POLÍTICAS DE TRATAMIENTO.
ARTÍCULO 2.2.2.25.3.1. POLÍTICAS DE TRATAMIENTO DE LA INFORMACIÓN. Los responsables del tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas.
Las políticas de tratamiento de la información deberán constar en medio físico o electrónico, en un lenguaje claro y sencillo y ser puestas en conocimiento de los Titulares. Dichas políticas deberán incluir, por lo menos, la siguiente información:
1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable.
2. Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando esta no se haya informado mediante el aviso de privacidad.
3. Derechos que le asisten como Titular.
4. Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.
5. Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.
6. Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de datos.
Cualquier cambio sustancial en las políticas de tratamiento, en los términos descritos en el artículo 2.2.2.25.2.2. del presente decreto deberá ser comunicado oportunamente a los titulares de los datos personales de una manera eficiente, antes de implementar las nuevas políticas.
(Decreto 1377 de 2013, artículo 13)
ARTÍCULO 2.2.2.25.3.2. AVISO DE PRIVACIDAD. En los casos en los que no sea posible poner a disposición del Titular las políticas de tratamiento de la información, los responsables deberán informar por medio de un aviso de privacidad al titular sobre la existencia de tales políticas y la forma de acceder a las mismas, de manera oportuna y en todo caso a más tardar al momento de la recolección de los datos personales.
(Decreto 1377 de 2013, artículo 14)
ARTÍCULO 2.2.2.25.3.3. CONTENIDO MÍNIMO DEL AVISO DE PRIVACIDAD. El aviso de privacidad, como mínimo, deberá contener la siguiente información:
1. Nombre o razón social y datos de contacto del responsable del tratamiento.
2. El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.
3. Los derechos que le asisten al titular.
4. Los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente. En todos los casos, debe informar al Titular cómo acceder o consultar la política de Tratamiento de información.
No obstante lo anterior, cuando se recolecten datos personales sensibles, el aviso de privacidad deberá señalar expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.
En todo caso, la divulgación del Aviso de Privacidad no eximirá al Responsable de la obligación de dar a conocer a los titulares la política de tratamiento de la información, de conformidad con lo establecido en este capítulo.
(Decreto 1377 de 2013, artículo 15)
ARTÍCULO 2.2.2.25.3.4. DEBER DE ACREDITAR PUESTA A DISPOSICIÓN DEL AVISO DE PRIVACIDAD Y LAS POLÍTICAS DE TRATAMIENTO DE LA INFORMACIÓN. Los Responsables deberán conservar el modelo del Aviso de Privacidad que utilicen para cumplir con el deber que tienen de dar a conocer a los Titulares la existencia de políticas del tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven. Para el almacenamiento del modelo, el Responsable podrá emplear medios informáticos, electrónicos o cualquier otra tecnología que garantice el cumplimiento de lo previsto en la Ley 527 de 1999.
(Decreto 1377 de 2013, artículo 16)
ARTÍCULO 2.2.2.25.3.5. MEDIOS DE DIFUSIÓN DEL AVISO DE PRIVACIDAD Y DE LAS POLÍTICAS DE TRATAMIENTO DE LA INFORMACIÓN. Para la difusión del aviso de privacidad y de la política de tratamiento de la información, el responsable podrá valerse de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular.
(Decreto 1377 de 2013, artículo 17)
ARTÍCULO 2.2.2.25.3.6. PROCEDIMIENTOS PARA EL ADECUADO TRATAMIENTO DE LOS DATOS PERSONALES. Los procedimientos de acceso, actualización, supresión y rectificación de datos personales y de revocatoria de la autorización deben darse a conocer o ser fácilmente accesibles a los Titulares de la información e incluirse en la política de tratamiento de la información.
(Decreto 1377 de 2013, artículo 18)
ARTÍCULO 2.2.2.25.3.7. MEDIDAS DE SEGURIDAD. La Superintendencia de Industria y Comercio impartirá las instrucciones relacionadas con las medidas de seguridad en el Tratamiento de datos personales.
(Decreto 1377 de 2013, artículo 19)
EJERCICIO DE LOS DERECHOS DE LOS TITULARES.
