Puede realizar búsquedas exactas dentro de este documento, ingrese el texto a buscar en la siguiente casilla:
RESOLUCIÓN ORGANIZACIONAL OGZ-0765-2020 DE 2020
(julio 6)
Diario Oficial No. 51.368 de 07 de julio de 2020
CONTRALORÍA GENERAL DE LA REPÚBLICA
Por medio de la cual se designa el Oficial de Protección de Datos Personales en la Contraloría General de la República y se fijan sus funciones.
EL CONTRALOR GENERAL DE LA REPÚBLICA,
en ejercicio de sus facultades constitucionales y legales, en especial las previstas en los artículos 6o y 35 numeral 4 del Decreto-ley 267 de 2000, el artículo 23 del Decreto número 1377 de 2013, compilado en el artículo 2.2.2.25.4.4 del Decreto Único Reglamentario 1074 de 2015, y
CONSIDERANDO:
Que en el artículo 15 de la Constitución Política se establece que “[t]odas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”.
Que el artículo 267 de la Constitución Política, modificado por el artículo 1o del Acto Legislativo 04 de 2019, preceptúa que la vigilancia y el control fiscal son una función pública que ejercerá la Contraloría General de la República, la cual vigila la gestión fiscal de la administración y de los particulares o entidades que manejen fondos o bienes públicos, en todos los niveles administrativos y respecto de todo tipo de recursos públicos. La vigilancia de la gestión fiscal del Estado incluye el seguimiento permanente al recurso público, sin oponibilidad de reserva legal para el acceso a la información por parte de los órganos de control fiscal.
Que el artículo 136 de la Ley 1955 de 2019 dispuso que la Contraloría General de la República para el cumplimiento de sus funciones, tendrá acceso sin restricciones a los sistemas de Información o bases de datos de las entidades públicas y privadas que dispongan o administren recursos y/o ejerzan funciones públicas. Para ello, la reserva legal de información o documentos no le será oponible y se entenderá extendida exclusivamente para su uso en el marco de sus funciones constitucionales y legales. Cada entidad deberá disponer de lo necesario para garantizar el suministro oportuno y en tiempo real de la información requerida por la Contraloría General de la República.
Que de conformidad con el literal k) del artículo 3o del Decreto-ley 403 de 2020, la inoponibilidad en el acceso a la información es un principio de la vigilancia y control fiscal en virtud del cual “(...) los órganos de control fiscal podrán requerir, conocer y examinar, de manera gratuita, todos los datos e información sobre la gestión fiscal de entidades públicas o privadas, exclusivamente para el ejercicio de sus funciones sin que le sea oponible reserva alguna”.
Que según lo dispuesto en el artículo 90 del Decreto-ley 403 de 2020, “(...) el acceso a los sistemas de información o bases de datos de las entidades públicas y privadas que dispongan o administren recursos y/o ejerzan funciones públicas, por parte de la Contraloría General de la República y demás órganos de control fiscal, no podrá impedirse o limitarse con el argumento del carácter reservado o clasificado de la información. Los funcionarios de los órganos de control fiscal estarán obligados a guardar La reserva y la confidencialidad de la información que tenga dicho carácter, en los términos de las Leyes 1712 de 2014 y 1581 de 2012 y las normas que las modifiquen, adicionen o sustituyan”.
Que conforme al numeral primero del artículo 42A del Decreto-ley 267 de 2000, adicionado por el artículo 3o del Decreto-ley 2037 de 2019, entre las funciones de la Dirección de Información, Análisis y Reacción Inmediata de la Contraloría General de la República, se encuentra la de dirigir la formulación de políticas, planes, programas, proyectos y procedimientos relacionados con el acceso, acopio, custodia, seguridad, uso, análisis y aprovechamiento de datos e información, que contribuyan a incrementar la eficiencia, eficacia y resultados con valor agregado de las acciones de vigilancia y control fiscal, con el apoyo de la Unidad de Seguridad y Aseguramiento Tecnológico e Informático y la Oficina de Sistemas e Informática en lo que corresponda.
