Puede realizar búsquedas exactas dentro de este documento, ingrese el texto a buscar en la siguiente casilla:
RESOLUCIÓN 204 DE 2022
(marzo 3)
<Fuente: Archivo interno entidad emisora>
JURISDICCIÓN ESPECIAL PARA LA PAZ
Por la cual se designa el Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales de la Jurisdicción Especial para la Paz
EL SECRETARIO EJECUTIVO (E) DE LA JURISDICCIÓN ESPECIAL PARA LA PAZ
En ejercicio de sus facultades constitucionales y legales, en el Reglamento General de la JEP (Acuerdo ASP No. 001 de 2020), y
CONSIDERANDO QUE
El artículo 15 de la Constitución Política de Colombia consagra el derecho de las personas a su intimidad personal, familiar y a su buen nombre, así como a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. A su vez, el artículo 20 ibidem, garantiza a toda persona el derecho fundamental de informar y recibir información veraz e imparcial.
A su turno, la Ley Estatutaria 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales” fue expedida con el objeto de “(...) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma".
El Decreto 1377 de 2013, “Por el cual se reglamenta parcialmente la Ley 1581 de 2012”, en su artículo 5 señala: “Autorización. El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados, así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento (...).
El artículo 23 del Decreto 1377 de 2013, establece los medios para el ejercicio de los Titulares, y señala que: “todo Responsable y Encargado debe designar a una persona o área que asuma la función de protección de datos personales” y que “dará tramite a las solicitudes de los Titulares para el ejercicio de los derechos a los que se refiere la Ley 1581 de 2012 y el presente decreto”.
A su vez, el artículo 26 ibídem precisa que: “Los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este decreto, en una manera que sea proporcional a lo siguiente:
1. La naturaleza jurídica del responsable y, cuando sea del caso, su tamaño empresarial, teniendo en cuenta si se trata de una micro, pequeña, mediana o gran empresa, de acuerdo con la normativa vigente.
2. La naturaleza de los datos personales objeto del tratamiento.
3. El tipo de Tratamiento.
4. Los riesgos potenciales que el referido tratamiento podrían causar sobre los derechos de los titulares.
En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, los Responsables deberán suministrar a esta una descripción de los procedimientos usados para la recolección de los datos personales, como también la descripción de las finalidades para las cuales esta información es recolectada y una explicación sobre la relevancia de los datos personales en cada caso.
En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, quienes efectúen el Tratamiento de los datos personales deberán suministrar a esta evidencia sobre la implementación efectiva de las medidas de seguridad apropiadas:” conforme se establece en el artículo 27.
El artículo 27 del Decreto 1377, indica que: “En cada caso, de acuerdo con las circunstancias mencionadas en los numerales 1, 2, 3 y 4 del artículo 26 anterior, las medidas efectivas y apropiadas implementadas por el Responsable deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio. Dichas políticas deberán garantizar:
1. La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012 y este decreto.
2. La adopción de mecanismos internos para poner en práctica esas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación.
3. (iii) La adopción de procesos para la atención y respuestas a consultas, peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del tratamiento. La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los datos personales que administra un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente decreto.”
Por su parte, el Órgano de Gobierno de la Jurisdicción Especial para la Paz, mediante el Acuerdo AOG No. 005 del 29 de enero de 2019, adoptó la Política de Tratamiento de Datos Personales que aplica a las bases de datos que contengan Datos Personales y que son objeto de tratamiento por parte de la JEP.
Mediante Acuerdo AOG No. 045 de 10 de septiembre de 2019, el Órgano de Gobierno de la Jurisdicción Especial para la Paz adoptó la Política de Seguridad y Privacidad de la Información, que tiene por objeto la protección de la confidencialidad, integridad, disponibilidad y continuidad de la información de la JEP.
El Acuerdo AOG No. 031 de 11 de agosto de 2020, expedido por el Órgano de Gobierno de la JEP, adoptó la Política de Transparencia y Rendición de Cuentas a la ciudadanía, en atención a las disposiciones constitucionales, legales y reglamentarias, para asegurar una gestión judicial transparente y eficiente en cumplimiento de su misión y objetivos, que garantice el ejercicio del derecho de acceso a la información pública y la rendición de cuentas a la ciudadanía sobre los resultados de su gestión.