ARTÍCULO 2.2.2.25.4.1. LEGITIMACIÓN PARA EL EJERCICIO DE LOS DERECHOS DEL TITULAR. Los derechos de los Titulares establecidos en la Ley, podrán ejercerse por las siguientes personas:
1. Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable.
2. Por sus causahabientes, quienes deberán acreditar tal calidad.
3. Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
4. Por estipulación a favor de otro o para otro.
Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.
(Decreto 1377 de 2013, artículo 20)
ARTÍCULO 2.2.2.25.4.2. DEL DERECHO DE ACCESO. Los responsables y encargados del tratamiento deben establecer mecanismos sencillos y ágiles que se encuentren permanentemente disponibles a los Titulares con el fin de que estos puedan acceder a los datos personales que estén bajo el control de aquellos y ejercer sus derechos sobre los mismos.
El Titular podrá consultar de forma gratuita sus datos personales: (i) al menos una vez cada mes calendario, y (ii) cada vez que existan modificaciones sustanciales de las Políticas de Tratamiento de la información que motiven nuevas consultas.
Para consultas cuya periodicidad sea mayor a una por cada mes calendario, el responsable solo podrá cobrar al titular los gastos de envío, reproducción y, en su caso, certificación de documentos. Los costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente. Para tal efecto, el responsable deberá demostrar a la Superintendencia de Industria y Comercio, cuando esta así lo requiera, el soporte de dichos gastos.
(Decreto 1377 de 2013, artículo 21)
ARTÍCULO 2.2.2.25.4.3. DEL DERECHO DE ACTUALIZACIÓN, RECTIFICACIÓN Y SUPRESIÓN. En desarrollo del principio de veracidad o calidad, en el tratamiento de los datos personales deberán adoptarse las medidas razonables para asegurar que los datos personales que reposan en las bases de datos sean precisos y suficientes y, cuando así lo solicite el Titular o cuando el Responsable haya podido advertirlo, sean actualizados, rectificados o suprimidos, de tal manera que satisfagan los propósitos del tratamiento.
(Decreto 1377 de 2013, artículo 22)
ARTÍCULO 2.2.2.25.4.4. MEDIOS PARA EL EJERCICIO DE LOS DERECHOS. Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente capítulo.
(Decreto 1377 de 2013, artículo 23)
TRANSFERENCIAS Y TRANSMISIONES INTERNACIONALES DE DATOS PERSONALES.
ARTÍCULO 2.2.2.25.5.1. DE LA TRANSFERENCIA Y TRANSMISIÓN INTERNACIONAL DE DATOS PERSONALES. Para la transmisión y transferencia de datos personales, se aplicarán las siguientes reglas:
1. Las transferencias internacionales de datos personales deberán observar lo previsto en el artículo 26 de la Ley 1581 de 2012.
2. Las transmisiones internacionales de datos personales que se efectúen entre un Responsable y un Encargado para permitir que el encargado realice el tratamiento por cuenta del responsable, no requerirán ser informadas al Titular ni contar con su consentimiento cuando exista un contrato en los términos del artículo 2.2.2.25.5.2.
(Decreto 1377 de 2013, artículo 24)
ARTÍCULO 2.2.2.25.5.2. CONTRATO DE TRANSMISIÓN DE DATOS PERSONALES. El contrato que suscriba el Responsable con los encargados para el tratamiento de datos personales bajo su control y responsabilidad señalará los alcances del tratamiento, las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y las obligaciones del Encargado para con el titular y el Responsable.
Mediante dicho contrato el Encargado se comprometerá a dar aplicación a las obligaciones del Responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables.
Además de las obligaciones que impongan las normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:
1. Dar Tratamiento, a nombre del Responsable, a los datos personales conforme a los principios que los tutelan.
2. Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.
3. Guardar confidencialidad respecto del tratamiento de los datos personales. (Decreto 1377 de 2013, artículo 25)
RESPONSABILIDAD DEMOSTRADA FRENTE AL TRATAMIENTO DE DATOS PERSONALES.