Que de acuerdo con lo establecido por el artículo 128, inciso 5, de la Ley 1474 de 2011, es función de la Unidad de Seguridad y Aseguramiento Tecnológico e Informático prestar apoyo profesional y técnico para la formulación y ejecución de las políticas y programas de seguridad de los servidores públicos, de los bienes y de la información de la entidad y promover la celebración de convenios con entidades u organismos nacionales e internacionales para garantizar la protección de las personas al servicio de la Contraloría General de la República.
Que conforme lo prescribe el parágrafo 1 del artículo 1o del Decreto-ley 2037 de 2019, la Unidad de Seguridad y Aseguramiento Tecnológico e Informático cumplirá las finalidades y funciones señaladas en el artículo 128 de Ley 1474 de 2011 y los lineamientos que expida el Contralor General de la República para el desarrollo de las mismas.
Que la finalidad del acceso por parte de la Contraloría General de la República a los sistemas de información o bases de datos de las entidades públicas y de las entidades privadas que dispongan o administren recursos y/o ejerzan funciones públicas, en los cuales pueden existir datos personales, es exclusivamente para utilizar la información en los fines y propósitos de la vigilancia y control fiscal, por disposición del artículo 89 del Decreto número 403 de 2020, reglamentario del Acto Legislativo 04 de 2019.
Que de conformidad con el artículo 1o de la Ley 1581 de 2012, por la cual se dictan disposiciones generales sobre La Protección de Datos Personales, esta tiene por objeto “(...) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política”.
Que por medio del artículo 25 de la Ley 1581 de 2012 se creó el Registro Nacional de Bases de Datos, definido como el directorio público de las bases de datos sujetas a Tratamiento que operan en el país, el cual fue reglamentado por el Decreto número 886 de 2014 y desarrollado en la Circular Única de la Superintendencia de Industria y Comercio, modificada por la Circular Externa número 003 de 2018.
Que el artículo 23 del Decreto número 1377 de 2013, por el cual se reglamenta parcialmente, la Ley 1581 de 2012, estableció que “[t]odo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente decreto”.
Que de acuerdo con lo dispuesto en los artículos 26 y 27 del Decreto número 1377 de 2013, los responsables del tratamiento de datos personales deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y sus normas reglamentarias, las cuales deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio.
Que las disposiciones del Decreto número 1377 de 2013 fueron compiladas por el Decreto número 1074 de 2015, por medio del cual se expide el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo; así como las del Decreto número 4886 de 2011, artículo 1o, que califica a la Superintendencia de Industria y Comercio como la autoridad nacional que defiende los derechos fundamentales relacionados con la correcta administración de datos personales.
Que en el artículo 18, Título III de la Ley 1712 de 2014, por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones, corregido por el artículo 2o del Decreto número 1494 de 2015, se señala la información exceptuada por daño de derechos a personas naturales o jurídicas.
Que el artículo 1o de la Ley 1273 de 2009, por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones, ordena la adición al Código Penal del Título VII BIS, del siguiente tenor: “CAPÍTULO PRIMERO, de los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos” incluyendo el artículo 269F sobre el delito de “Violación de datos personales” Código Penal.
Que según lo dispuesto en el numeral 8 del artículo 68 del Decreto número 267 de 2000, modificado por el artículo 21 del Decreto número 2037 de 2019, corresponde a la Dirección de Gestión Documental proteger la información y los datos personales que reposan en medios físicos, bases de datos y documentos electrónicos en los sistemas de información de gestión documental de la Contraloría General de la República, de acuerdo con la normatividad vigente.
Que de acuerdo con lo dispuesto en el artículo 6o del Decreto-ley 267 de 2000, la Contraloría General de la República, en ejercicio de su autonomía administrativa, debe definir todos los aspectos relacionados con el cumplimiento de sus funciones, en armonía con los principios consagrados en la Constitución Política.
