RESPONSABILIDAD DEMOSTRADA EN PROTECCIN DE DATOS PERSONALES

1. ETAPA. COMPROMISO DE LA ORGANIZACIN

1.Designar a una persona o al rea que asumir la funcin de proteccin de datos dentro de la organizacin
2. Aprobar y monitorear el Programa Integral de Gestin de Datos Personales
1.1 DESDE LA ALTA
3. Informar de manera peridica a los rganos directivos sobre su ejecucin
DIRECCIN
4. Definir responsabilidades especficas para otras reas de la organizacin respecto de la recoleccin,
almacenamiento, uso, circulacin y eliminacin o disposiciones final de los datos personales que se tratan
1.2 OFICIAL DE
5. Estructurar, disear y administrar el programa
PROTECCIN DE
6. Establecer los controles del programa, evaluacin y revisin permanente
DATOS PERSONALES 7. Promover la elaboracin e implementacin de un sistema que permita administrar los riesgos del
tratamiento de datos personales
8. Coordinar la definicin e implementacin de los controles del Programa Integral de Gestin de Datos
Personales
9. Servir de enlace y coordinador con las dems reas de la organizacin para asegurar una
implementacin transversal del Programa
10.Impulsar una cultura de proteccin de datos personales dentro de la organizacin
11. Mantener un inventario de las bases de datos personales en poder de la organizacin y clasificarlas
segn su tipo
12. Registrar las bases de datos de la organizacin en el RNBD y actualizar el reporte atendiendo a reportes
de la SIC
13. Obtener declaraciones de conformidad
14. Revisar contenidas de los contratos de transmisiones internacionales de datos que se suscriban con
Encargados no residentes en Colombia
15. Analizar la responsabilidad de cada cargo de la organizacin, para disear un programa de
entrenamiento en proteccin de datos personales especficos para cada uno de ellos
16. Realizar un entrenamiento general en proteccin de datos personales para todos los empleados de la
compaa
17. Realizar el entrenamiento necesario a los nuevos empleados que tengan acceso por las condiciones de
su empleo, a datos personales gestionados por la organizacin

18. Integrar las polticas de proteccin de datos dentro de las actividades de las dems reas de la
organizacin (talento humano, call centers y gestin de proveedores, etc)
19. Medir la participacin, y calificar el desempeo, en los entrenamientos de proteccin de datos
20. Requerir que dentro de los anlisis de desempeo de los empleados, se encuentre haber completado
satisfactoriamente el entrenamiento sobre proteccin de datos personales
21.Velar por la implementacin de los planes de auditoria interna para verificar el cumplimiento de sus
polticas de tratamiento de informacin personal
22. Acompaar y asistir a la Organizacin en la atencin de las visitas y los requerimientos que realice la
SIC
23. Realizar seguimiento al Programa Integral de Gestin de Datos Personales
24. Definir de manera clara la estructura de generacin de reportes. Esto implica saber que empleado
genera qu tipo de reporte, para asignar responsabilidades claras en el evento de una queja o de una
1.3 PRESENTACIN violacin a los cdigos de seguridad
25. Documentar el proceso de generacin de reportes como parte del Programa
DE INFORMES
26. Generar reportes para los accionistas o socios de manera peridica, e informar en estos el estado del
programa de proteccin de datos personales
2. CONTROLES DEL PROGRAMA
27. Procedimientos administrativos consistentes con las polticas generales de proteccin de datos, de
2.1 PROCEDIMIENTOS
forma que se pueda manejar adecuadamente los riesgos inherentes al tratamiento de la informacin
OPERACIONALES
personal dentro de las actividades de gestin operacional
28. Conocer los datos que almacenan, cmo los utilizan y si realmente los necesitan, teniendo en cuenta la
finalidad para la cual los recolectan
29. Identificar en que parte del procedimiento o actividad se obtienen los datos, si deben solicitar la
2.2 INVENTARIO DE autorizacin del Titular y, de ser as, si estn conservando prueba de la misma para su posterior consulta
LAS BASES DE DATOS 30. En caso de manejo de datos de NNA implementar medidas adecuadas para garantizar la proteccin
CON INFORMACIN reforzada de dicha informacin
PERSONAL
31. Asegurarse de que se est informando al titular o a quien corresponda (datos de menores) que no
existe obligacin de suministrar tales datos. La clasificacin de la informacin recopilada por la compaa,
por ejemplo, en sensible, confidencial, pblica, segn el caso, ayuda a tener un inventario efectivo de los
datos tratados por la empresa

32. Las polticas deben implementar los principios que rigen el Tratamiento de Datos Personales y estar
documentadas. Igualmente se deben documentar los procedimientos para la recoleccin o recopilacin, el
manteamiento, uso y eliminacin o disposicin final de los datos personales. Se deben establecer reglas
sobre los siguientes puntos:
33. La recoleccin, almacenamiento, uso, circulacin y supresin o disposicin final de la informacin
personal, incluyendo requisitos para obtener la autorizacin
34. El acceso y correccin de los datos personales
35. La conservacin y eliminacin de la informacin personal
2.3 POLTICAS
36. El uso responsable de la informacin, incluyendo controles de seguridad administrativos, fsicos y
tecnolgicos
37. Inclusin en todos los medios contractuales de la empresa de una clusula de confidencialidad y de
manejo de informacin, donde se afirme que se conoce a suficiencia la poltica de la empresa, se acepta, y
se permite a la compaa utilizar dicha informacin de forma responsable
38. Presentacin de quejas y reclamos
39. Si hay otras polticas de la organizacin (en talento humano, contratos, transparencia) elementos que
permitan cumplir con las normas de proteccin de datos personales
2.4 SISTEMA DE
40. Identificacin y manejo de riesgos asociados al tratamiento de datos personales a travs de un sistema
ADMINISTRACIN DE de administracin de riesgos, acorde con su estructura organizacional, sus procesos y procedimientos
RIESGOS ASOCIADOS internos asociados al tratamiento de datos personales, la cantidad de bases de datos y tipos de datos
AL TRATAMIENTO DE personales tratados por la empresa. Este sistema debe permitir identificar, medir, controlar y monitorear
DATOS PERSONALES todos aquellos hechos o situaciones que puedan incidir en la debida administracin del riesgo a que estn
expuestos en desarrollo del cumplimiento de las normas de proteccin de datos personales.
41. Identificacin. Establecer los riesgos a que se ven expuestos los datos personales en desarrollo de su
tratamiento.
42. Documentar los procesos y procedimientos que se implementen dentro del ciclo de vida de los datos
personales
43. Definir la metodologa de identificacin de riesgos asociados al tratamiento de la informacin personal
44. Identificar los riesgos e incidentes ocurridos, respecto de este tipo de informacin, en los casos que
aplique

