Artículo 39

Documentación de las violaciones de la seguridad de los datos personales. El responsable del tratamiento documentará toda violación de seguridad de los datos personales ocurrida en cualquier fase del tratamiento, identificando, como mínimo, la siguiente información y conservándola a disposición de la autoridad de control: 1. La fecha en que ocurrió. 2. El motivo de la violación. 3. Los hechos relacionados con ella y sus efectos 4. Las medidas correctivas implementadas de forma inmediata y definitiva. La autoridad de control verificará la gravedad del incidente y para salvaguardar los derechos de los titulares, podrá ordenar que el responsable del tratamiento adopte medidas, tales como la amplia difusión del hecho en los medios de comunicación y/o medidas para revertir o mitigar los efectos del incidente. Cuando la violación de seguridad tenga lugar en redes públicas de comunicación, se atenderá también a lo que se establezca en las normas especiales sobre telecomunicaciones, relacionadas con la seguridad pública y la defensa nacional.

Contenido del mecanismo de autorregulación vinculante. En el contenido de los mecanismos de autorregulación vinculante debe quedar consignado: 1. El cumplimiento de los principios de tratamiento. 2. Los protocolos de información y transparencia con el titular de los datos. 3. Los procedimientos de recogida, tratamiento, transferencia y conservación de los datos. 4. Las condiciones de cumplimiento para las transferencias internacionales de datos. 5. La atención y respuesta al ejercicio de los derechos por los titulares de los datos. 6. Las medidas técnicas y organizativas dirigidas a garantizar la seguridad en el tratamiento y transferencia de los datos. La adhesión a un mecanismo de autorregulación vinculante supondrá una garantía de cumplimiento para el custodio de la base de datos y para las transferencias internacionales de datos a los efectos previstos en la Ley 81 de 2019. Una vez aprobados serán publicados en la Gaceta Oficial.

Notificación de violaciones de la seguridad de los datos personales. Cuando el responsable del tratamiento tenga conocimiento de una violación de seguridad, entendida ésta como cualquier daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los datos personales, aun cuando ocurra de manera accidental, en cualquier fase del tratamiento y que represente un riesgo para la protección de los datos personales, notificará de inmediato dicho incidente a la autoridad de control y a los titulares afectados. El custodio de la base de datos deberá informar al responsable del tratamiento de manera inmediata cuando tenga conocimiento de una violación de seguridad. La notificación que realice el responsable del tratamiento a los titulares afectados estará redactada en un lenguaje claro y sencillo. La notificación se realizará en el plazo de las setenta y dos horas a partir de que se conozca el incidente y contendrá, al menos, la siguiente información: 1. La naturaleza del incidente. 2. Los datos personales comprometidos. 3. Las acciones correctivas realizadas de forma inmediata. 4. Las recomendaciones al titular sobre las medidas que éste pueda adoptar para proteger sus intereses. 5. Los medios disponibles al titular para obtener mayor información al respecto.

Evaluaciones de impacto relativas a la protección de datos. Atendiendo a la gravedad del riesgo que presente el tratamiento para los datos personales, así como a la novedad de la tecnología utilizada, la Autoridad de Control, podrá ordenar que se presente un informe de evaluación de impacto en protección de datos. El informe debe contener, como mínimo, una descripción de los tipos de datos recopilados, la metodología utilizada para la recopilación y garantía de seguridad de la información, y el análisis del responsable en relación con medidas, salvaguardas y mecanismos de mitigación de riesgos adoptados. La autoridad de control podrá solicitar a las entidades que publiquen los informes de evaluación de impacto en protección de datos que lleven a cabo y sugerirles la adopción de normas y buenas prácticas para el tratamiento de datos personales.