RESOLUCIÓN 797 DE 2022
(abril 27)
<Fuente: Archivo interno entidad emisora>
<Esta norma no incluye análisis de vigencia>
ADMINISTRADORA DE LOS RECURSOS DEL SISTEMA GENERAL DE SEGURIDAD SOCIAL EN SALUD
Por medio de la cual se modifica el artículo 3 de la Resolución 3486 de 2018, se designa el Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales de ADRES y se dictan otras disposiciones.
EL DIRECTOR GENERAL DE LA ADMINISTRADORA DE LOS RECURSOS DEL SISTEMA GENERAL DE SEGURIDAD SOCIAL EN SALUD -ADRES-
En ejercicio de sus facultades legales y en desarrollo del literal K) del artículo 17 y el literal f) del artículo 18 de la Ley 1581 de 2012, el artículo 2.2.2.25.3.1 del Decreto 1074 de 2015, los numeral 1, 10 y 12 del artículo 9 del Decreto 1429 de 2016, y
CONSIDERANDO:
Que el artículo 15 de la Constitución Política de Colombia consagra el derecho de las personas a su intimidad personal, familiar y a su buen nombre, así como a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. A su vez, el artículo 20 ibídem garantiza a toda persona el derecho fundamental de informar y recibir información veraz e imparcial.
Que la Ley Estatutaria 1581 de 2012 "Por la cual se dictan disposiciones generales para la protección de datos personales”, desarrolla los derechos constitucionales consagrados en los artículos 15 y 20 de la Constitución Política.
Que mediante la Resolución 3486 del 31 de agosto de 2018, la Administradora de Recursos del Sistema General de Seguridad Social en Salud (ADRES) adoptó la Política de Protección de Datos Personales.
Que el Decreto 620 de 2020, relativo a los lineamientos generales de uso y operación de los servicios ciudadanos digitales, dispuso en el artículo 2.2.17.5.4 que “todo responsable y encargado del tratamiento deberá designar a una persona o área que asuma la función de protección de datos personales (...)" quien deberá acatar las directrices contempladas en la Guía para la Implementación del Principio de la Responsabilidad Demostrada de la Superintendencia de Industria y Comercio.
Que la misma disposición normativa también establece otras obligaciones para el Oficial de Protección de Datos Personales para el Sector Público, así: (i) Velar por el respeto de los derechos de los titulares de los datos personales respecto del tratamiento de datos que realice el prestador de servicios ciudadanos digitales, (ii) Informar y asesorar al prestador de servicios ciudadanos digitales en relación con las obligaciones que les competen en virtud de la regulación colombiana sobre privacidad y tratamiento de datos personales, (iii) Supervisar el cumplimiento de lo dispuesto en la citada regulación y en las políticas de tratamiento de información del prestador de servicios ciudadanos digitales, así como del principio de responsabilidad demostrada, (iv) Prestar el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos, y (v) Atender los lineamientos y requerimientos que le haga la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio o quien haga sus veces.
Que respecto de las responsabilidades a cargo de las entidades, el mismo Decreto 620 de 2020, conforme a los artículos 2.2.17.5.5. y 2.2.17.5.6 señala que estas deberán: (i) Realizar y actualizar las evaluaciones de impacto del tratamiento de los datos personales y el Programa Integral de Gestión de Datos Personales ante cambios que generen riesgos de privacidad, (ii) Incorporar prácticas y procesos de desarrollo necesarios destinados a salvaguardar la información personal de los individuos a lo largo del ciclo de vida de un sistema, programa o servicio, (iii) Mantener las prácticas y procesos de gestión adecuados durante el ciclo de vida de los datos que son diseñados para asegurar que los sistemas de información cumplen con los requisitos, políticas y preferencias de privacidad de los ciudadanos, (iv) Adoptar las medidas necesarias para preservar la seguridad, confidencialidad e integridad de la información personal durante el ciclo de vida de los datos, desde su recolección original, a través de su uso, almacenamiento, circulación y supresión al final del ciclo de vida, (v) Asegurar la infraestructura, sistemas de TI y prácticas de negocios que interactúan o implican el uso de cualquier información o dato personal, siendo sujeta a verificación independiente por parte de todas las partes interesadas, incluyendo clientes, usuarios y organizaciones afiliadas, y (vi) Contar con una estrategia de seguridad y privacidad de la información, seguridad digital y continuidad de la prestación del servicio, en la cual, deberán hacer periódicamente una evaluación del riesgo de seguridad digital que incluya una identificación de las mejoras a implementar en su Sistema de Administración del Riesgo Operativo. Para lo anterior, deben contar con normas, Políticas, Procedimientos, recursos técnicos, administrativos y humanos necesarios para gestionar efectivamente el riesgo (...)
