miércoles, 8 de noviembre de 2017

Transferencia internacional de datos personales

A qué lo obliga la ley, si es responsable del tratamiento de datos personales ésta fuera de Colombia?





La Superintendencia de Industria y Comercio SIC tiene la función de ejercer la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la ley (artículo 19 de la Ley Estatutaria 1581 de 2012), en el presente artículo se explica como la SIC controla la protección de datos personales cuando son enviados al exterior.

Circular Externa No. 005 del 10 de agosto de 2017




Por medio de la cual la SIC imparte las instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los responsables del Tratamiento y Encargados del Tratamiento sobre transferencia a otros países de datos personales sin la autorización del titular, se contemplan tres escenarios:
  1. Enviarlos a un país que proporcione niveles adecuados de protección de datos personales.
  2. Cumplir con alguna de las excepciones de ley para el envío a otros países.
  3. Tener una Declaración de Conformidad cuando el país destino no tiene los niveles adecuados de protección.
La circular fue objeto de un extenso debate tanto en el sector público como en el privado, principalmente por las complejidades que supone su implementación en el contexto de la creciente contratación de servicios cloud y de procesamiento de información. 

Requisitos para considerar que un país tiene niveles adecuados de protección de datos personales

  • Existencia de normas aplicables al tratamiento de datos personales.
  • Consagración normativa de principios aplicables al Tratamiento de datos, entre otros: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
  • Consagración normativa de derechos de los Titulares.
  • Consagración normativa de deberes de los Responsables y Encargados.
  • Existencia de medios y vías judiciales y administrativas para garantizar la tutela efectiva de los derechos de los Titulares y exigir el cumplimiento de la ley.
  • Existencia de autoridad(es) pública(s) encargada(s) de la supervisión del Tratamiento de datos personales, del cumplimiento de la legislación aplicable y de la protección de los derechos de los titulares, que ejerza(n) de manera efectiva sus funciones.
De lo anterior se deriva que el país al que se transfiera los datos, no podrá proporcionar un nivel de protección inferior al contemplado en Colombia.



Primer escenario. Países con nivel adecuado de protección de datos personales (36 países)



En el 2013, la SIC contrató un estudio sobre la aplicación en Colombia de las normas sobre transferencia internacional de datos personales. 

Para el efecto, en dicho estudio se tuvieron en cuenta las normas de dichos países y lo regulado por estas frente a los principios que rigen el tratamiento de datos personales, la lista de países la integran: Alemania; Austria; Bélgica; Bulgaria; Chipre; Costa Rica; Croacia: Dinamarca; Eslovaquia; Eslovenia; Estonia; España; Estados Unidos de América; Finlandia; Francia; Grecia; Hungría; Irlanda; Islandia; Italia; Letonia; Lituania; Luxemburgo; Malta; México; Noruega; Países Bajos; Perú; Polonia; Portugal; Reino Unido; República Checa; República de Corea; Rumania; Serbia y Suecia.

NOTA: La SIC ejercerá, en cualquier tiempo, su capacidad regulatoria para revisar la lista anterior y proceder a incluir a quienes no hacen parte de la misma o para excluir a quien se considere conveniente, de acuerdo con los lineamientos establecidos en la ley.

Sin perjuicio de que las transferencias de datos personales se realicen a países que tienen un nivel adecuado de protección, los Responsables del Tratamiento, en virtud del principio de responsabilidad demostrada, deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para garantizar el adecuado tratamiento de los datos personales que transfieren a otro país y para otorgar seguridad a los registros al momento de efectuar dicha transferencia.

Segundo escenario. Excepciones de ley para enviar a otros países


  1. Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.
  2. Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública.
  3. Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.
  4. Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.
  5. Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular. 
  6. Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

Tercer escenario. Declaración de conformidad



Si el responsable desea enviar datos personales a países que no cumplen las políticas de protección o datos que no están dentro de las excepciones de ley, corresponderá a la SIC proferir la declaración de conformidad relativa a la transferencia internacional de datos personales. Para tal efecto, el Superintendente queda facultado para requerir información y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.

En consecuencia, los Responsables del Tratamiento podrán realizar dicha transferencia, previa comunicación remitida a la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio, mediante la cual informen sobre:

  • La operación a realizar.
  • Se declare que han suscrito el contrato de transferencia y otro instrumento jurídico que garantice la protección de los datos personales objeto de transferencia.
Lo anterior podrá ser verificado en cualquier momento por la SIC y en caso de que se evidencie un incumplimiento, podrá adelantar la respectiva investigación e imponer las sanciones que correspondan y ordenar las medidas a que haya lugar.

Imagen: Pixabay

Recuerden seguirnos en facebook, twitter, linkedIn, somos @bsolutiongroup

No hay comentarios.:

Publicar un comentario