Que el numeral 4 del artículo 35 del Decreto-ley 267 de 2000 establece como función del Contralor General de la República la de “Dirigir como autoridad superior las labores administrativas y de vigilancia fiscal de las diferentes dependencias de la Contraloría General de la República, de acuerdo con la ley”.
Que el 30 de septiembre de 2019 el Comité Institucional de Gestión y de Coordinación de Control Interno (CIGECCI) de la Contraloría General de la República (CGR) aprobó el “Manual para la Gestión de Riesgos de la CGR”, el cual comprende la política institucional en esta materia y por medio del cual se incluyen y se prevé la identificación y atención de los riesgos inherentes al tratamiento de datos personales. Este manual está publicado en el Aplicativo SIGECI.
Que el Sistema de Gestión de Seguridad de la Contraloría General de la República y el Comité de Seguridad, como instancia coordinadora del mismo, fueron creados mediante la Resolución Organizacional OGZ-0531 de 2016, la cual fue modificada a través de la Resolución Organizacional OGZ-0593 de 2017 y la Resolución Organizacional OGZ-0758 de 2020.
Que el Capítulo 5 del Decreto número 620 del 2 de mayo de 2020, por el cual se subroga el título 17 de la parte 2 del libro 2 del Decreto 1078 de 2015, para reglamentarse parcialmente los artículos 53, 54, 60, 61 y 64 Ley 1437 de 2011, los literales e), j), y literal a) del parágrafo 2 del artículo 45 de la Ley 1753 de 2015, el numeral 3 del artículo 147 de la Ley 1955 de 2019, y el artículo 9o del Decreto número 2106 de 2019, estableciendo los lineamientos generales en el uso y operación de los servicios ciudadanos digitales”, señala que los organismos y entidades que conforman las ramas del Poder Público en sus distintos órdenes y niveles y los organismos autónomos e independientes el Estado son sujetos obligados del ámbito de aplicación de este decreto. Asimismo, conforme con lo dispuesto en el Capítulo Quinto, los prestadores de servicios ciudadanos digitales deberán crear e implementar un Programa Integral de Gestión de Datos Personales, designar a una persona que asuma la función de protección de datos personales y en general cumplir lo dispuesto en la Ley 1581 de 2012 en calidad de Responsables o Encargados de los Datos Personales.
Que teniendo en cuenta el marco normativo que regula la protección de datos personales, el cual implica velar por la seguridad de la información, así como la conservación de las bases de datos personales, tanto electrónicas como físicas, es necesario designar al interior de la Contraloría General de la República el Oficial de Protección de Datos Personales, para dar cumplimiento a la normativa que regula la materia, el cual tendrá como función principal la planeación, implementación, evaluación y mejoramiento permanente del Programa Integral de Gestión de Datos Personales de la Contraloría General de la República.
En mérito de lo expuesto,
RESUELVE:
ARTÍCULO 1o. OBJETO. Designar el Oficial de Protección de Datos Personales en la Contraloría General de la República.
ARTÍCULO 2o. DESIGNACIÓN DEL OFICIAL DE PROTECCIÓN DE DATOS PERSONALES Y ASIGNACIÓN DE FUNCIONES. La Unidad de Seguridad y Aseguramiento Tecnológico e Informático (USATI) será el área que asumirá las funciones de Oficial de Protección de Datos Personales en la Contraloría General de la República. Esta dependencia asumirá la función general de velar por la protección de datos personales y asesorar en el trámite de respuesta a las solicitudes de los titulares de los datos en el ejercicio de sus derechos.
Las dependencias de la Contraloría General de la República brindarán, en el marco de sus competencias, apoyo a la Unidad de Seguridad y Aseguramiento Tecnológico e Informático (USATI) para el cumplimiento de las funciones previstas en la presente resolución.
