CIRCULAR EXTERNA 5 DE 2017
(agosto 10)
Diario Oficial No. 50.321 de 10 de agosto de 2017
SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO
Bogotá, D.C.
Para: | Responsables del tratamiento de datos personales |
Asunto: | Adicionar un Capítulo Tercero al Título V de la Circular Única |
1. Objeto
Fijar los estándares de un nivel adecuado de protección en el país receptor de la información personal y las condiciones para obtener una declaración de conformidad para realizar transferencia internacional de datos personales.
2. Fundamento Legal
El artículo 26 de la Ley Estatutaria 1581 de 2012 (Régimen General de Protección de Datos Personales), establece las condiciones para realizar la transferencia internacional de datos personales:
“Artículo 26. Prohibición. Se prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios. Esta prohibición no regirá cuando se trate de:
a) Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.
b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública.
c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.
d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.
e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.
f) Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Parágrafo 1o. En los casos no contemplados como excepción en el presente artículo, corresponderá a la Superintendencia de Industria y Comercio, proferir la declaración de conformidad relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente queda facultado para requerir información y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.
Parágrafo 2o. Las disposiciones contenidas en el presente artículo serán aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008”.
De acuerdo con el referido artículo 26 de la Ley Estatutaria 1581 de 2012 (Régimen General de Protección de Datos Personales), hay 3 supuestos que habilitan la transferencia internacional de datos personales, a saber:
(i) El país receptor ofrece un nivel adecuado de protección, de acuerdo con los estándares fijados por la Superintendencia de Industria y Comercio, que no podrán ser inferiores a los dispuestos en la ley.
(ii) La operación de transferencia se encuentra enmarcada dentro de las excepciones fijadas por el artículo 26.
(iii) La Superintendencia de Industria y Comercio profiere una declaración de conformidad relativa a la viabilidad de la transferencia internacional de datos personales que en concreto se somete a su consideración.
Mediante Sentencia C-748 de 2011, la Corte Constitucional precisó las condiciones que la Superintendencia de Industria y Comercio debe considerar para fijar los estándares del nivel adecuado de protección de un país receptor de datos personales transferidos desde Colombia:
“(…) [S]e entenderá que un país cuenta con los elementos o estándares de garantía necesarios para garantizar un nivel adecuado de protección de datos personales, si su legislación cuenta: con unos principios, que abarquen las obligaciones y derechos de las partes (titular del dato, autoridades públicas, empresas, agencias u otros organismos que efectúen tratamientos de datos personales), y de los datos (calidad del dato, seguridad técnica) y; con un procedimiento de protección de datos que involucre mecanismos y autoridades que efectivicen la protección de la información. De lo anterior se deriva que el país al que se transfiera los datos, no podrá proporcionar un nivel de protección inferior al contemplado en este cuerpo normativo que es objeto de estudio”. (Subrayado fuera de texto).
En el 2013, la Superintendencia de Industria y Comercio contrató un estudio con una firma de abogados sobre la aplicación en Colombia de las normas sobre transferencia internacional de datos personales. Con fundamento en lo establecido en el artículo 26 de la Ley 1581 de 2012 y la sentencia de la Corte Constitucional antes citada, dentro del estudio ya referido se elaboró una lista no exhaustiva de países que, según el análisis efectuado por dicha firma tienen un nivel adecuado de protección. Para el efecto, en dicho estudio se tuvieron en cuenta las normas de dichos países y lo regulado por estas frente a los principios que rigen el tratamiento de datos personales, los derechos de los titulares, los deberes de Responsables y Encargados de Tratamiento, los mecanismos dispuestos para hacer efectivos esos derechos y la existencia de autoridades que garanticen de manera efectiva los mismos y hagan cumplir la ley.
El listado de países respecto de los cuales se concluyó ofrecen un nivel adecuado de protección incluye los países miembros de la Unión Europea, regidos por la Directiva 95/46/CE[1] del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, la cual sirvió como fundamento para la elaboración del Proyecto de Ley Estatutaria 184 de 2010 Senado 046 de 2010 Cámara[2], actual Ley 1581 de 2012, y establece los estándares más rigurosos de protección de este derecho fundamental. Así mismo, dentro del listado se encuentran los países que han sido declarados con nivel adecuado de protección por la Comisión Europea, teniendo en cuenta el análisis efectuado por esta, en virtud de las reglas dispuestas en la Directiva mencionada, que se somete al más estricto examen para determinar si, en efecto, un país cuenta con normas de protección adecuadas y medios para asegurar su aplicación eficaz.