La Política de Transparencia y Rendición de Cuentas a la ciudadanía, en el subnumeral 10.2.1. “Transparencia activa" del numeral 10.2 “Transparencia en el acceso a la información" establece como una de las medidas para la adecuada gestión de la información, la designación de “un Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales, en cabeza del Departamento de Atención al Ciudadano, en tanto esta área atiende a personas que son titulares de estos derechos".
El Decreto 620 de 2020, referente a los lineamientos generales en el uso y operación de los servicios ciudadanos digitales, dispuso en el artículo 2.2.17.5.4 que “(...) todo responsable y encargado del tratamiento deberá designar a una persona o área que asuma la función de protección de datos personales, quien dará trámite a las solicitudes de los Titulares para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y del Capítulo 25 del Decreto 1074 de 2015 (...)".
Asimismo, establece las actividades que el Oficial de Protección de Datos Personales deberá realizar en cuanto a los datos de los usuarios de los servicios ciudadanos digitales, así:
“1. Velar por el respeto de los derechos de los titulares de los datos personales respecto del tratamiento de datos que realice el prestador de servicios ciudadanos digitales.
2. Informar y asesorar al prestador de servicios ciudadanos digitales en relación con las obligaciones que les competen en virtud de la regulación colombiana sobre privacidad y tratamiento de datos personales.
3. Supervisar el cumplimiento de lo dispuesto en la citada regulación y en las políticas de tratamiento de información del prestador de servicios ciudadanos digitales, así como del principio de responsabilidad demostrada.
4. Prestar el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos.
5. Atender los lineamientos y requerimientos que le haga la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio o quien haga sus veces."
Respecto de las responsabilidades a cargo de las entidades, el mismo Decreto 620 de 2020, en su artículo 2.2.17.5.5., señala que: “(...) Los prestadores de servicios ciudadanos digitales deberán atender las buenas prácticas y principios desarrollados en el ámbito internacional en relación con la protección y tratamiento de datos personales, los cuales se refieren a la privacidad por diseño y a la evaluación del impacto de la privacidad. Conforme a ello, la protección de la privacidad y de los datos además del cumplimiento de la normativa, exige un modo de operar de las organizaciones que involucra sistemas de información, modelos, prácticas de negocio, diseño físico, infraestructura e interoperabilidad, el cual garantiza la privacidad al ciudadano y a las empresas en relación con la recolección, uso, almacenamiento, divulgación y disposición de los mensajes de datos para los servicios ciudadanos digitales gestionados por el prestador de servicios.
Para ello los prestadores de servicios ciudadanos digitales deberán tener en cuenta los siguientes lineamientos: 1. Realizar y actualizar las evaluaciones de impacto del tratamiento de los datos personales y el Programa Integral de Gestión de Datos Personales ante cambios que generen riesgos de privacidad. 2. Incorporar prácticas y procesos de desarrollo necesarios destinados a salvaguardar la información personal de los individuos a lo largo del ciclo de vida de un sistema, programa o servicio. 3. Mantener las prácticas y procesos de gestión adecuados durante el ciclo de vida de los datos que son diseñados para asegurar que los sistemas de información cumplen con los requisitos, políticas y preferencias de privacidad de los ciudadanos. 4. Adoptar las medidas necesarias para preservar la seguridad, confidencialidad e integridad de la información personal durante el ciclo de vida de los datos, desde su recolección original, a través de su uso, almacenamiento, circulación y supresión al final del ciclo de vida. 5. Contar con una estrategia de seguridad y privacidad de la información, seguridad digital y continuidad de la prestación del servicio, en la cual, deberán hacer periódicamente una evaluación del riesgo de seguridad digital que incluya una identificación de las mejoras a implementar en su Sistema de Administración del Riesgo Operativo. Para lo anterior, deben contar con normas. políticas. procedimientos. recursos técnicos, administrativos y humanos necesarios para gestionar efectivamente el riesgo (...)”