ARTÍCULO 2.2.2.25.6.1. DEMOSTRACIÓN. Los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este capítulo, en una manera que sea proporcional a lo siguiente:
1. La naturaleza jurídica del responsable y, cuando sea del caso, su tamaño empresarial, teniendo en cuenta si se trata de una micro, pequeña, mediana o gran empresa, de acuerdo con la normativa vigente.
2. La naturaleza de los datos personales objeto del tratamiento.
3. El tipo de Tratamiento.
4. Los riesgos potenciales que el referido tratamiento podrían causar sobre los derechos de los titulares.
En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, los Responsables deberán suministrar a esta una descripción de los procedimientos usados para la recolección de los datos personales, como también la descripción de las finalidades para las cuales esta información es recolectada y una explicación sobre la relevancia de los datos personales en cada caso.
En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, quienes efectúen el Tratamiento de los datos personales deberán suministrar a esta evidencia sobre la implementación efectiva de las medidas de seguridad apropiadas:
(Decreto 1377 de 2013, artículo 26)
ARTÍCULO 2.2.2.25.6.2. POLÍTICAS INTERNAS EFECTIVAS. En cada caso, de acuerdo con las circunstancias mencionadas en los numerales 1, 2, 3 y 4 del artículo 2.2.2.25.6.1. las medidas efectivas y apropiadas implementadas por el Responsable deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio. Dichas políticas deberán garantizar:
1. La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012 y este capítulo.
2. La adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación.
3. La adopción de procesos para la atención y respuesta a consultas, peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del tratamiento.
La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los datos personales que administra un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente capítulo.
(Decreto 1377 de 2013, artículo 27)
NORMAS CORPORATIVAS VINCULANTES.
ARTÍCULO 2.2.2.25.7.1. OBJETO. <Artículo adicionado por el artículo 1 del Decreto 255 de 2022. El nuevo texto es el siguiente:> El presente decreto tiene como objeto establecer las condiciones mínimas de las Normas Corporativas Vinculantes, entre ellas, las garantías y mecanismos de protección de datos que deben ofrecerse, así como el procedimiento para autorizarlas, para la obtención de la certificación de buenas prácticas.
ARTÍCULO 2.2.2.25.7.2. ÁMBITO DE APLICACIÓN. <Artículo adicionado por el artículo 1 del Decreto 255 de 2022. El nuevo texto es el siguiente:> Las Normas Corporativas Vinculantes son de obligatorio cumplimiento para el grupo empresarial, en los términos definidos por el artículo 28 de la Ley 222 de 1995, que realicen transferencia o conjunto de transferencia de datos personales a un responsable de dicho grupo, fuera del territorio colombiano, salvo que el grupo empresarial aplique otros mecanismos de transferencia de datos establecidos en la legislación colombiana.
ARTÍCULO 2.2.2.25.7.3. DEFINICIÓN DE NORMAS CORPORATIVAS VINCULANTES. <Artículo adicionado por el artículo 1 del Decreto 255 de 2022. El nuevo texto es el siguiente:> Son Normas Corporativas Vinculantes las políticas, principios de buen gobierno o códigos de buenas prácticas empresariales de obligatorio cumplimiento asumidas por el responsable del tratamiento de datos, establecido en el territorio colombiano, para realizar transferencias o un conjunto de transferencias de datos personales a un responsable que se encuentre ubicado por fuera del territorio colombiano y que haga parte de un mismo grupo empresarial.
ARTÍCULO 2.2.2.25.7.4. DE LA GARANTÍA QUE FRENTE A LOS PRINCIPIOS DEBEN PROVEER LAS NORMAS CORPORATIVAS VINCULANTES. <Artículo adicionado por el artículo 1 del Decreto 255 de 2022. El nuevo texto es el siguiente:> Las Normas Corporativas Vinculantes que se adopten en un mismo grupo empresarial deberán garantizar el cumplimiento de los principios para el tratamiento de datos personales consagrado en el artículo 4o de la Ley 1581 de 2012 y sus decretos reglamentarios, las reglas sobre las categorías especiales de datos, previstas en el Título III de la Ley 1581 de 2012, los derechos y condiciones de legalidad para el tratamiento de datos contenidos en el Título IV de la Ley 1581 de 2012 y los deberes de los responsables del tratamiento de que trata el Título VI de la Ley 1581 de 2012.
