Artículo 45

Solicitud de transferencia de datos personales. La solicitud de transferencias de datos será documentada. Para ello, el responsable del tratamiento que transfiere y el que recibe, deberá dejar constancia de la solicitud y de la recepción de los datos trasferidos, conforme a las obligaciones que a cada uno le corresponden en la Ley 81 de 2019 y el presente decreto. En el caso de las solicitudes de transferencia de datos personales por las autoridades judiciales competentes, será necesario que la solicitud cumpla con el principio de proporcionalidad y se limite a los mínimos datos personales que sean necesarios para conocer del cumplimiento de la ley que se esté conociendo.

Contrato de custodio de la base de datos. El responsable del tratamiento elegirá únicamente un custodio de la base de datos que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos de la Ley 81 de 2019, del presente decreto y se garantice la protección de los derechos del titular de los datos. Se entenderán por garantías suficientes, entre otras, contar con un mecanismo de autorregulación vinculante; haber designado un oficial de protección de datos; contar con una certificación en materia de seguridad de los datos personales o haberse sometido a una auditoría de cumplimiento por parte del responsable del tratamiento. El responsable del tratamiento y el custodio de la base de datos dejarán constancia por escrito o por cualquier medio admisible como prueba, inclusive por medios electrónicos, el contenido del mandato que implique tratamiento de datos por cuenta del responsable del tratamiento.

Perfil del oficial de protección de datos. Para ser oficial de protección de datos se requiere una experiencia profesional previa en la materia y el conocimiento del sector de actividad de la entidad pública o privada en la que ejercerá sus funciones. La designación del oficial de protección de datos personales se estimará válida por parte de la autoridad de control, solo cuando el responsable del tratamiento o el custodio de la base de datos lo notifique formalmente y de manera expresa. Lo mismo ocurrirá en el caso de que dicha designación sea revocada. La autoridad de control, llevará un registro de los oficiales de protección de datos y podrá organizar capacitaciones dirigidas a fortalecer sus funciones.

Desempeño y funciones del oficial de protección de datos. El oficial de protección de datos desempeñará sus funciones con independencia, siendo obligación del responsable del tratamiento o del custodio de la base de datos garantizar esta independencia y evitar cualquier conflicto de interés. Debe tener una interlocución directa con la dirección u órgano de toma de decisión de la entidad a la que representa en esta materia y se le deberán proporcionar los medios necesarios para que pueda cumplir su misión. Las funciones principales del oficial de protección de datos son: 1. Participar en tiempo y forma en las cuestiones referidas a la protección de datos personales. 2. Informar y asesorar al responsable del tratamiento o al custodio de la base de datos en las cuestiones relacionadas con el cumplimiento de la Ley 81 de 2019, del presente decreto o de cualquier disposición legal aplicable en cada caso. 3. Supervisar el cumplimiento de la normativa. Para ello podrá examinar, a solicitud del responsable del tratamiento o del custodio de la base de datos o por iniciativa propia, tratamientos de datos personales que se estén llevando a cabo y realizar recomendaciones para la adopción de medidas correctoras necesarias cuando los tratamientos analizados no sean conformes con la normativa aplicable. 4. Promover la capacitación de las personas que asuman tareas relacionadas con el tratamiento de los datos personales. 5. Cooperar con la autoridad de control. 6. Ser la unidad de enlace con la autoridad de control. 7. Asesorar al responsable del tratamiento o al custodio de la base de datos en la respuesta a los requerimientos u observaciones formalmente notificados por la autoridad de control. 8. Ser la unidad de enlace con los titulares de los datos para las cuestiones relativas al tratamiento de los datos y a sus derechos.