En conclusión, teniendo en cuenta que la protección de datos implica: (i) la seguridad de la información; (ii) el respeto por la normatividad que la regula y; (iii) la conservación de las bases de datos personales, tanto electrónicas como físicas, es preciso designar al interior de ADRES el Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales, el cual debe planear, implementar y facilitar las reglas de responsabilidad demostrada en esta materia, así como evaluar y procurar el mejoramiento permanente de la gestión de datos personales en ADRES.
En mérito de lo expuesto,
RESUELVE:
ARTÍCULO 1o. OBJETO. Modificar el artículo 3 de la Resolución 3486 de 2018 y designar el Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales en ADRES, así como establecer las actividades a su cargo y las responsabilidades de las dependencias frente a la implementación y sostenibilidad de la gestión de la protección de datos personales.
ARTÍCULO 2o. DESIGNACIÓN Y EJECUCIÓN DE ACTIVIDADES DEL OFICIAL DE CUMPLIMIENTO DE LA POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES. La Oficina Asesora de Planeación y Control de Riesgos estará a cargo del cumplimiento de la Política de Tratamiento de Datos Personales de ADRES, a través de un servidor público, en calidad de asesor asignado a esta dependencia, para el cumplimiento del rol de Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales.
PARÁGRAFO. El Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales se ceñirá a las disposiciones legales e instrucciones emitidas por las autoridades competentes y, con base en éstas, recomendará a la Dirección impartir lineamientos para ADRES sobre la materia.
ARTÍCULO 3o. ACTIVIDADES DEL OFICIAL DE CUMPLIMIENTO DE LA POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES. El Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales de ADRES, adelantará las siguientes actividades:
1. Estructurar, diseñar y administrar la gestión de protección de datos personales.
2. Articular los esfuerzos institucionales, recursos, metodologías y estrategias para asegurar la implementación, sostenibilidad y mejora de la gestión de protección de datos personales.
3. Adelantar y promover acciones de autodiagnóstico para facilitar la valoración interna de la gestión y proponer acciones para la implementación y sostenimiento de la gestión de protección de datos, de manera periódica o cuando se considere necesario.
4. Adelantar el trámite de las solicitudes de los titulares para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y la Resolución 3486 de 2018, conforme al régimen de protección de datos personales y las políticas adoptadas por ADRES.
5. Servir de enlace y articular con las demás áreas de ADRES las acciones y actividades necesarias para asegurar una implementación transversal de la gestión de datos personales en la Entidad.
6. Brindar asesoramiento con el fin de procurar la vinculación al Sistema de Gestión de Calidad de los riesgos identificados en el tratamiento de datos personales y asesorar la adecuada gestión de estos.
7. Recomendar la formulación del Plan Integral de Gestión de Protección de Datos Personales en ADRES
8. Hacer seguimiento a los controles, evaluación y revisión del Plan Integral de Gestión de Protección de Datos Personales y presentar un informe sobre el avance de su gestión al menos una vez al año.
9. Mantener actualizada la Política de Tratamiento de Datos Personales, así como la estructura documental del Plan Integral de Gestión de Datos Personales.
10. Mantener un inventario de las bases de datos personales de ADRES y clasificarlas según su tipo.
11. Promover la elaboración e implementación de un sistema que permita administrar los riesgos del tratamiento de datos personales.
12. Apoyar la actualización en el Registro Nacional de Bases de Datos (RNBD), conforme lo disponga la normatividad.
13. Reportar al Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio (SIC) o quien haga sus veces, por intermedio del director de ADRES, los reclamos sobre protección datos personales que presenten los titulares ante la Entidad.
14. Acompañar, supervisar y presentar para aprobación del director, la actualización en el Registro Nacional de Bases de Datos (RNBD) de la información de las bases de datos personales, de conformidad con lo dispuesto en la normatividad.
15. Impulsar una cultura de protección de datos personales a través de actividades de sensibilización a los servidores y servidoras y contratistas de la ADRES, en lo referente a la Ley de Protección de Datos Personales y su implementación.
