Artículo 42

Contenido del mecanismo de autorregulación vinculante. En el contenido de los mecanismos de autorregulación vinculante debe quedar consignado: 1. El cumplimiento de los principios de tratamiento. 2. Los protocolos de información y transparencia con el titular de los datos. 3. Los procedimientos de recogida, tratamiento, transferencia y conservación de los datos. 4. Las condiciones de cumplimiento para las transferencias internacionales de datos. 5. La atención y respuesta al ejercicio de los derechos por los titulares de los datos. 6. Las medidas técnicas y organizativas dirigidas a garantizar la seguridad en el tratamiento y transferencia de los datos. La adhesión a un mecanismo de autorregulación vinculante supondrá una garantía de cumplimiento para el custodio de la base de datos y para las transferencias internacionales de datos a los efectos previstos en la Ley 81 de 2019. Una vez aprobados serán publicados en la Gaceta Oficial.

Evaluaciones de impacto relativas a la protección de datos. Atendiendo a la gravedad del riesgo que presente el tratamiento para los datos personales, así como a la novedad de la tecnología utilizada, la Autoridad de Control, podrá ordenar que se presente un informe de evaluación de impacto en protección de datos. El informe debe contener, como mínimo, una descripción de los tipos de datos recopilados, la metodología utilizada para la recopilación y garantía de seguridad de la información, y el análisis del responsable en relación con medidas, salvaguardas y mecanismos de mitigación de riesgos adoptados. La autoridad de control podrá solicitar a las entidades que publiquen los informes de evaluación de impacto en protección de datos que lleven a cabo y sugerirles la adopción de normas y buenas prácticas para el tratamiento de datos personales.

Perfil del oficial de protección de datos. Para ser oficial de protección de datos se requiere una experiencia profesional previa en la materia y el conocimiento del sector de actividad de la entidad pública o privada en la que ejercerá sus funciones. La designación del oficial de protección de datos personales se estimará válida por parte de la autoridad de control, solo cuando el responsable del tratamiento o el custodio de la base de datos lo notifique formalmente y de manera expresa. Lo mismo ocurrirá en el caso de que dicha designación sea revocada. La autoridad de control, llevará un registro de los oficiales de protección de datos y podrá organizar capacitaciones dirigidas a fortalecer sus funciones.

Desempeño y funciones del oficial de protección de datos. El oficial de protección de datos desempeñará sus funciones con independencia, siendo obligación del responsable del tratamiento o del custodio de la base de datos garantizar esta independencia y evitar cualquier conflicto de interés. Debe tener una interlocución directa con la dirección u órgano de toma de decisión de la entidad a la que representa en esta materia y se le deberán proporcionar los medios necesarios para que pueda cumplir su misión. Las funciones principales del oficial de protección de datos son: 1. Participar en tiempo y forma en las cuestiones referidas a la protección de datos personales. 2. Informar y asesorar al responsable del tratamiento o al custodio de la base de datos en las cuestiones relacionadas con el cumplimiento de la Ley 81 de 2019, del presente decreto o de cualquier disposición legal aplicable en cada caso. 3. Supervisar el cumplimiento de la normativa. Para ello podrá examinar, a solicitud del responsable del tratamiento o del custodio de la base de datos o por iniciativa propia, tratamientos de datos personales que se estén llevando a cabo y realizar recomendaciones para la adopción de medidas correctoras necesarias cuando los tratamientos analizados no sean conformes con la normativa aplicable. 4. Promover la capacitación de las personas que asuman tareas relacionadas con el tratamiento de los datos personales. 5. Cooperar con la autoridad de control. 6. Ser la unidad de enlace con la autoridad de control. 7. Asesorar al responsable del tratamiento o al custodio de la base de datos en la respuesta a los requerimientos u observaciones formalmente notificados por la autoridad de control. 8. Ser la unidad de enlace con los titulares de los datos para las cuestiones relativas al tratamiento de los datos y a sus derechos.