144 11. Programas de Compliance y Buenas prácticas efectivas en Colombia
b. Recomendaciones desde protección de datos personales
La normativa de protección de datos personales en Colombia expresamente exi- ge que los responsables del tratamiento de datos personales adopten políticas in- ternas efectivas en materia de protección de datos que garanticen, por lo menos:
La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la normativa.
La adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación; y
La adopción de procesos para la atención y respuesta a consultas, peticiones y reclamos de los titulares de los datos personales, con respecto a cualquier aspecto del tratamiento.
Las políticas internas efectivas, de acuerdo con la autoridad colombiana “no pueden limitarse a reproducir los textos legales”. En este sentido, la adopción de políticas internas efectivas parte del desarrollo de un programa integral
de gestión de datos personales, que debe ser el resultado de un proceso de debida diligencia al interior de la empresa. El programa debe responder a los ciclos internos de gestión de datos de la empresa y concretarse en resultados susceptibles de medición.
A continuación, se presentan las siguientes recomendaciones para la imple- mentación de programas de cumplimiento en materia de protección de datos personales en el marco de la adopción de un programa integral de gestión de datos personales.
Adoptar de un manual interno:
Típicamente un manual interno de políticas y procedimientos en materia de pro- tección de datos personales debe contener entre otros temas, lo siguiente:
Principios para el tratamiento de datos personales;
Área responsable de la administración y gestión de los datos personales, así como de tramitar las consultas, quejas y reclamos de los titulares;
Requisitos de la solicitud de autorización para el tratamiento de datos perso- nales (incluyendo las solicitudes de autorización para el tratamiento de datos personales sensibles y de datos personales de niños, niñas y adolescentes);
Inventario de las bases de datos personales;
Finalidades para el tratamiento de datos personales y término de conserva- ción de los datos personales;