Para efectos de lo anterior, las Normas Corporativas Vinculantes implementadas por un grupo empresarial deben establecer mecanismos para asegurar que los datos sean:
1. Tratados de manera lícita, leal y transparente en relación con el titular del dato personal.
2. Recogidos con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.
3. Adecuados, pertinentes y limitados al mínimo necesario en relación con los fines para los que se traten.
4. Exactos y se mantendrán actualizados; se habrán de adoptar todas las medidas razonables para que se supriman o se rectifiquen sin demora los datos personales que sean inexactos.
5. Conservados de manera que permitan identificar al titular, durante un periodo no superior al necesario.
6. Tratados bajo el control del responsable del tratamiento, quien, para cada operación de tratamiento, garantizará y demostrará el cumplimiento de las disposiciones del presente decreto.
PARÁGRAFO. Las empresas del grupo empresarial y cada uno de sus miembros serán solidariamente responsables del cumplimiento de las Normas Corporativas Vinculantes. En consecuencia, la Superintendencia de Industria y Comercio puede requerir, investigar y sancionar al responsable del tratamiento de datos establecido en el territorio colombiano, por las infracciones que cometa cualquiera de los miembros del grupo empresarial.
ARTÍCULO 2.2.2.25.7.5. REQUISITOS GENERALES DE LAS NORMAS CORPORATIVAS VINCULANTES. <Artículo adicionado por el artículo 1 del Decreto 255 de 2022. El nuevo texto es el siguiente:> Las Normas Corporativas Vinculantes que adopte un mismo grupo empresarial deberán contener como mínimo lo siguientes requisitos:
1. La estructura y los datos de contacto del grupo empresarial y de cada uno de sus miembros a los cuales les son de obligatorio cumplimiento las Normas Corporativas Vinculantes.
2. Las transferencias o serie de transferencias de datos, incluidas las categorías de datos personales, el tipo de tratamiento y sus fines, el tipo de titulares afectados y el nombre del tercer o los terceros países.
3. Su carácter jurídicamente vinculante, para todas las entidades que conforman el grupo empresarial.
4. La aplicación de los principios generales en materia de protección de datos establecidos en la Ley 1581 de 2012 y sus normas reglamentarias.
5. La referencia a los derechos de los titulares previstos en la Ley 1581 de 2012 y sus normas reglamentarias, así como los medios efectivos para ejercerlos.
6. Las medidas adoptadas para impedir las transferencias a otras entidades que no pertenecen al grupo empresarial. Lo anterior, sin perjuicio de lo consagrado en el artículo 26 de la Ley 1581 de 2012.
7. La referencia al personal encargado del cumplimiento de las normas corporativas vinculantes, así como la supervisión de la formación y del trámite de las reclamaciones.
8. Los mecanismos establecidos dentro del grupo empresarial para garantizar que se verifique el cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del titular del dato.
9. Los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las políticas y para notificar esas modificaciones a la Superintendencia de Industria y Comercio.
10. La formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales.
11. Los procedimientos para que los titulares presenten consultas o reclamos y estos sean atendidos oportunamente de conformidad con lo previsto en la Ley 1581 de 2012.
12. La adopción de medidas de responsabilidad demostrada (accountability) para comprobar que se han implementado medidas útiles, oportunas, pertinentes y eficientes para cumplir las normas corporativas vinculantes y lo establecido en este decreto.
13. Las especificaciones o requisitos adicionales que haga la Superintendencia de Industria y Comercio con base en los anteriores numerales.
ARTÍCULO 2.2.2.25.7.6. FACULTADES DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO PARA ESTABLECER LAS NORMAS CORPORATIVAS VINCULANTES. <Artículo adicionado por el artículo 1 del Decreto 255 de 2022. El nuevo texto es el siguiente:> La Superintendencia de Industria y Comercio establecerá las especificaciones aplicables a las Normas Corporativas Vinculantes, al tenor de lo dispuesto en el presente decreto, para garantizar la efectiva protección de los datos personales de los titulares.
