Artículo 46

Contrato de custodio de la base de datos. El responsable del tratamiento elegirá únicamente un custodio de la base de datos que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos de la Ley 81 de 2019, del presente decreto y se garantice la protección de los derechos del titular de los datos. Se entenderán por garantías suficientes, entre otras, contar con un mecanismo de autorregulación vinculante; haber designado un oficial de protección de datos; contar con una certificación en materia de seguridad de los datos personales o haberse sometido a una auditoría de cumplimiento por parte del responsable del tratamiento. El responsable del tratamiento y el custodio de la base de datos dejarán constancia por escrito o por cualquier medio admisible como prueba, inclusive por medios electrónicos, el contenido del mandato que implique tratamiento de datos por cuenta del responsable del tratamiento.

Desempeño y funciones del oficial de protección de datos. El oficial de protección de datos desempeñará sus funciones con independencia, siendo obligación del responsable del tratamiento o del custodio de la base de datos garantizar esta independencia y evitar cualquier conflicto de interés. Debe tener una interlocución directa con la dirección u órgano de toma de decisión de la entidad a la que representa en esta materia y se le deberán proporcionar los medios necesarios para que pueda cumplir su misión. Las funciones principales del oficial de protección de datos son: 1. Participar en tiempo y forma en las cuestiones referidas a la protección de datos personales. 2. Informar y asesorar al responsable del tratamiento o al custodio de la base de datos en las cuestiones relacionadas con el cumplimiento de la Ley 81 de 2019, del presente decreto o de cualquier disposición legal aplicable en cada caso. 3. Supervisar el cumplimiento de la normativa. Para ello podrá examinar, a solicitud del responsable del tratamiento o del custodio de la base de datos o por iniciativa propia, tratamientos de datos personales que se estén llevando a cabo y realizar recomendaciones para la adopción de medidas correctoras necesarias cuando los tratamientos analizados no sean conformes con la normativa aplicable. 4. Promover la capacitación de las personas que asuman tareas relacionadas con el tratamiento de los datos personales. 5. Cooperar con la autoridad de control. 6. Ser la unidad de enlace con la autoridad de control. 7. Asesorar al responsable del tratamiento o al custodio de la base de datos en la respuesta a los requerimientos u observaciones formalmente notificados por la autoridad de control. 8. Ser la unidad de enlace con los titulares de los datos para las cuestiones relativas al tratamiento de los datos y a sus derechos.

Límite de la responsabilidad del oficial de protección de datos personales. El oficial de protección de datos personales no tendrá la consideración de responsable del tratamiento o custodio de la base de datos por prestar sus servicios en la entidad correspondiente.

Contenido del contrato de custodio de la base de datos. Se estipularán, entre otras, las siguientes condiciones: 1. El tratamiento de los datos personales conforme a las instrucciones, debidamente documentadas, del responsable del tratamiento. 2. Implementar las medidas de seguridad conforme a los instrumentos jurídicos aplicables. 3. La obligación de informar al responsable del tratamiento cuando ocurra una violación de la seguridad de los datos personales que trata según sus instrucciones. 4. La confidencialidad respecto de los datos personales tratados. 5. La prohibición de transferir datos personales, salvo que el responsable lo solicite o la transferencia derive de una subcontratación autorizada por el responsable del tratamiento. 6. La información que el custodio deba poner a disposición del responsable para que éste pueda acreditar el cumplimiento de sus obligaciones. 7. La colaboración con el responsable del tratamiento en todo lo relativo a garantizar el cumplimiento, en particular, en cuanto a la atención y respuesta al ejercicio de los derechos. 8. La eliminación, devolución o comunicación, al responsable del tratamiento o a un nuevo custodio de la base de datos designado por el responsable del tratamiento, los datos personales objeto de tratamiento, una vez cumplida la relación jurídica con el responsable del tratamiento, excepto que una ley exija la conservación de los datos personales. En este caso, los datos serán devueltos al responsable del tratamiento que garantizará su conservación por el tiempo establecido en la Ley 81 de 2019 o en otras leyes especiales.