Artículo 59

Publicidad de las sanciones. Ejecutoriada la sanción impuesta a los responsables del tratamiento o custodios de la base de datos, la autoridad de control podrá poner en conocimiento de la opinión pública, por cualquier medio, el contenido de sus resoluciones, cuando lo considere útil y oportuno para informar sobre una práctica irregular y falta de cooperación.

Atribuciones y facultades de la autoridad de control. La Autoridad Nacional de Transparencia y Acceso a la Información, como autoridad de control, tiene las siguientes atribuciones y facultades, que serán ejercidas por la Dirección General: 1. Velar por la debida reserva y protección de los datos personales en poder del Estado o de las entidades privadas. 2. Promover la sensibilización de responsables del tratamiento y custodios de las bases de datos sobre las obligaciones que les incumben en la materia. Para ello podrá realizar, directamente o a través de terceros, actividades de capacitación de servidores públicos en materia de protección de datos personales. Igualmente podrá promover capacitaciones para responsables y custodios del tratamiento del sector privado con el objetivo de contribuir a 3. La sensibilización del público para la comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento de sus datos personales. A tal fin, podrá recibir informes, recomendaciones, observaciones y sugerencias que aporten los ciudadanos o la sociedad civil relacionadas con la protección de los datos personales y atenderlos e impulsarlos en las entidades involucradas para su atención. 4. Asesorar a las entidades del Estado sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas naturales con respecto al tratamiento de datos personales; a tal fin emitirá dictámenes sobre cualquier asunto relacionado con la protección de los datos personales, pudiendo llevar a cabo una previa evaluación de impacto en protección de datos cuando se requiera para garantizar la proporcionalidad y minimización de los datos personales previstas en dichas medidas legislativas y administrativas. 5. Solicitar el apoyo de la Autoridad Nacional para la Innovación Gubernamental, cuando se trate de aspectos relacionados a las tecnologías de la información y la comunicación. Estas atribuciones y facultades podrán ser delegadas a la Dirección de Protección de Datos Personales.

Atribuciones y facultades de la Dirección de Protección de Datos Personales. Sin perjuicio de las atribuciones y facultades que le pudiera delegar la Dirección General, conforme al artículo anterior del presente decreto, la Dirección de Protección de Datos Personales tiene las siguientes: 1. Fiscalizar y supervisar: a. Realizar evaluaciones, informes y análisis de procedimientos en los que se realicen tratamientos de datos personales a todos los responsables o custodios del tratamiento de los datos para lo cual podrá solicitarles, a través del oficial de protección de datos personales, información, documentación y certificaciones de sus bases de datos, las cuales no podrán ser negadas; adoptar modelos de cláusulas contractuales que, conforme al artículo 33 de la Ley 81 de 2019, constituyan una condición de licitud de las transferencias de datos, intra y extrafronterizas. b. Aprobar mecanismos de autorregulación vinculantes de conformidad con lo dispuesto en el artículo 33 de la Ley 81 de 2019 y en el artículo 38 del presente decreto. c. Llevar a cabo inspecciones sectoriales, por iniciativa propia o a petición de terceros, que le permitirán evaluar el cumplimiento de la Ley 81 de 2019 y el presente decreto. La autoridad de control podrá apoyarse en la colaboración de las entidades reguladoras del sector de actividad, en su caso. Y, en todo caso, con el apoyo de la Autoridad Nacional para la Innovación Gubernamental, cuando se trate de aspectos relacionados con las Tecnologías de la Información y la Comunicación. d. Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos reconocidos en el artículo 15 de la Ley 81 de 2019. 2. Sancionar: a. Al responsable del tratamiento, así como al custodio de la base de datos por las infracciones de la Ley 81 de 2019. b. En el caso de faltas leves, la citación tendrá por objeto que el responsable o custodio exponga los motivos del incumplimiento. Una vez analizados los motivos, la autoridad de control podrá darle un plazo hasta de quince días hábiles para que le sea remitido lo requerido. c. Sancionar a todo responsable del tratamiento, así como al custodio de la base de datos con una multa aplicando los criterios de graduación previstos en el presente decreto. d. En el caso de faltas muy graves, la opinión formal del Consejo de Protección de Datos Personales será orientativa y no tendrá carácter vinculante. e. Ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del titular de los datos reconocidos en el artículo 15 de la Ley 81 de 2019.

Procedimiento en caso de vulneración de la normativa de protección de datos personales. El procedimiento administrativo sancionador se regirá por las normas generales previstas en la Ley 38 de 2000 y las que resulten aplicables en su caso.