La Superintendencia de Industria y Comercio publicará en su página web todas las especificaciones que deberán contener las Normas Corporativas Vinculantes y, en dicha publicación, establecerá la fecha a partir de la cual los interesados podrán presentar las solicitudes para su revisión respectiva.
ARTÍCULO 2.2.2.25.7.7. APROBACIÓN DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. <Artículo adicionado por el artículo 1 del Decreto 255 de 2022. El nuevo texto es el siguiente:> La Superintendencia de Industria y Comercio aprobará las Normas Corporativas Vinculantes que cumplan los siguientes requisitos:
1. Sean jurídicamente vinculantes y se apliquen a todos los miembros que hacen parte del mismo grupo empresarial responsables de la transferencia y tratamiento de protección de los datos personales de los titulares.
2. Confieran expresamente a los titulares de los datos la facultad de ejercer los derechos previstos en la Ley 1581 de 2012.
3. Cumplan los requisitos establecidos en el presente decreto.
Las Normas Corporativas Vinculantes solo podrán ser sometidas a la aprobación de la Superintendencia de Industria y Comercio, como autoridad de datos colombiana, una vez hayan sido aprobadas por el órgano correspondiente según los estatutos de la sociedad o los acuerdos del grupo empresarial. Las normas que sean formalmente presentadas ante la Superintendencia de Industria y Comercio solo estarán vigentes a partir de la fecha en que la Superintendencia de Industria y Comercio, emita su certificación y es, a partir de ese momento, que pueden iniciar a aplicarse.
El grupo empresarial que cuente con aprobación de las Normas Corporativas Vinculantes deberá informar tal situación en su página web.
En los casos en que las normas no sean aprobadas, los ajustes requeridos por la Superintendencia de Industria y Comercio, una vez realizados, deben contar con la aprobación del órgano social o contractual correspondiente, antes de ser sometidas, nuevamente, a aprobación.
ARTÍCULO 2.2.2.25.7.8. FORMATOS Y MODELOS DE NORMAS CORPORATIVAS VINCULANTES. <Artículo adicionado por el artículo 1 del Decreto 255 de 2022. El nuevo texto es el siguiente:> La Superintendencia de Industria y Comercio podrá publicar y especificar en su página web a títulos de guías o ayudas, formatos y modelos de documentos que podrán ser utilizados como referentes por los grupos empresariales.
REGISTRO NACIONAL DE BASES DE DATOS.
DISPOSICIONES GENERALES.
ARTÍCULO 2.2.2.26.1.1. OBJETO. El presente capítulo tiene como objeto reglamentar la información mínima que debe contener el Registro Nacional de Bases de Datos, creado por la Ley 1581 de 2012, así como los términos y condiciones bajo las cuales se deben inscribir en este los Responsables del Tratamiento.
(Decreto 886 de 2014, artículo 1o)
ARTÍCULO 2.2.2.26.1.2. ÁMBITO DE APLICACIÓN. <Artículo modificado por el artículo 1 del Decreto 90 de 2018. El nuevo texto es el siguiente:> Serán objeto de inscripción en el Registro Nacional de Bases de Datos, las bases de datos que contengan datos personales cuyo Tratamiento automatizado o manual sea realizado por los Responsables del tratamiento que reúnan las siguientes características:
a) Sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT);
b) Personas jurídicas de naturaleza pública.
ARTÍCULO 2.2.2.26.1.3. DEBER DE INSCRIBIR LAS BASES DE DATOS. El Responsable del Tratamiento debe inscribir en el Registro Nacional de Bases de Datos, de manera independiente, cada una de las bases de datos que contengan datos personales sujetos a Tratamiento.
(Decreto 886 de 2014, artículo 3o)
ARTÍCULO 2.2.2.26.1.4. CONSULTA DEL REGISTRO NACIONAL DE BASES DE DATOS. Los ciudadanos podrán consultar en el Registro Nacional de Bases de Datos, la información mínima prevista en el artículo 2.2.2.26.2.1 del presente decreto con el fin de facilitar el ejercicio de sus derechos a conocer, actualizar, rectificar, suprimir el dato y/o revocar la autorización.
