Sobre las diferencias entre el Oficial de Cumplimiento y del Oficial de Protección de Datos

Actualmente, la figura del Oficial de Cumplimiento se emplea para cubrir roles del Oficial de Protección de Datos.

Con la reciente publicación de la guía del Oficial de Protección de Datos por parte de la Superintendencia de Industria y Comercio -SIC-, las empresas están reconociendo la necesidad de nombrar a un encargado para asegurar el cumplimiento del programa de protección de datos personales en sus estructuras internas.  

No obstante, en ocasiones, se está asignando esta responsabilidad al Oficial de Cumplimiento debido a la similitud de funciones. 

A continuación, se destacan algunas diferencias clave entre estos roles con la finalidad de entender porque son figuras diferentes:

¿De dónde surge el nombre de Oficial de Protección de Datos?

La Guía para la Implementación del Principio de Responsabilidad Demostrada -Accountability-, presentada en mayo de 2015 en el 3er Congreso Internacional de Protección de datos Personales realizado en Medellín, le coloca nombre a este rol, al definir la función de oficial de protección de datos o del área encargada de protección de datos en la organización.

Sin embargo, en nuestra legislación, la figura del Oficial de Protección de Datos Personales no está establecida. Su designación surge como un mecanismo adecuado para cumplir con el Principio de Responsabilidad Demostrada. Este enfoque se basa en el estudio del derecho comparado y se adopta en consonancia con instrumentos internacionales, como se refleja en la nueva guía de la SIC sobre el Oficial de Protección de Datos Personales.

¿De dónde surge el nombre de Oficial de Cumplimiento?

La figura del Oficial de Cumplimiento existe, desde que la Superintendencia Financiera de Colombia -SFC- comenzó a exigir que las empresas supervisadas, establezcan un sistema de cumplimiento interno.

En este sentido, la regulación del Oficial de Cumplimiento se encuentra en el artículo 5.1.4.3 de la Circular 100-000011 de 2021, que especifica la necesidad de designar a una persona para liderar y gestionar el Programa de Transparencia y Ética Empresarial -PTEE-. 

¿Cuál es la función de Oficial de Protección de Datos?

La función del Oficial de Protección de Datos dentro de una organización, es la de velar por la implementación efectiva de las políticas y procedimientos adoptados por la misma frente al cumplimiento del Régimen de Protección de Datos Personales de Colombia. 

Adicionalmente, es el encargado de velar por la implementación de buenas prácticas en la gestión de datos personales.

De manera más detallada, el Oficial de Protección de Datos debe:

  1. Informar y asesorar al Responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de datos personales.
  2. Supervisar el cumplimiento de lo dispuesto por la normativa colombiana, las directrices de la SIC y de las políticas del Responsable o del Encargado del tratamiento, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  3. Actuar como punto de contacto con la SIC.

¿Cuál es la función de Oficial de cumplimiento?

Es la persona natural designada por la organización que está encargada de promover, desarrollar y velar por el cumplimiento de los procedimientos específicos de prevención, actualización y mitigación de todos los riesgos relacionados al lavado de activos y al financiamiento del terrorismo y de armas de destrucción masiva, y en general, las indicadas en artículo 5.1.5.3.2. de la Circular 100- 000011 del 2021, como:

  1. Presentar con el representante legal, para aprobación de la junta directiva o el máximo órgano social, la propuesta del PTEE.
  2. Presentar, por lo menos una vez al año, informes a la junta directiva sobre la eficiencia y efectividad del PTEE y, de ser el caso, proponer las mejoras respectivas. 
  3. Velar porque el PTEE se articule con las Políticas de Cumplimiento adoptada por la junta directiva o el máximo órgano social.

Similitudes entre los cargos:

  1. Ambos cargos pueden ser tercerizados por especialistas fuera de la compañía.
  1. Las funciones de ambos oficiales tienen como finalidad ayudar al cumplimiento de la normativa por parte de la compañía, en cada caso en específico.
  1. Ambos oficiales son los encargados de los programas de cumplimiento y de protección de datos, respectivamente. 

Diferencias entre los cargos:

Además de las diferentes funciones ya mencionadas, estos dos cargos pueden diferenciarse en lo siguiente:

  1. El Oficial de Protección de Datos Personales debe ser implementado en todas las personas jurídicas, sin embargo, el Oficial de Cumplimiento solo debe ser designado en aquellas compañías que indica la norma.
  1. El Oficial de Cumplimiento puede ser sancionado administrativamente, e incluso poseer responsabilidad penal en aquellos casos que se demuestre la culpa o dolo en caso de incumplimiento de lo especificado en la Circular 100-000016 de 2020. 
  1. Sin embargo, el Oficial de Protección de Datos, no cuenta con sanciones administrativas directamente, esto debido a que el cumplimiento de las normas sobre protección de datos es responsabilidad del Responsable y del Encargado del Tratamiento.

¿Puede el Oficial de Protección de Datos ser también el Oficial de Cumplimiento? 

No. Aunque el atributo de ambas figuras se funda en la necesidad de garantizar el cumplimiento de la normativa de cada área específica, es menester indicar la importancia de designar personal que tenga conocimientos especializados en la materia de datos personales.  

Actualmente, la figura del Oficial de Cumplimiento se emplea para cubrir roles del Oficial de Protección de Datos.

La normativa de datos personales en Colombia ha comenzado a expandirse, y a la par han incrementado las recomendaciones internacionales sobre cómo se debe hacer un buen tratamiento de datos personales, esto conlleva a que el Oficial de Protección de Datos, sea un profesional con experiencia y conocimiento,  capaz de examinar y aplicar estas medidas en el ciclo de vida del dato de la compañía. 

Lo anterior, además ayudará a evitar fallas o inconsistencias dentro de los procedimientos de tratamiento de datos personales y por lo tanto, mejores resultados de cumplimiento de la norma. Para ver más contenido sobre noticias y novedades de protección de datos personales, por favor ingresar al siguiente enlace https://mslegal.com.co/publicaciones/

Es difícil tener intimidad en las redes sociales, la protección de nuestros datos debe estar acorde al contenido digital.
Prev La línea entre la libertad en redes sociales y el derecho a la protección de los datos
Sig MS Legal te acompaña en ciberseguridad: Recomendaciones sobre incidentes de seguridad.
Requieres definir si has presentado incidentes de ciberseguridad, así mismo, en caso que necesites.

Comments are closed.