Artículo 55

Miembros de la Dirección de Protección de Datos Personales. Formarán parte de la Dirección de Protección de Datos Personales los servidores públicos que la Dirección General de autoridad de control designe. Cada miembro de la Dirección de Protección de Datos Personales poseerá la titulación, la experiencia, la idoneidad y las aptitudes, en particular en el ámbito de la protección de datos personales, necesarias para el cumplimiento de las atribuciones y el ejercicio de las facultades descritas para su puesto. Los servidores públicos asignados a la Dirección de Protección de Datos Personales desempeñarán sus funciones conforme al deber de confidencialidad.

Autoridad de control. La Autoridad Nacional de Transparencia y de Acceso a la Información, a través de la Dirección de Protección de Datos Personales, es el organismo rector en materia de protección de datos personales. Contará con el apoyo de la Autoridad Nacional para la Innovación Gubernamental, cuando se trate de aspectos relacionados con las Tecnologías de la Información y las Comunicaciones. La Dirección de Protección de Datos Personales, resolverá, las quejas y peticiones presentadas a la Autoridad de Control. Sus decisiones pueden ser impugnadas mediante recurso de reconsideración ante la misma o de apelación que se interpondrá ante el Director General de la Autoridad Nacional de Transparencia y Acceso a la Información.

Garantías para transferir datos personales. Las garantías para poder transferir datos personales a un tercer país, incluyen: 1. Las cláusulas contractuales suscritas entre el exportador y el destinatario que ofrezcan garantías suficientes y que permita demostrar el alcance del tratamiento de los datos personales, las obligaciones y responsabilidades asumidas por las partes y los derechos de los titulares. 2. Los modelos de cláusulas contractuales que valide la autoridad de control para ser utilizadas por exportador y destinatario como garantía de la transferencia. 3. Los mecanismos de autorregulación vinculante convenidos entre el exportador y el destinatario y aprobado por la autoridad de control o reconocida por ésta, siempre y cuando éstos sean acordes con las disposiciones previstas en la Ley 81 de 2019 y el presente decreto. La autoridad de control podrá promulgar el listado de mecanismos de autorregulación vinculantes que se reconocen a estos efectos. 4. Si el exportador y el destinatario pertenecen al mismo grupo económico y los tratamientos queden sujetos a unas normas corporativas que les vinculen.

Atribuciones y facultades de la autoridad de control. La Autoridad Nacional de Transparencia y Acceso a la Información, como autoridad de control, tiene las siguientes atribuciones y facultades, que serán ejercidas por la Dirección General: 1. Velar por la debida reserva y protección de los datos personales en poder del Estado o de las entidades privadas. 2. Promover la sensibilización de responsables del tratamiento y custodios de las bases de datos sobre las obligaciones que les incumben en la materia. Para ello podrá realizar, directamente o a través de terceros, actividades de capacitación de servidores públicos en materia de protección de datos personales. Igualmente podrá promover capacitaciones para responsables y custodios del tratamiento del sector privado con el objetivo de contribuir a 3. La sensibilización del público para la comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento de sus datos personales. A tal fin, podrá recibir informes, recomendaciones, observaciones y sugerencias que aporten los ciudadanos o la sociedad civil relacionadas con la protección de los datos personales y atenderlos e impulsarlos en las entidades involucradas para su atención. 4. Asesorar a las entidades del Estado sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas naturales con respecto al tratamiento de datos personales; a tal fin emitirá dictámenes sobre cualquier asunto relacionado con la protección de los datos personales, pudiendo llevar a cabo una previa evaluación de impacto en protección de datos cuando se requiera para garantizar la proporcionalidad y minimización de los datos personales previstas en dichas medidas legislativas y administrativas. 5. Solicitar el apoyo de la Autoridad Nacional para la Innovación Gubernamental, cuando se trate de aspectos relacionados a las tecnologías de la información y la comunicación. Estas atribuciones y facultades podrán ser delegadas a la Dirección de Protección de Datos Personales.