Artículo 40

Documentación de las violaciones de la seguridad de los datos personales. El responsable del tratamiento documentará toda violación de seguridad de los datos personales ocurrida en cualquier fase del tratamiento, identificando, como mínimo, la siguiente información y conservándola a disposición de la autoridad de control: 1. La fecha en que ocurrió. 2. El motivo de la violación. 3. Los hechos relacionados con ella y sus efectos 4. Las medidas correctivas implementadas de forma inmediata y definitiva. La autoridad de control verificará la gravedad del incidente y para salvaguardar los derechos de los titulares, podrá ordenar que el responsable del tratamiento adopte medidas, tales como la amplia difusión del hecho en los medios de comunicación y/o medidas para revertir o mitigar los efectos del incidente. Cuando la violación de seguridad tenga lugar en redes públicas de comunicación, se atenderá también a lo que se establezca en las normas especiales sobre telecomunicaciones, relacionadas con la seguridad pública y la defensa nacional.

Mecanismos de autorregulación vinculante. La autoridad de control impulsará la elaboración de mecanismos de autorregulación vinculantes con el objeto de facilitar el cumplimiento de la Ley 81 de 2019 y este decreto a los responsables del tratamiento y custodios de la base de datos, tomando en cuenta las características específicas de los distintos sectores de la actividad productiva o grupos económicos de empresas. Quienes promuevan la adopción de un mecanismo de autorregulación vinculante deberán someterlo a la aprobación de la autoridad de control quien deberá resolver en un plazo de cuarenta y cinco días hábiles.

Evaluaciones de impacto relativas a la protección de datos. Atendiendo a la gravedad del riesgo que presente el tratamiento para los datos personales, así como a la novedad de la tecnología utilizada, la Autoridad de Control, podrá ordenar que se presente un informe de evaluación de impacto en protección de datos. El informe debe contener, como mínimo, una descripción de los tipos de datos recopilados, la metodología utilizada para la recopilación y garantía de seguridad de la información, y el análisis del responsable en relación con medidas, salvaguardas y mecanismos de mitigación de riesgos adoptados. La autoridad de control podrá solicitar a las entidades que publiquen los informes de evaluación de impacto en protección de datos que lleven a cabo y sugerirles la adopción de normas y buenas prácticas para el tratamiento de datos personales.

Oficial de protección de datos. El oficial de información, que desarrolla la ley 33 de 2013, será también para los efectos de la ley 81 de 2019, y el presente decreto, el oficial de protección de datos personales, para el sector público. Las entidades privadas, podrán designar un oficial de protección de datos, que podrá ser personal laboral o profesional con contrato de servicios, suscrito con el responsable del tratamiento o el custodio de la base de datos. La designación de un Oficial de Protección de Datos Personales para el sector privado no es obligatoria, no obstante, si fuera el caso, la autoridad de control la tomará en cuenta como criterio para la graduación de las sanciones.