Artículo 50

Contenido del contrato de custodio de la base de datos. Se estipularán, entre otras, las siguientes condiciones: 1. El tratamiento de los datos personales conforme a las instrucciones, debidamente documentadas, del responsable del tratamiento. 2. Implementar las medidas de seguridad conforme a los instrumentos jurídicos aplicables. 3. La obligación de informar al responsable del tratamiento cuando ocurra una violación de la seguridad de los datos personales que trata según sus instrucciones. 4. La confidencialidad respecto de los datos personales tratados. 5. La prohibición de transferir datos personales, salvo que el responsable lo solicite o la transferencia derive de una subcontratación autorizada por el responsable del tratamiento. 6. La información que el custodio deba poner a disposición del responsable para que éste pueda acreditar el cumplimiento de sus obligaciones. 7. La colaboración con el responsable del tratamiento en todo lo relativo a garantizar el cumplimiento, en particular, en cuanto a la atención y respuesta al ejercicio de los derechos. 8. La eliminación, devolución o comunicación, al responsable del tratamiento o a un nuevo custodio de la base de datos designado por el responsable del tratamiento, los datos personales objeto de tratamiento, una vez cumplida la relación jurídica con el responsable del tratamiento, excepto que una ley exija la conservación de los datos personales. En este caso, los datos serán devueltos al responsable del tratamiento que garantizará su conservación por el tiempo establecido en la Ley 81 de 2019 o en otras leyes especiales.

Responsabilidad del custodio de la base de datos. El custodio de la base de datos no recurrirá a otro custodio, sin la autorización previa por escrito, específica o general, del responsable del tratamiento. En este último caso, el custodio de la base de datos informará al responsable del tratamiento de cualquier cambio previsto en la incorporación o sustitución de otros custodios, dándole así la oportunidad de oponerse a dichos cambios. Cuando un custodio de la base de datos recurra a otro custodio para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable del tratamiento, se impondrán a este otro custodio las mismas obligaciones de protección de datos personales que las estipuladas entre el responsable y el custodio inicial. Se dejará constancia por escrito, por cualquier medio de prueba admisible. Si ese otro custodio incumple sus obligaciones de protección de datos personales, el custodio inicial de la base de datos inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones.

Condiciones para las transferencias extraordinarias de datos. Los datos objeto de tratamiento podrán ser transferidos a otro país siempre que se reúna alguna de las condiciones siguientes: 1. Para países u organizaciones internacionales que brindan un grado de protección de datos personales equivalente o superior al previsto en la Ley 81 de 2019 y el presente decreto; 2. Cuando el responsable ofrece y prueba garantías adecuadas de cumplimento de los principios, los derechos del titular y el régimen de protección de datos personales previsto en la Ley 81 de 2019 y el presente decreto. 3. Consentimiento del titular de los datos 4. Necesaria para la prevención o diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios. 5. Necesaria para la salvaguarda del interés público o para la representación legal del titular de los datos personales o administración de justicia. 6. Necesaria para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, o en casos de colaboración judicial internacional. 7. Necesaria para el mantenimiento o cumplimiento de una relación jurídica entre el responsable del tratamiento y el titular de los datos. 8. Que sea requerida para concretar transferencias bancarias o bursátiles en lo relativo a las transacciones respectivas y conforme a la legislación que les resulte aplicable. 9. Que tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo, el lavado de activos, los delitos informáticos, la pornografía infantil y el narcotráfico. 10. Cuando concurra alguna de las demás condiciones previstas en la Ley 81 de 2019.

Nivel de protección equivalente o superior. Para evaluar el cumplimiento de la condición que establece el numeral 1 del artículo anterior, la autoridad de control, tomará en cuenta los criterios siguientes: 1. El respeto a los derechos humanos y las libertades fundamentales. 2. Las normas generales y sectoriales de la legislación vigente en el país de destino o en la organización internacional o supranacional; 3. La existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el país receptor o a las cuales esté sujeta una organización internacional o supranacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos personales, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y 4. Los compromisos internacionales asumidos por el país receptor u organización internacional o supranacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales. La autoridad de control podrá publicar el listado de destinos que reúnan estas condiciones.