De otra parte, dicho listado contiene también a México, República de Corea, Costa Rica, Serbia, Perú, Noruega, Islandia y Estados Unidos.
El Decreto 1377 de 2013, incorporado al Decreto Único 1074 de 2015, estableció el principio de responsabilidad demostrada en virtud del cual los Responsables del Tratamiento deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley Estatutaria 1581 de 2012 (Régimen General de Protección de Datos Personales), de tal manera que garanticen la protección de los derechos de los titulares de la información. Este principio resulta aplicable a todo tratamiento de datos realizado por los Responsables, incluida la transferencia internacional, como una modalidad de circulación de los mismos.
El artículo 19 de la Ley Estatutaria 1581 de 2012 (Régimen General de Protección de Datos Personales), atribuye a la Superintendencia de Industria y Comercio la función de ejercer la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la ley.
El artículo 21 de la Ley Estatutaria 1581 de 2012 (Régimen General de Protección de Datos Personales) señala dentro de las funciones a cargo de esta Superintendencia “Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos” e “Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley”.
Por lo anterior, es necesario establecer los estándares que permitirán determinar qué países cuentan con un nivel adecuado de protección de datos personales, a los cuales se podrán transferir datos personales en atención a los mandatos de la ley, y las condiciones para obtener la declaración de conformidad relativa a la transferencia internacional de datos personales, con el fin de asegurar que se garantiza la protección de la información de las personas cuando el responsable del tratamiento la remite a otro país.
3. Instructivo
Adicionar un Capítulo Tercero al Título V de la Circular Única, sobre transferencia internacional de datos personales, el cual quedará así:
“CAPÍTULO TERCERO
Transferencia de datos personales a terceros Países
3.1 Estándares de un nivel adecuado de protección del país receptor de la información personal.
El análisis para establecer si un país ofrece un nivel adecuado de protección de datos personales, a efectos de realizar una transferencia internacional de datos, estará orientado a determinar si dicho país garantiza la protección de los mismos, con base en los siguientes estándares:
a) Existencia de normas aplicables al tratamiento de datos personales.
b) Consagración normativa de principios aplicables al Tratamiento de datos, entre otros: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
c) Consagración normativa de derechos de los Titulares.
d) Consagración normativa de deberes de los Responsables y Encargados.
e) Existencia de medios y vías judiciales y administrativas para garantizar la tutela efectiva de los derechos de los Titulares y exigir el cumplimiento de la ley.
f) Existencia de autoridad (es) pública (s) encargada (s) de la supervisión del Tratamiento de datos personales, del cumplimiento de la legislación aplicable y de la protección de los derechos de los titulares, que ejerza (n) de manera efectiva sus funciones.
3.2 Países que cuentan con un nivel adecuado de protección de datos personales.
Teniendo en cuenta los estándares señalados en el numeral 3.1 anterior y el análisis efectuado por esta Superintendencia, garantizan un nivel adecuado de protección los siguientes países: Alemania; Austria; Bélgica; Bulgaria; Chipre; Costa Rica; Croacia; Dinamarca; Eslovaquia; Eslovenia; Estonia; España; Estados Unidos de América; Finlandia; Francia; Grecia; Hungría; Irlanda; Islandia; Italia; Letonia; Lituania; Luxemburgo; Malta; México; Noruega; Países Bajos; Perú; Polonia; Portugal; Reino Unido; República Checa; República de Corea; Rumania; Serbia; Suecia; y los países que han sido declarados con nivel adecuado de protección por la Comisión Europea.
La Superintendencia de Industria y Comercio ejercerá, en cualquier tiempo, su capacidad regulatoria para revisar la lista anterior y proceder a incluir a quienes no hacen parte de la misma o para excluir a quien se considere conveniente, de acuerdo con los lineamientos establecidos en la ley.