ARTÍCULO 3o. FUNCIONES ESPECÍFICAS DEL OFICIAL DE PROTECCIÓN DE DATOS PERSONALES. Son funciones del Oficial de Protección de Datos Personales en la Contraloría General de la República, las siguientes:
1. Estructurar, diseñar y administrar el Programa Integral de Gestión de Datos Personales.
2. Articular los esfuerzos institucionales, recursos, metodologías y estrategias para asegurar la implementación transversal, la sostenibilidad y mejora continua del Programa Integral de Gestión de Datos Personales.
3. Diseñar, estructurar, implementar y monitorear las acciones de autodiagnóstico relacionadas con la implementación, sostenibilidad y mejora continua del Programa Integral de Gestión de Datos Personales.
4. Proponer las acciones de mejora del Programa Integral de Gestión de Datos, derivadas del análisis de riesgo, las acciones de autodiagnóstico y el ejercicio de las auditorías internas y/o externas.
5. Asesorar y constatar el trámite y debida atención de las solicitudes elevadas por los titulares de la información personal, sus representantes o causahabientes, en ejercicio del derecho fundamental al hábeas data, según los términos del artículo 15 de la Constitución Política, la Ley 1581 de 2012 y el Decreto Único Reglamentario 1074 de 2015.
6. Asesorar en la gestión de los riesgos asociados al tratamiento de datos personales y al cumplimiento de la normatividad asociada, de oficio y a petición de parte.
7. Informar y asesorar a las dependencias de la Entidad que lleven a cabo el Tratamiento de Datos Personales, en relación con las obligaciones que les competen en virtud de la regulación legal.
8. Promover la actualización de la Política de Tratamiento de Datos Personales y el Manual de Políticas y Procedimientos Internos de Protección de Datos Personales.
9. Mantener y actualizar el inventario de las bases de datos personales empleadas dentro del ámbito de operación de la Contraloría General de la República.
10. Llevar a cabo la inscripción y actualización en el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio (SIC) de las bases de datos personales registradas por la Entidad, conforme a los términos previstos por la normatividad vigente y con el apoyo permanente de los administradores directos de cada una de las bases de datos identificadas.
11. Asesorar y rendir concepto sobre la creación de bases de datos personales nuevas al interior de la Entidad, así como la Política de Tratamiento de Datos Personales y el Manual de Políticas y Procedimientos Internos de Protección de Datos Personales.
12. Promover una cultura de protección de datos personales dentro de la Entidad a través de actividades de sensibilización a los servidores públicos de la Contraloría General de la República acerca de la Ley de Protección de Datos Personales, sobre la Política de Tratamiento de Datos Personales y el Manual de Políticas y Procedimientos Internos de Protección de Datos Personales y su implementación.
13. Actuar como enlace entre la Contraloría General de la República, la Superintendencia de Industria y Comercio y/o la Procuraduría General de la Nación para gestionar cualquier solicitud o trámite de las partes en el ejercicio del cumplimiento de la Ley 1581 de 2012, sus decretos reglamentarios y la Guía de Responsabilidad Demostrada.
14. Obtener las declaraciones de conformidad relativas a la transferencia internacional de datos personales de la Superintendencia de Industria y Comercio (SIC), cuando sea requerido para la transferencia o transmisión de datos a nivel internacional a países que no estén certificados como seguros, siguiendo los lineamientos y directrices que sobre el tema ofrezca la autoridad designada.
15. Realizar el reporte de novedades en el Registro Nacional de Bases de Datos, tanto de reclamos recibidos en materia de protección de datos personales como de los incidentes de seguridad asociados a datos personales que pongan en riesgo la información personal alojada en las bases de datos.
16. Acompañar y asistir a la Entidad en la atención de las visitas de inspección y los requerimientos que realice la autoridad designada para la verificación del cumplimiento de la ley de protección de datos personales.
17. Brindar recomendaciones al Comité de Seguridad en asuntos relacionados con el tratamiento de datos personales y hacer seguimiento a las decisiones adoptadas y compromisos adquiridos sobre la materia.
