Artículo 47

Solicitud de transferencia de datos personales. La solicitud de transferencias de datos será documentada. Para ello, el responsable del tratamiento que transfiere y el que recibe, deberá dejar constancia de la solicitud y de la recepción de los datos trasferidos, conforme a las obligaciones que a cada uno le corresponden en la Ley 81 de 2019 y el presente decreto. En el caso de las solicitudes de transferencia de datos personales por las autoridades judiciales competentes, será necesario que la solicitud cumpla con el principio de proporcionalidad y se limite a los mínimos datos personales que sean necesarios para conocer del cumplimiento de la ley que se esté conociendo.

Límite de la responsabilidad del oficial de protección de datos personales. El oficial de protección de datos personales no tendrá la consideración de responsable del tratamiento o custodio de la base de datos por prestar sus servicios en la entidad correspondiente.

Contenido del contrato de custodio de la base de datos. Se estipularán, entre otras, las siguientes condiciones: 1. El tratamiento de los datos personales conforme a las instrucciones, debidamente documentadas, del responsable del tratamiento. 2. Implementar las medidas de seguridad conforme a los instrumentos jurídicos aplicables. 3. La obligación de informar al responsable del tratamiento cuando ocurra una violación de la seguridad de los datos personales que trata según sus instrucciones. 4. La confidencialidad respecto de los datos personales tratados. 5. La prohibición de transferir datos personales, salvo que el responsable lo solicite o la transferencia derive de una subcontratación autorizada por el responsable del tratamiento. 6. La información que el custodio deba poner a disposición del responsable para que éste pueda acreditar el cumplimiento de sus obligaciones. 7. La colaboración con el responsable del tratamiento en todo lo relativo a garantizar el cumplimiento, en particular, en cuanto a la atención y respuesta al ejercicio de los derechos. 8. La eliminación, devolución o comunicación, al responsable del tratamiento o a un nuevo custodio de la base de datos designado por el responsable del tratamiento, los datos personales objeto de tratamiento, una vez cumplida la relación jurídica con el responsable del tratamiento, excepto que una ley exija la conservación de los datos personales. En este caso, los datos serán devueltos al responsable del tratamiento que garantizará su conservación por el tiempo establecido en la Ley 81 de 2019 o en otras leyes especiales.

Responsabilidad del custodio de la base de datos. El custodio de la base de datos no recurrirá a otro custodio, sin la autorización previa por escrito, específica o general, del responsable del tratamiento. En este último caso, el custodio de la base de datos informará al responsable del tratamiento de cualquier cambio previsto en la incorporación o sustitución de otros custodios, dándole así la oportunidad de oponerse a dichos cambios. Cuando un custodio de la base de datos recurra a otro custodio para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable del tratamiento, se impondrán a este otro custodio las mismas obligaciones de protección de datos personales que las estipuladas entre el responsable y el custodio inicial. Se dejará constancia por escrito, por cualquier medio de prueba admisible. Si ese otro custodio incumple sus obligaciones de protección de datos personales, el custodio inicial de la base de datos inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones.