine adecuado para tales fines. Para determinar estas medidas, se considerarán los siguientes factores: 1. El riesgo para los derechos y libertades de los titulares, en particular, por el valor potencial cuantitativo y cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión. 2. El estado de la tecnología. 3. Los costos para la aplicación de las medidas. 4. La naturaleza de los datos personales tratados, en especial, si se trata de datos personales sensibles. 5. El alcance, contexto y las finalidades del tratamiento. 6. Las transferencias internacionales de datos personales que se realicen o pretendan realizar. 7. El número de los titulares afectados. 8. Las posibles consecuencias que se derivarán de una violación de seguridad de los datos para los titulares; 9. Las violaciones de seguridad de los datos previas, ocurridas en el tratamiento de datos personales. Una vez analizados los riesgos del tratamiento y determinadas las medidas a adoptar, el responsable del tratamiento y/o el custodio de la base de datos llevará a cabo una serie de acciones que garanticen el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de las medidas de seguridad aplicables al tratamiento de los datos personales, de manera periódica. La autoridad de control podrá establecer normas técnicas mínimas para hacer aplicables las disposiciones del contenido de este artículo, teniendo en cuenta la naturaleza de la información procesada, las características específicas del tratamiento y el estado actual de la tecnología, especialmente dirigidas a pequeñas y medianas empresas.

Notificación de violaciones de la seguridad de los datos personales. Cuando el responsable del tratamiento tenga conocimiento de una violación de seguridad, entendida ésta como cualquier daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los datos personales, aun cuando ocurra de manera accidental, en cualquier fase del tratamiento y que represente un riesgo para la protección de los datos personales, notificará de inmediato dicho incidente a la autoridad de control y a los titulares afectados. El custodio de la base de datos deberá informar al responsable del tratamiento de manera inmediata cuando tenga conocimiento de una violación de seguridad. La notificación que realice el responsable del tratamiento a los titulares afectados estará redactada en un lenguaje claro y sencillo. La notificación se realizará en el plazo de las setenta y dos horas a partir de que se conozca el incidente y contendrá, al menos, la siguiente información: 1. La naturaleza del incidente. 2. Los datos personales comprometidos. 3. Las acciones correctivas realizadas de forma inmediata. 4. Las recomendaciones al titular sobre las medidas que éste pueda adoptar para proteger sus intereses. 5. Los medios disponibles al titular para obtener mayor información al respecto.