18. Presentar los informes, el estado de avance del Programa Integral de Gestión de Datos Personales, o el estado de la gestión institucional sobre el cumplimiento de la Ley 1581 de 2012 y sus decretos reglamentarios a los organismos de control o al Contralor General de la República, cuando así sean requeridos.
19. Verificar el cumplimiento de las obligaciones definidas en los acuerdos celebrados entre la Contraloría General de la República y otras entidades en materia de protección de datos personales.
20. Asesorar a las dependencias de la Contraloría General de la República, cuando así lo requieran, sobre el acceso a los sistemas de información y bases de datos de quienes realicen gestión fiscal, para que se realice de conformidad con los principios que orientan el tratamiento de datos personales y cumplan con los procedimientos necesarios para garantizar la finalidad del mismo y la confidencialidad de los datos personales.
21. Las demás funciones que establezca la normativa relacionada con la protección de datos o que le asigne el Contralor General de la República sobre la materia.
PARÁGRAFO 1o. El Programa Integral de Gestión de Datos Personales será presentado ante el Comité de Seguridad, para su consideración y aprobación, previa revisión de los líderes de los macroprocesos institucionales.
PARÁGRAFO 2o. El Manual de Políticas y Procedimientos Internos de Protección de Datos Personales se creará de acuerdo con la reglamentación del Sistema de Gestión y Control Interno (SIGECI) y el procedimiento aplicable.
ARTÍCULO 4o. INFORME DE AVANCES SOBRE LA GESTIÓN DEL OFICIAL DE PROTECCIÓN DE DATOS PERSONALES. El Oficial de Protección de Datos Personales en la Contraloría General de la República presentará informes sobre el avance de su gestión ante el Comité de Seguridad, en la primera sesión ordinaria anual, o cuando sean requeridos por el Contralor General de la República, el Vicecontralor o quien presida el citado Comité.
ARTÍCULO 5o. RESPONSABILIDADES GENERALES DE LAS DEPENDENCIAS EN RELACIÓN CON LAS FUNCIONES DEL OFICIAL DE PROTECCIÓN DE DATOS PERSONALES. Todas las dependencias de la Entidad tendrán la responsabilidad de:
1. Cumplir a cabalidad los lineamientos que imparta la Entidad a través de la Política de Tratamiento de Datos Personales, las políticas de operación fijadas en los documentos del Sistema de Gestión y Control Interno (SIGECI), así como las directrices que se impartan en el marco del Programa Integral de Gestión de Datos Personales, el Manual de Políticas y Procedimientos Internos de Protección de Datos Personales, la Ley 1581 de 2012, sus decretos reglamentarios y las instrucciones impartidas por la autoridad nacional de protección de datos personales y el Oficial de Protección de Datos Personales.
2. Prestar todo el apoyo necesario al Oficial de Protección de Datos Personales para la identificación e inscripción de las nuevas bases de datos personales en el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio dentro de los dos (2) meses siguientes contados a partir de su creación.
3. Prestar todo el apoyo necesario al Oficial de Protección de Datos Personales para actualizar en el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio (SIC) las bases de datos personales registradas por la Entidad, que estén a su cargo, conforme los términos previstos por la normatividad vigente.
4. Informar y someter a consideración del Oficial de Protección de Datos Personales la creación de nuevas bases de datos personales a cargo de la dependencia, para ser inscritas en el Registro Nacional de Bases de Datos (RNBD) atendiendo las instrucciones que sobre el particular emita la Superintendencia de Industria y Comercio (SIC).
5. Solicitar concepto al Oficial de Protección de Datos Personales respecto a la viabilidad y condiciones para llevar a cabo el acceso y tratamiento de las bases de datos personales, cuando sea necesario.
6. Apoyar al Oficial de Protección de Datos Personales en el proceso de gestión de riesgos e identificación de oportunidades de mejora al Programa Integral de Gestión de Datos Personales.
