Chapter 2

Artículo 25. Contrato de transmisión de datos personales. El contrato que suscriba el Responsable con los Encargados para el Tratamiento de datos personales bajo su control y responsabilidad señalará los alcances del Tratamiento, las actividades que el Encargado realizará por cuenta del Responsable para el Tratamiento de los datos personales y las obligaciones del Encargado para con el Titular y el Responsable. Mediante dicho contrato el Encargado se comprometerá a dar aplicación a las obligaciones del Responsable bajo la política de Tratamiento de la información fijada por éste y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables. Además de las obligé,ciones que impongan las normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo Encargado: 1. Dar Tratamiento, a nombre del Responsable, a los datos personales conforme a los principios que los tutelan. 2. Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales. 3. Guardar confidencialidad respecto del Tratamiento de los datos personales.

=

Artículo 26. Demostración. Los Responsables del Tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este Decreto, en una manera que sea proporcional a lo siguiente: 1. La naturaleza jurídica del Responsable y, cuando sea del caso, su tamaño empresarial, teniendo en cuenta si se trata de una micro, pequeña, mediana o gran empresa, de acuerdo con la normativa vigente. 2. La naturaleza de los datos personales objeto del Tratamiento. 3. El tipo de Tratamiento. 4. Los riesgos potenciales que el rsferi10 Tratamiento podrían CéiLlsar sobre íos derechos de los Titulares.

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, los Responsables deberán suministrar a ésta una descripción de los procedimientos usados para la recolección de los datos personales, como también la descripción de las finalidades para las cuales esta información es recolectada y una explicación sobre la relevancia de los datos personales en cada caso.

En respuesta a un requerimiento de la Superintendencia de Industria y ComerGio, quienes efectúen el Tratamiento de los datos personales deberán suministrar a esta evidencia sobre la implementación efectiva de las medidas de seguridad apropiadas:

Artículo 27. Políticas internas efectivas. En cada caso, de acuerdo con las circunstancias mencionadas en los numerales 1,2, 3 Y 4 del artículo 26 anterior, las medidas efectivas y apropiadas implementadas por el Responsable deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio. Dichas políticas deberán garantizar: 1. La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del Responsable para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012 y este Decreto. 2. La adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación. 3. La adopción de procesos para la atención y respuesta a consultas, peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del Tratamiento. La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los datos personales que administra un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente decreto. .

Artículo 28. Vigencia y derogatorias. El presente decreto rige a partir de su publicación en el Diario Oficial y deroga las disposiciones que·le sean contrarias.

=

27 Jun 2013

EL MINISTRO DE COMERCIO, INDUSTRIA Y TURISMO

El MINISTRO DE TECNOLOGíAS DE LA INFORMACiÓN Y LAS COMUNICACIONES

Categoría:Leyes de Colombia