16. Gestionar el registro de las nuevas bases de datos de la ADRES con apoyo de las dependencias correspondientes, en el Registro Nacional de Bases de Datos y actualizar el reporte, atendiendo las instrucciones que sobre el particular emita la Superintendencia de Industria y Comercio (SIC) o quien haga sus veces, conforme lo dispuesto en la norma.
17. Obtener las declaraciones, de conformidad para la transferencia o transmisión de datos a nivel internacional a países que no estén certificados como seguros de acuerdo con lo establecido por la Superintendencia de Industria y Comercio (SIC) o quien haga sus veces, cuando sea requerido.
18. Velar por la implementación efectiva de las políticas y documentos adoptados por la entidad para cumplir las normas, así como por la implementación de buenas prácticas de gestión de datos personales dentro de ADRES.
19. Acompañar y asistir a la entidad en la atención de las visitas de inspección y los requerimientos que realice la autoridad competente para la verificación del cumplimiento de la Ley de Protección de Datos Personales.
20. Las demás actividades derivadas de la aplicación de la normatividad relacionada con la protección de datos personales.
ARTÍCULO 4o. RESPONSABILIDADES GENERALES DE LAS DEPENDENCIAS EN EL TRATAMIENTO DE DATOS PERSONALES EN ADRES: Cada Director, Jefe de Oficina, o asesor como líder de procesos deberá designar un servidor o servidora como enlace, con el propósito de apoyar al Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales en el cumplimiento de las obligaciones derivadas de dicha Política, de acuerdo con las competencias de cada una de las áreas mencionadas en el acápite anterior.
PARÁGRAFO. Los enlaces designados deberán contribuir con la implementación y sostenibilidad del Plan Integral de Gestión de Protección de Datos Personales, y para el efecto les corresponde:
1. Cumplir a cabalidad los lineamientos que imparta la entidad a través de la Política de Tratamiento de la Información, políticas de operación fijadas en los documentos del Sistema de Gestión de Calidad, así como, las derivadas del Plan Integral de Gestión de Protección de Datos Personales.
2. Realizar, con apoyo del Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales, la inscripción de las nuevas bases de datos que cada dependencia maneje, en el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio, conforme los lineamientos y previa aprobación del Oficial de Cumplimiento.
3. Apoyar al Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales en la actualización de la información en el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio (SIC) o quien haga sus veces, quien una vez haya realizado la respectiva actualización, deberá aprobar en la plataforma del RNBD, el ingreso de la información.
4. Apoyar al Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales en el reporte, ante el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio (SIC) o quien haga sus veces, respecto de los reclamos que se hayan presentado ante ADRES sobre protección datos personales por parte de los titulares.
5. Dar a conocer al Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales las consultas, peticiones, quejas, reclamos, incidentes de seguridad que conozca, relacionados con la protección de datos personales.
6. Someter a consideración del Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales la aprobación de la creación de nuevas bases de datos. El Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales coordinará con la Dirección de Tecnologías de la Información y el Departamento de Gestión Documental la pertinencia y conveniencia de la creación de éstas.
7. Vincular los riesgos identificados del tratamiento de datos personales al Sistema de Gestión de Calidad.
8. Establecer e incluir los controles que sean necesarios dentro de los documentos del Sistema de Gestión de Calidad relacionados con la Protección de Datos Personales.
9. Apropiar y aplicar los conocimientos y lineamientos que imparte ADRES, de conformidad con lo dispuesto por la Superintendencia de Industria y Comercio y el Ministerio de Tecnologías de la Información y de las Telecomunicaciones, a través de los documentos del Sistema de Gestión de Calidad, en materia de protección de datos personales.
10. Participar activamente en las capacitaciones y sensibilizaciones que sobre protección de datos personales imparta la Entidad,
11. Brindar la información necesaria para responder las solicitudes de los titulares de los derechos consagrados en la Ley 1581 de 2012 y sus normas complementarias.
ARTÍCULO 7o. VIGENCIA. La presente resolución rige a partir de la fecha de su publicación. Dada en Bogotá D.C., a los 27 días del mes de abril de 2022.
JORGE ENRIQUE GUTIERREZ SAMPEDRO
Director de la Administradora de Recursos del Sistema General de Seguridad Social en Salud (ADRES)