Teniendo en cuenta que la protección de datos implica: (i) la seguridad de la información; (ii) el respeto por la normatividad que la regula y; (iii) la conservación de las bases de datos personales, tanto electrónicas, como físicas, es preciso designar al interior de la Jurisdicción Especial para la Paz, el Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales, el cual debe planear, implementar y facilitar las reglas de responsabilidad demostrada en esta materia, así como evaluar y procurar el mejoramiento permanente de la gestión de datos personales en la JEP.
En mérito de lo expuesto,
RESUELVE
ARTÍCULO 1o. OBJETO. Designar el Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales en la Jurisdicción Especial para la Paz, así como establecer las actividades a su cargo y las responsabilidades de las áreas frente a la implementación y sostenibilidad de la gestión de la protección de datos personales.
ARTÍCULO 2o. DESIGNACIÓN Y EJECUCIÓN DE ACTIVIDADES DEL OFICIAL DE CUMPLIMIENTO DE LA POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES. Designar al Departamento de Atención al Ciudadano o quien haga sus veces, en cabeza del jefe o la jefe de este Departamento, como Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales de la Jurisdicción Especial para la Paz.
PARÁGRAFO. El Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales se ceñirá a las disposiciones legales e instrucciones emitidas por las autoridades competentes y, con base en éstas, impartirá lineamientos para la Jurisdicción Especial para la Paz.
ARTÍCULO 3o. ACTIVIDADES DEL OFICIAL DE CUMPLIMIENTO DE LA POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES. El Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales de la Jurisdicción Especial para la Paz adelantará las siguientes actividades:
1. Estructurar, diseñar y administrar la gestión de protección de datos personales.
2. Articular los esfuerzos institucionales, recursos, metodologías y estrategias para asegurar la implementación, sostenibilidad y mejora de la gestión de protección de datos personales.
3. Adelantar y promover acciones de autodiagnóstico para facilitar la valoración interna de la gestión y proponer acciones para la implementación y sostenimiento de la gestión de protección de datos, de manera periódica o cuando se considere necesario.
4. Impulsar una cultura de protección de datos personales a través de actividades de sensibilización a los servidores y servidoras y contratistas de la Jurisdicción Especial para la Paz, en lo referente a la Ley de Protección de Datos Personales y su implementación.
5. Servir de enlace y articular con las demás áreas de la Jurisdicción, las acciones y actividades necesarias para asegurar una implementación transversal de la gestión de datos personales en la entidad.
6. Solicitar la vinculación al Sistema de Gestión de Calidad de los riesgos identificados del tratamiento de datos personales y la adecuada gestión de estos.
7. Hacer seguimiento a los controles, evaluación y revisión del Plan Integral de Gestión de Protección de Datos Personales y a los demás instrumentos que se requieran y presentar un informe sobre el avance de su gestión al menos una vez al año, en el marco del Comité de Gestión para la Administración de Justicia de la Jurisdicción Especial para la Paz.
8. Mantener actualizada la Política de Tratamiento de Datos Personales, así como la estructura documental del Plan Integral de Gestión de Datos Personales y los demás instrumentos que se requieran.
9. Mantener un inventario de las bases de datos personales en poder de la Jurisdicción Especial para la Paz y clasificarlas según su tipo.
10. Acompañar, supervisar y presentar para aprobación del Secretario(a) Ejecutivo(a) la actualización en el Registro Nacional de Bases de Datos (RNBD) de la información de las bases de datos personales, de conformidad con lo dispuesto en la normatividad.
11. Apoyar la actualización en el Registro Nacional de Bases de Datos (RNBD), conforme lo disponga la normatividad.
12. Adelantar el trámite de las solicitudes de los titulares de datos personales para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el Acuerdo 005 del Órgano de Gobierno, conforme al régimen de protección de datos personales y las políticas adoptadas por la JEP.
13. Elaborar el reporte de los reclamos sobre protección de datos personales que presenten los titulares de los datos personales ante la Jurisdicción Especial para la Paz, para el envío por parte del Secretario(a) Ejecutivo(a) al Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio (SIC) o quien haga sus veces.
14. Gestionar, con apoyo de las áreas correspondientes, el registro de las nuevas bases de datos de la Jurisdicción, en el Registro Nacional de Bases de Datos y actualizar el reporte, atendiendo las instrucciones que sobre el particular emita la Superintendencia de Industria y Comercio (SIC) o quien haga sus veces, conforme lo dispuesto en la normatividad.
