Artículo 60

Publicidad de las sanciones. Ejecutoriada la sanción impuesta a los responsables del tratamiento o custodios de la base de datos, la autoridad de control podrá poner en conocimiento de la opinión pública, por cualquier medio, el contenido de sus resoluciones, cuando lo considere útil y oportuno para informar sobre una práctica irregular y falta de cooperación.

Atribuciones y facultades de la Dirección de Protección de Datos Personales. Sin perjuicio de las atribuciones y facultades que le pudiera delegar la Dirección General, conforme al artículo anterior del presente decreto, la Dirección de Protección de Datos Personales tiene las siguientes: 1. Fiscalizar y supervisar: a. Realizar evaluaciones, informes y análisis de procedimientos en los que se realicen tratamientos de datos personales a todos los responsables o custodios del tratamiento de los datos para lo cual podrá solicitarles, a través del oficial de protección de datos personales, información, documentación y certificaciones de sus bases de datos, las cuales no podrán ser negadas; adoptar modelos de cláusulas contractuales que, conforme al artículo 33 de la Ley 81 de 2019, constituyan una condición de licitud de las transferencias de datos, intra y extrafronterizas. b. Aprobar mecanismos de autorregulación vinculantes de conformidad con lo dispuesto en el artículo 33 de la Ley 81 de 2019 y en el artículo 38 del presente decreto. c. Llevar a cabo inspecciones sectoriales, por iniciativa propia o a petición de terceros, que le permitirán evaluar el cumplimiento de la Ley 81 de 2019 y el presente decreto. La autoridad de control podrá apoyarse en la colaboración de las entidades reguladoras del sector de actividad, en su caso. Y, en todo caso, con el apoyo de la Autoridad Nacional para la Innovación Gubernamental, cuando se trate de aspectos relacionados con las Tecnologías de la Información y la Comunicación. d. Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos reconocidos en el artículo 15 de la Ley 81 de 2019. 2. Sancionar: a. Al responsable del tratamiento, así como al custodio de la base de datos por las infracciones de la Ley 81 de 2019. b. En el caso de faltas leves, la citación tendrá por objeto que el responsable o custodio exponga los motivos del incumplimiento. Una vez analizados los motivos, la autoridad de control podrá darle un plazo hasta de quince días hábiles para que le sea remitido lo requerido. c. Sancionar a todo responsable del tratamiento, así como al custodio de la base de datos con una multa aplicando los criterios de graduación previstos en el presente decreto. d. En el caso de faltas muy graves, la opinión formal del Consejo de Protección de Datos Personales será orientativa y no tendrá carácter vinculante. e. Ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del titular de los datos reconocidos en el artículo 15 de la Ley 81 de 2019.

Responsables. Los responsables del tratamiento y/o los custodios de las bases de datos son responsables del cumplimiento y quedan sujetos a la fiscalización y supervisión de la autoridad de control a través de la Dirección de Protección de Datos Personales.

Criterios de graduación de las sanciones. Las sanciones previstas en los numerales 2 y 3 del artículo 43 de la Ley 81 de 2019 se aplicarán teniendo en cuenta los criterios de graduación siguientes: 1. La intencionalidad. 2. La reincidencia, por comisión de infracciones de la misma naturaleza, sancionadas mediante resolución en firme. 3. La naturaleza y cuantía de los perjuicios causados. 4. El plazo de tiempo durante el que se haya venido cometiendo la infracción. 5. El beneficio que haya reportado al infractor la comisión de la infracción. 6. El volumen de la facturación a que afecte la infracción cometida. 7. La vinculación de la actividad del infractor con la realización de tratamientos de datos personales. 8. La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción. 9. La afectación a los derechos de los menores de edad. 10. El haber designado un oficial de protección de datos personales. 11. La adopción reiterada y demostrada de mecanismos y procedimientos internos capaces de minimizar el daño, dirigidos al tratamiento seguro y adecuado de los datos, como, por ejemplo: la adopción de una política de buenas prácticas y gobernanza. 12. La pronta adopción de medidas correctivas. 13. La proporcionalidad entre la gravedad de la falta y la intensidad de la sanción.