(Decreto 886 de 2014, artículo 4o)
DEL REGISTRO NACIONAL DE BASES DE DATOS.
ARTÍCULO 2.2.2.26.2.1. INFORMACIÓN MÍNIMA DEL REGISTRO NACIONAL DE BASES DE DATOS. La información mínima que debe contener el Registro Nacional de Bases de Datos es la siguiente:
1. Datos de identificación, ubicación y contacto del Responsable del Tratamiento de la base de datos.
2. Datos de identificación, ubicación y contacto del o de los Encargados del Tratamiento de la base de datos.
3. Canales para que los titulares ejerzan sus derechos.
4. Nombre y finalidad de la base de datos.
5. Forma de Tratamiento de la base de datos (manual y/o automatizada), y
6. Política de Tratamiento de la información.
La Superintendencia de Industria y Comercio, como autoridad de protección de datos personales, podrá establecer dentro del Registro Nacional de Bases de Datos información adicional a la mínima prevista en este artículo, acorde con las facultades que le atribuyó la Ley 1581 de 2012 en el literal h) del artículo 21.
(Decreto 886 de 2014, artículo 5o)
ARTÍCULO 2.2.2.26.2.2. RESPONSABLE DEL TRATAMIENTO DE LA BASE DE DATOS. Cuando el Responsable del Tratamiento de la base de datos sea una persona jurídica, deberá indicar su denominación o Razón Social y su número de identificación tributaria, así como sus datos de ubicación y contacto. Cuando el Responsable del Tratamiento sea una persona natural, inscribirá sus datos de identificación, ubicación y contacto.
(Decreto 886 de 2014, artículo 6o)
ARTÍCULO 2.2.2.26.2.3. ENCARGADO DEL TRATAMIENTO DE LA BASE DE DATOS. Cuando el Encargado o los Encargados del Tratamiento de la Base de Datos sean o sea una persona jurídica, el Responsable del Tratamiento deberá indicar en el Registro Nacional de Bases de Datos la denominación o razón social completa y el número de identificación tributaria de dicho Encargado o Encargados, así como sus datos de ubicación y contacto. Cuando el o los Encargados del Tratamiento sean o sea una persona natural, se inscribirán sus datos de identificación, ubicación y contacto.
(Decreto 886 de 2014, artículo 7o)
ARTÍCULO 2.2.2.26.2.4. CANALES PARA EJERCER DERECHOS. Son los medios de recepción y atención de peticiones, consultas y reclamos que el Responsable del Tratamiento y el Encargado del Tratamiento deben poner a disposición de los Titulares de la información, con los datos de contacto respectivos, por medio de los cuales el titular puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir sus datos personales contenidos en bases de datos y revocar la autorización que haya otorgado para el Tratamiento de los mismos, cuando esto sea posible. Estos canales deben prever, por lo menos, la posibilidad de que el titular ejerza sus derechos a través del mismo medio por el cual fue recogida su información, dejando constancia de la recepción y trámite de la respectiva solicitud.
En los casos en los que el Tratamiento de datos lo realice el Encargado, el Responsable del Tratamiento registrará la información de contacto del Encargado para que el titular pueda adelantar ante este el ejercicio de sus derechos, sin perjuicio de la posibilidad que tiene de acudir directamente al Responsable del Tratamiento.
(Decreto 886 de 2014, artículo 8o)
ARTÍCULO 2.2.2.26.2.5. NOMBRE Y FINALIDAD DE LA BASE DE DATOS. El Responsable del Tratamiento identificará cada una de las bases de datos que inscriba, de acuerdo con la finalidad para la cual fue creada.
(Decreto 886 de 2014, artículo 9o)
ARTÍCULO 2.2.2.26.2.6. FORMAS DE TRATAMIENTO. Los datos personales contenidos en bases de datos podrán ser tratados de manera automatizada o manual. Son bases de datos manuales los archivos cuya información se encuentra organizada y almacenada de manera física y bases de datos automatizadas aquellas que se almacenan y administran con la ayuda de herramientas informáticas.
(Decreto 886 de 2014, artículo 10)