Parágrafo 1o. Sin perjuicio de que las transferencias de datos personales se realicen a países que tienen un nivel adecuado de protección, los Responsables del Tratamiento, en virtud del principio de responsabilidad demostrada, deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para garantizar el adecuado tratamiento de los datos personales que transfieren a otro país y para otorgar seguridad a los registros al momento de efectuar dicha transferencia.
Parágrafo 2o. Cuando la Transferencia de datos personales se vaya a realizar a un país que no se encuentre dentro de los relacionados en el presente numeral, corresponderá al Responsable del tratamiento que efectuará la transferencia verificar si la operación está comprendida dentro de una de las causales de excepción establecidas en el artículo 26 de la Ley 1581 de 2012, o, si ese país cumple con los estándares fijados en el numeral 3.1 anterior, casos en los cuales podrá realizar la trasferencia, o, de no cumplirse ninguna de las condiciones anteriores, solicitar la respectiva declaración de conformidad ante esta Superintendencia.
Parágrafo 3o El simple tránsito transfronterizo de datos no comporta una transferencia de datos a terceros países. El tránsito transfronterizo de datos se refiere al simple paso de los datos por uno o varios territorios utilizando la infraestructura compuesta por todas las redes, equipos y servicios requeridos para alcanzar su destino final.
Parágrafo 4o. Es posible realizar la transmisión de datos personales a los países que cuentan con un nivel adecuado de protección de datos personales, en los términos que rigen la transferencia de datos personales.
3.3 Declaración de conformidad
Para solicitar la Declaración de Conformidad para la transferencia internacional de datos personales, el Responsable del tratamiento deberá radicar una petición ante la Superintendencia de Industria y Comercio en el Grupo de Gestión Documental y Recursos Físicos de la Entidad, o a través del correo electrónico contactenos@sic.gov.co, en la que suministre la información contenida en la “Guía para Solicitar la Declaración de Conformidad sobre las Transferencias Internacionales de Datos Personales”, publicada en la página web de esta Superintendencia. Los soportes y documentos remitidos deben estar traducidos al castellano.
Este trámite se rige por el Procedimiento Administrativo General establecido en el Código de Procedimiento Administrativo y de lo Contencioso Administrativo.
En todos los casos, la Superintendencia está facultada para requerir información adicional y adelantar las diligencias que considere necesarias, tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.
Parágrafo. Cuando los Responsables del Tratamiento, que a efectos de cumplir con el principio de responsabilidad demostrada, suscriban un contrato con el Responsable del Tratamiento destinatario de los datos o implementen otro instrumento jurídico mediante el cual señalen las condiciones que regirán la transferencia internacional de datos personales y mediante las cuales garantizarán el cumplimiento de los principios que rigen el tratamiento, así como de las obligaciones que tienen a cargo, se presumirá que la operación es viable y que cuenta con Declaración de Conformidad.
En consecuencia, los Responsables del Tratamiento podrán realizar dicha transferencia, previa comunicación remitida a la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio, mediante la cual informen sobre la operación a realizar y declaren que han suscrito el contrato de transferencia u otro instrumento jurídico que garantice la protección de los datos personales objeto de transferencia, lo cual podrá ser verificado en cualquier momento por esta Superintendencia y, en caso de que se evidencie un incumplimiento, podrá adelantar la respectiva investigación e imponer las sanciones que correspondan y ordenar las medidas a que haya lugar”.
4. Vigencia
La presente Circular Externa rige a partir de su publicación en el Diario Oficial.
Atentamente,
El Superintendente de Industria y Comercio,
PABLO FELIPE ROBLEDO DEL CASTILLO.
* * *
1. En mayo de 2018, la Directiva Europea será reemplazada por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, “Relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)”.
2. Exposición de motivos: “(…) Este proyecto incorpora en su articulado las mejores prácticas internacionales en materia de protección de datos contempladas en Convenio 108 de 1981 del Consejo de Europa, la Directiva Europea 95/46 de 1995, la Resolución 45/95 de 1990 de la ONU y la Resolución de Madrid de 2009, con el objetivo de lograr con esta ley la acreditación de Colombia por parte de la Unión Europea como un país seguro en protección de datos y así poder acceder al mercado europeo sin restricciones atrayendo inversión extrajera y generando nuevos empleos”.