RESOLUCIÓN 33215 DE 2022
(julio 6)
<Fuente: Archivo interno entidad emisora>
ADMINISTRADORA DE LOS RECURSOS DEL SISTEMA GENERAL DE SEGURIDAD SOCIAL EN SALUD
Por medio de la cual se modifica el artículo 2 de la Resolución 0000797 de 2022 y se dictan otras disposiciones
EL DIRECTOR GENERAL DE LA ADMINISTRADORA DE LOS RECURSOS DEL SISTEMA GENERAL DE SEGURIDAD SOCIAL EN SALUD -ADRES-
En ejercicio de sus facultades legales y en desarrollo del literal K) del artículo 17 y el literal f) del artículo 18 de la Ley 1581 de 2012, el artículo 2.2.2.25.3.1 del Decreto 1074 de 2015, los numeral 1, 10 y 12 del artículo 9 del Decreto 1429 de 2016, y
CONSIDERANDO:
Que el artículo 15 de la Constitución Política de Colombia consagra el derecho de las personas a su intimidad personal, familiar y a su buen nombre, así como a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. A su vez, el artículo 20 ibídem garantiza a toda persona el derecho fundamental de informar y recibir información veraz e imparcial.
Que la Ley Estatutaria 1581 de 2012 "Por la cual se dictan disposiciones generales para la protección de datos personales”, desarrolla los derechos constitucionales consagrados en los artículos 15 y 20 de la Constitución Política.
Que mediante la Resolución 3486 del 31 de agosto de 2018, la Administradora de Recursos del Sistema General de Seguridad Social en Salud (ADRES) adoptó la Política de Protección de Datos Personales.
Que el artículo 2.2.2.25.4.4. del Decreto 1074 de 2015 determina que todo Responsable y Encargado del tratamiento de la información deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente capítulo.
Que el Decreto 620 de 2020, relativo a los servicios ciudadanos digitales, dispuso en el artículo 2.2.17.5.4 que “De conformidad con el artículo 2.2.2.25.4.4. del Decreto 1074 de 2015, todo responsable y encargado del tratamiento de datos deberá designar a una persona o área que asuma la función de protección de datos personales, quien dará trámite a las solicitudes de los Titulares para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y del capítulo 25 del Decreto 1074 de 2015; y quien deberá, además de cumplir los lineamientos de la Superintendencia de Industria y Comercio, en particular, (...)”
Que la misma disposición normativa establece las actividades para el Oficial de Protección de Datos Personales para el Sector Público, así: (i) Velar por el respeto de los derechos de los titulares de los datos personales respecto del tratamiento de datos que realice el prestador de servicios ciudadanos digitales, (ii) Informar y asesorar al prestador de servicios ciudadanos digitales en relación con las obligaciones que les competen en virtud de la regulación colombiana sobre privacidad y tratamiento de datos personales, (iii) Supervisar el cumplimiento de lo dispuesto en la citada regulación y en las políticas de tratamiento de información del prestador de servicios ciudadanos digitales, así como del principio de responsabilidad demostrada, (iv) Prestar el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos, y (v) Atender los lineamientos y requerimientos que le haga la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio o quien haga sus veces.
Que respecto de las responsabilidades a cargo de las entidades, los artículos artículo 2.2.17.5.5. y artículo 2.2.17.5.6 del Decreto 620 de 2020, señala las siguientes: (i) Realizar y actualizar las evaluaciones de impacto del tratamiento de los datos personales y el Programa Integral de Gestión de Datos Personales ante cambios que generen riesgos de privacidad, (ii) Incorporar prácticas y procesos de desarrollo necesarios destinados a salvaguardar la información personal de los individuos a lo largo del ciclo de vida de un sistema, programa o servicio, (iii) Mantener las prácticas y procesos de gestión adecuados durante el ciclo de vida de los datos que son diseñados para asegurar que los sistemas de información cumplen con los requisitos, políticas y preferencias de privacidad de los ciudadanos, (iv) Adoptar las medidas necesarias para preservar la seguridad, confidencialidad e integridad de la información personal durante el ciclo de vida de los datos, desde su recolección original, a través de su uso, almacenamiento, circulación y supresión al final del ciclo de vida, (v) Contar con una estrategia de seguridad y privacidad de la información, seguridad digital y continuidad de la prestación del servicio, en la cual, deberán hacer periódicamente una evaluación del riesgo de seguridad digital que incluya una identificación de las mejoras a implementar en su Sistema de Administración del Riesgo Operativo. Para lo anterior, deben contar con normas, Políticas, procedimientos., recursos técnicos, administrativos y humanos necesarios para gestionar efectivamente el riesgo (...)
Teniendo en cuenta que la protección de datos implica: (i) la seguridad de la información; (ii) el respeto por la normatividad que la regula y; (iii) la conservación de las bases de datos personales, tanto electrónicas como físicas, es preciso designar al interior de ADRES el Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales, el cual debe planear, implementar y facilitar las reglas de responsabilidad demostrada en esta materia, así como evaluar y procurar el mejoramiento permanente de la gestión de datos personales en ADRES.
Igualmente, la guía para la implementación de la responsabilidad demostrada (accountability) de la Superintendencia de Industria y Comercio señala:
(...) la alta dirección debe (i) designar a la persona o al área que asumirá la función de protección de datos dentro de la organización, (ii) aprobar y monitorear el Programa Integral de Gestión de Datos Personales, (...)
Que mediante la Resolución 797 de 2022 se modificó el artículo 3 de la Resolución 3486 de 2018 y se designa a la Oficina Asesora de Planeación y Control de Riesgo como la dependencia que estará a cargo del cumplimiento de la Política de Tratamiento de Datos Personales de ADRES
Que conforme a lo anterior, se hace necesario modificar el artículo 2 de la Resolución 797 de 2022 en razón que no necesariamente la persona designada por la Oficina de Planeación debe tener el grado de "asesor".
RESUELVE:
ARTÍCULO 1o. Modifíquese el artículo 2 de la Resolución 0000797 de 2022, el cual quedará así:
Artículo 2o. Designación y ejecución de actividades del Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales. La Oficina Asesora de Planeación y Control de Riesgos estará a cargo del cumplimiento de la Política de Tratamiento de Datos Personales de ADRES, por lo cual, el Jefe de la Oficina Asesora de Planeación y Control de Riesgo designará bajo su dirección a una persona con el objetivo que lidere y ejecute las responsabilidades que dicha Oficina asumirá como Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales.
Parágrafo. El Oficial de Cumplimiento de la Política de Tratamiento de Datos Personales se ceñirá a las disposiciones legales e instrucciones emitidas por las autoridades competentes y, con base en éstas, recomendará a la Dirección impartir lineamientos para ADRES sobre la materia.
ARTÍCULO 2o. VIGENCIA. La presente resolución rige a partir de la fecha de su publicación y modifica el artículo 2 de la Resolución 0000797 de 2022.
Las demás disposiciones de la Resolución 0000797 de 2022 permanecen incólumes.
Dada en Bogotá D.C.,
COMUNIQUESE Y CÚMPLASE
JORGE ENRIQUE GUTIÉRREZ SAMPEDRO
Director de la Administradora de Recursos del Sistema General de Seguridad Social en Salud (ADRES)