7. Reportar ante el Oficial de Protección de Datos Personales cualquier violación a los códigos de seguridad, pérdida, robo, y/o acceso no autorizado o fraudulento a la información de las bases de datos personales físicas o electrónicas, para que este a su vez realice el reporte del incidente ante la SIC, conforme los términos previstos en la normatividad vigente, y considerar dicha información en la actualización del mapa de riesgos de la CGR y el respectivo plan de manejo.
8. Dar a conocer al Oficial de Protección de Datos Personales las consultas, peticiones, quejas, reclamos, incidentes que conozca relacionados con protección de datos personales.
9. Participar activamente en las capacitaciones, sensibilizaciones que sobre protección de datos personales imparta la Entidad.
10. Apropiar los conocimientos y lineamientos que imparta la Contraloría General de la República, en materia de protección de datos personales y aplicarlos en las actividades que se realizan diariamente.
11. Responder con apoyo del Oficial de Protección de Datos Personales las solicitudes de los Titulares, sus causahabientes o apoderados, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el Decreto número 1377 de 2013.
12. Llevar a cabo las actividades que establezca la normatividad relacionada con la protección de datos personales, que estén a cargo de su dependencia en lo de sus respectivas competencias.
PARÁGRAFO 1o. La competencia del Oficial de Protección de Datos respecto de las consultas, peticiones, quejas o reclamos elevadas por los Titulares de la información, sus representantes o causahabientes para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el Decreto Único Reglamentario 1074 de 2015, será la de asesorar y constatar el trámite y atención de las mismas por parte de las dependencias de la Entidad a las cuales sean dirigidas.
PARÁGRAFO 2o. Cuando a solicitud del Titular de los datos personales, sus representantes o causahabientes haya lugar a reconsiderar la respuesta ofrecida por la dependencia concernida con el tratamiento, el Oficial de Protección de Datos Personales coordinará con esta la respuesta definitiva a la solicitud.
ARTÍCULO 6o. DE LA GESTIÓN DE DERECHOS DE PETICIÓN QUE TENGAN POR OBJETO EL EJERCICIO DEL HÁBEAS DATA. La Dirección de Atención Ciudadana, en coordinación con la Oficina de Sistemas de Informática, desarrollará las funcionalidades técnicas pertinentes en el Sistema de Información de Participación Ciudadana (SIPAR), para identificar, clasificar, evaluar y responder de manera diferenciada los derechos de petición relacionados con la ley de protección de datos personales que los Titulares, sus representantes o causahabientes realicen a la Contraloría General de la República; así como su respectivo seguimiento y control.
El desarrollo de esas funcionalidades garantizará que el Oficial de Protección de Datos Personales sea notificado de la recepción de una petición con tal objeto, que el peticionario sea informado de cuál será la dependencia de la Entidad que dará respuesta de fondo a su petición y que la gestión de respuesta tendrá el acompañamiento del Oficial de Protección de Datos Personales, en garantía de su derecho de hábeas data.
ARTÍCULO 7o. ACTUALIZACIÓN DE POLÍTICAS Y PROCEDIMIENTOS. La Unidad de Seguridad y Aseguramiento Tecnológico e Informático (USATI), en coordinación con las dependencias concernidas, actualizará la política institucional de tratamiento de datos personales, de conformidad con lo dispuesto en la presente resolución. De igual forma, la Dirección de Atención Ciudadana hará lo propio en relación con el procedimiento para la atención, trámite y seguimiento a las denuncias fiscales y demás derechos de petición en la Contraloría General de la República de acuerdo con los requisitos y términos especiales contenidos en la Ley Estatutaria 1581 de 2012.
ARTÍCULO 8o. VIGENCIA Y DEROGATORIAS. La presente resolución rige a partir de su publicación y deroga las disposiciones que le sean contrarias.
Comuníquese, publíquese y cúmplase.
Dada en Bogotá, D. C., a 6 de julio de 2020.
El Contralor General de la República,
Carlos Felipe Córdoba Larrarte