Adiciónese a la Ley 1266 de 2008 el artículo 19A, el cual quedará así:
Artículo 19A. Responsabilidad demostrada. Los operadores, fuentes y usuarios de información financiera, crediticia, comercial y de servicios deben ser capaces de demostrar que han implementado medidas apropiadas, efectivas y verificables para cumplir con las obligaciones establecidas en la Ley 1266 de 2008 y sus normas reglamentarias, en una manera que sea proporcional a lo siguiente:
1. La naturaleza jurídica del operador, fuente y usuario de información y, cuando sea del caso, su tamaño empresarial, teniendo en cuenta si se trata de una micro, pequeña, mediana o gran empresa, de acuerdo con la normativa vigente.
2. La naturaleza de los datos personales objeto del tratamiento.
3. El tipo de tratamiento.
4. Los riesgos potenciales que el referido tratamiento podrían causar sobre los derechos de los titulares.
Quienes efectúen el tratamiento de los datos personales deberán suministrar evidencia sobre la implementación efectiva de las medidas útiles y pertinentes para cumplir la presente ley.