15. Obtener las declaraciones de conformidad para la transferencia o transmisión de datos a nivel internacional a países que no estén certificados como seguros, de acuerdo con lo establecido por la Superintendencia de Industria y Comercio (SIC) o quien haga sus veces, cuando esto sea requerido.
16. Velar por la implementación efectiva de las políticas y documentos adoptados por la entidad para cumplir las normas, así como por la implementación de buenas prácticas de gestión de datos personales dentro de la Jurisdicción Especial para la Paz.
17. Promover la elaboración e implementación de una herramienta que permita administrar los riesgos del tratamiento de datos personales.
18. Acompañar y asistir a la entidad en la atención de las visitas de inspección y los requerimientos que realice la autoridad competente para la verificación del cumplimiento de la Ley de Protección de Datos Personales.
19. Las demás actividades derivadas de la aplicación de la normatividad relacionada con la protección de datos personales.
ARTÍCULO 4o. RESPONSABILIDADES GENERALES DE LAS ÁREAS EN EL TRATAMIENTO DE DATOS PERSONALES EN LA JURISDICCIÓN ESPECIAL PARA LA PAZ. las Salas de Justicia y Secciones del Tribunal para la Paz, la Unidad de Investigación y Acusación y la Secretaría Ejecutiva, deberán:
1. Designar un servidor o servidora como enlace, con el propósito de apoyar al Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales en la implementación del Plan Integral de Gestión de Protección de Datos Personales y en los demás instrumentos que se requieran para la aplicación trasversal de dicha Política en la entidad.
2. Cumplir a cabalidad los lineamientos que imparta la entidad a través de la Política de Tratamiento de la Información, políticas de operación fijadas en los documentos del Sistema de Gestión de Calidad, así como las derivadas del Plan Integral de Gestión de Protección de Datos Personales y los demás instrumentos que se requieran.
3. Participar activamente en las capacitaciones y sensibilizaciones que sobre protección de datos personales imparta la entidad.
4. Reportar, por intermedio del enlace, las bases de datos que cada área maneje, para su inscripción por parte del Secretario(a) Ejecutivo(a) ante el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio, con apoyo del Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales.
5. Mantener actualizada la información en el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio (SIC) o quien haga sus veces, con apoyo del Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales.
6. Informar y reportar al Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales la creación de nuevas bases de datos personales.
7. Dar a conocer al Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales las consultas, peticiones, quejas, reclamos, incidentes de seguridad que se conozcan, relacionados con la protección de datos personales.
8. Apoyar al Sistema de Gestión de Calidad en la identificación y monitoreo de los riesgos asociados al tratamiento de datos personales.
9. Conocer y apropiar los lineamientos que en materia de protección de datos personales expida la Jurisdicción Especial para la Paz, por intermedio del Sistema de Gestión de Calidad, y aplicar estos conocimientos, de conformidad con lo dispuesto por la Superintendencia de Industria y Comercio y el Ministerio de Tecnologías de la Información y de las Telecomunicaciones.
ARTÍCULO 5o. SOLICITUD DE APOYO. El Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales podrá requerir el apoyo de las áreas que considere necesarias a efectos de desarrollar e implementar el Plan Integral de Gestión de Protección de Datos Personales y los demás instrumentos que se requieran, de acuerdo con las competencias de cada una.
ARTÍCULO 6o. REUNIONES DE LOS ENLACES DE PROTECCIÓN DE INFORMACIÓN. Los enlaces designados por las áreas se reunirán, previa convocatoria, para recibir capacitación y orientación, y coordinar las acciones de apoyo que faciliten el desarrollo de las actividades a cargo del Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales.
ARTÍCULO 7o. VIGENCIA. La presente resolución rige a partir de la fecha de su publicación.
PUBLÍQUESE Y CÚMPLASE
Dada en Bogotá, D.C., a los 3 días del mes de marzo de 2022
HARVEY DANILO SUÁREZ MORALES
Secretario Ejecutivo (E)
Jurisdicción Especial para la Paz