45. Medicin. Tiene por objeto determinar la posibilidad de ocurrencia de los riesgos relacionados con el
tratamiento de datos personales y su impacto en el caso de materializarse
46. Control. Se relaciona con las acciones que se deben tomar para controlar y/o mitigar los riesgos a que
se ven expuestos los datos personales, con el fin de disminuir la posibilidad y /o las consecuencias de su
materializacin de los mismos. Para analizar los controles es preciso establecer, al menos, si son
suficientes, efectivos y oportunos, como tambin identificar el tipo de control, esto es, si son manuales,
automticos, discrecionales, obligatorios, preventivos, o correctivos
47. Monitoreo. Realizar un seguimiento constante para velar por las medidas que se hayan establecido
sean efectivas.
48. Llevar una registro de incidentes que contemple: base de datos y datos comprometidos, titulares, fecha
del incidente, y de descubrimiento, acciones correctivas realizadas y responsables.
49. Se debe evaluar los riesgos peridicamente e implementar estas evaluaciones en toda la organizacin
dentro de cada nuevo proyecto que involucre datos personales
50. Impartir una formacin de carcter general y particular al personal que maneje datos personales y la
2.5 REQUISITOS DE
formacin debe ser permanente
FORMACIN Y
51. Dentro de los contratos que suscriban los empleados, se deben incluir acuerdos de cumplimiento de las
EDUCACIN
polticas internas adoptados por los sujetos obligados
52. Gestin de riesgos internos y externos, que le permitan identificar sus vulnerabilidades a tiempo, se
debe contar con una persona o rea responsable de manejar los incidente so vulneraciones a los sistema
de informacin o a los archivos fsicos.
2.6 PROTOCOLOS DE
53. Mecanismos para rendir informes internos y reportar los incidentes a los titulares y a la SIC. Se debe
RESPUESTA EN EL
implementar mecanismos que les permitan comunicarse de manera eficiente con los titulares afectados,
MANEJO DE
sobre el incidente de seguridad relacionadas con sus datos personales y las posibles consecuencias, y
VIOLACIONES E
proporcionar herramientas a dichos titulares afectados para minimizar el dao potencial o causado.
INCIDENTES
54. Se debe informar como mnimo, el tipo de incidente, la fecha en que ocurri, y la fecha en la que se
tuvo conocimiento del mismo, la causal, el tipo de datos personales comprometidos y la cantidad de
titulares afectados.
2.7 GESTIN DE LOS 55. Disposiciones que incluyan requisitos para que los encargados cumplan con las normas colombianas de
ENCARGADOS DEL
proteccin de datos y las polticas de tratamiento
TRATAMIENTO EN LAS 56. Mecanismos para que el Encargado reporte al Responsable los incidentes de seguridad de la

informacin
57. Formacin y educacin en temas de proteccin de datos personales para los empleados del Encargado
que tiene acceso a la informacin personal
58. Exigencia de adherencia a las polticas de tratamiento si se utilizan subcontratistas
TRANSMISIONES
INTERNACIONALES DE 59. Realizacin de auditorias internas y/o externas
DATOS PERSONALES 60. Acuerdos con los encargados y sus empleados aceptando que cumplirn con las polticas y protocolos
del responsable del tratamiento
61. Procedimiento para informar a los titulares sus derechos, de acuerdo con lo establecido en el artculo
2.8 COMUNICACIN
11 de la ley 1581, as como los programas de control que se han implementado. Las comunicaciones
EXTERNA
dirigidas a los titulares deben ser claras y comprensibles y no limitarse a una simple repeticin de la ley
EVALUACIN Y REVISIN CONTINUA
A. DESARROLLAR UN
PLAN DE
62.El oficial de proteccin de Datos debe desarrollar un plan de supervisin y revisin anual. El plan debe
SUPERVISIN Y
establecer las medidas de desempeo e incluir un calendario de cundo deben ser revisadas las polticas y
REVISIN
los controles del programa, por lo menos una vez al ao.
63. El monitoreo es un proceso continuo que debe abordar por lo menos las siguientes preguntas Cules
amenazas y riesgos al tratamiento de datos personales detectados en la organizacin, los controles del
B. EVALUAR Y
programa estn teniendo en cuenta las nuevas amenazas y reflejando las quejas ms recientes o los
REVISAR LOS
hallazgos de las auditorias, o las orientaciones de la autoridad de proteccin de datos, se estn ofreciendo
CONTROLES DEL
nuevos servicios que involucran una mayor recoleccin, uso o divulgacin de la informacin personal, se
PROGRAMA
esta llevando a cabo capacitacin eficaz, se estn siguiendo las polticas y procedimientos, y el programa
se encuentra actualizado