Artículo 41

Mecanismos de autorregulación vinculante. La autoridad de control impulsará la elaboración de mecanismos de autorregulación vinculantes con el objeto de facilitar el cumplimiento de la Ley 81 de 2019 y este decreto a los responsables del tratamiento y custodios de la base de datos, tomando en cuenta las características específicas de los distintos sectores de la actividad productiva o grupos económicos de empresas. Quienes promuevan la adopción de un mecanismo de autorregulación vinculante deberán someterlo a la aprobación de la autoridad de control quien deberá resolver en un plazo de cuarenta y cinco días hábiles.

Contenido del mecanismo de autorregulación vinculante. En el contenido de los mecanismos de autorregulación vinculante debe quedar consignado: 1. El cumplimiento de los principios de tratamiento. 2. Los protocolos de información y transparencia con el titular de los datos. 3. Los procedimientos de recogida, tratamiento, transferencia y conservación de los datos. 4. Las condiciones de cumplimiento para las transferencias internacionales de datos. 5. La atención y respuesta al ejercicio de los derechos por los titulares de los datos. 6. Las medidas técnicas y organizativas dirigidas a garantizar la seguridad en el tratamiento y transferencia de los datos. La adhesión a un mecanismo de autorregulación vinculante supondrá una garantía de cumplimiento para el custodio de la base de datos y para las transferencias internacionales de datos a los efectos previstos en la Ley 81 de 2019. Una vez aprobados serán publicados en la Gaceta Oficial.

Oficial de protección de datos. El oficial de información, que desarrolla la ley 33 de 2013, será también para los efectos de la ley 81 de 2019, y el presente decreto, el oficial de protección de datos personales, para el sector público. Las entidades privadas, podrán designar un oficial de protección de datos, que podrá ser personal laboral o profesional con contrato de servicios, suscrito con el responsable del tratamiento o el custodio de la base de datos. La designación de un Oficial de Protección de Datos Personales para el sector privado no es obligatoria, no obstante, si fuera el caso, la autoridad de control la tomará en cuenta como criterio para la graduación de las sanciones.

Perfil del oficial de protección de datos. Para ser oficial de protección de datos se requiere una experiencia profesional previa en la materia y el conocimiento del sector de actividad de la entidad pública o privada en la que ejercerá sus funciones. La designación del oficial de protección de datos personales se estimará válida por parte de la autoridad de control, solo cuando el responsable del tratamiento o el custodio de la base de datos lo notifique formalmente y de manera expresa. Lo mismo ocurrirá en el caso de que dicha designación sea revocada. La autoridad de control, llevará un registro de los oficiales de protección de datos y podrá organizar capacitaciones dirigidas a fortalecer sus funciones.