jueves, agosto 10, 2017

Normativa colombiana sobre adecuación y transferencia internacional

 SIC: Circular Externa No. 05 del 10 de agosto de 2017

Por medio de la cual se adiciona un Capítulo Tercero al Título V de la Circular Única sobre Transferencia de datos personales a terceros países. (Publicada en el Diario Oficial, Año CLIII No 50.321, del 10 de agosto de 2017, pág. 10)


Circular Externa No. 005

Bogotá D.C., 10 AGO 2017

(Publicada en el Diario Oficial, Año CLIII No 50.321, del 10 de agosto de 2017, pág. 10)

Para: RESPONSABLES DEL TRATAMIENTO DE DATOS PERSONALES

Asunto: Adicionar un Capítulo Tercero [Transferencia de datos personales a terceros países] al Título V de la Circular Única.


1. Objeto

Fijar los estándares de un nivel adecuado de protección en el país receptor de la información personal y las condiciones para obtener una declaración de conformidad para realizar transferencia internacional de datos personales.

2. Fundamento Legal

El artículo 26 de la Ley Estatutaria 1581 de 2012 (Régimen General de Protección de Datos Personales), establece las condiciones para realizar la transferencia internacional de datos personales:


“Artículo 26. Prohibición. Se prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios. Esta prohibición no regirá cuando se trate de:

Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.

Intercambio de datos de carácter médico, cuando asó lo exija el Tratamiento del Titular por razones de salud o higiene pública

Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.

Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad

Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.

Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

Parágrafo 1. En los casos no contemplados como excepción en el presente artículo, corresponderá a la Superintendencia de Industria y Comercio, proferir la declaración de conformidad relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente queda facultado para requerir información y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.


Parágrafo 2. Las disposiciones contenidas en el presente artículo serán aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008”.


De acuerdo con el referido artículo 26 de la Ley Estatutaria 1581 de 2012 (Régimen General de Protección de Datos Personales), hay 3 supuestos que habilitan la transferencia internacional de datos personales, a saber:


El país receptor ofrece un nivel adecuado de protección, de acuerdo con los estándares fijados por la Superintendencia de Industria y Comercio, que no podrán ser inferiores a los dispuestos en la ley.

La operación de transferencia se encuentra enmarcada dentro de las excepciones fijadas por el artículo 26.

La Superintendencia de Industria y Comercio profiere una declaración de conformidad relativa a la viabilidad de la transferencia internacional de datos personales que en concreto se somete a su consideración.

Mediante Sentencia C-748 de 2011, la Corte Constitucional precisó las condiciones que la Superintendencia de Industria y Comercio debe considerar para fijar los estándares de nivel adecuado de protección de un país receptor de datos personales transferidos desde Colombia.

“(…) [S]e entenderá que un país cuenta con los elementos o estándares de garantía necesarios para garantizar un nivel adecuado de protección de datos personales, si su legislación cuenta: con unos principios, que abarquen las obligaciones y derechos de las partes (titular del dato, autoridades públicas, empresas, agencias y otros organismos que efectúen tratamientos de datos personales), y de los datos (calidad del dato, seguridad técnica) y; con un procedimiento de protección de datos que involucre mecanismos y autoridades que efectivicen la protección de la información. De lo anterior se deriva que el país al que se transfiera los datos, no podrá proporcionar un nivel de protección inferior al contemplado en este cuerpo normativo que es objeto de estudio”. (Subrayado fuera de texto)


En el 2013, la Superintendencia de Industria y Comercio contrató un estudio con una firma de abogados sobre la aplicación en Colombia de las normas sobre transferencia internacional de datos personales. Con fundamento en lo establecido en el artículo 26 de la Ley 1581 de 2012 y la sentencia de la Corte Constitucional antes citada, dentro del estudio ya referido se elaboró una lista no exhaustiva de países que, según el análisis efectuado por dicha firma tienen un nivel adecuado de protección. Para el efecto, en dicho estudio se tuvieron en cuenta las normas de dichos países y lo regulado por estas frente a los principios que rigen el tratamiento de datos personales, los derechos de los titulares, los deberes de Responsables y Encargados de Tratamiento, los mecanismos dispuestos para hacer efectivos esos derechos y la existencia de autoridades que garanticen de manera efectiva los mismos y hagan cumplir la ley.


El listado de países respecto de los cuales se concluyó ofrecen un nivel adecuado de protección incluye los países miembros de la Unión Europea, regidos por la Directiva 95/46/CE[1] del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, la cual sirvió como fundamento para la elaboración del Proyecto de Ley Estatutaria 184 de 2010 Senado 046 de 2010 Cámara[2], actual Ley 1581 de 2012, y establece los estándares más rigurosos de protección de este derecho fundamental. Así mismo, dentro del listado se encuentran los países que han sido declarados con nivel adecuado de protección por la Comisión Europea, teniendo en cuenta el análisis efectuado por esta, en virtud de las reglas dispuestas en la Directiva mencionada, que se somete al más estricto examen para determinar si, en efecto, un país cuenta con normas de protección adecuadas y medios para asegurar su aplicación eficaz.


De otra parte, dicho listado contiene también a México, República de Corea, Costa Rica, Serbia, Perú, Noruega, Islandia y Estados Unidos.


El Decreto 1377 de 2013, incorporado al Decreto Único 1074 de 2015, estableció el principio de responsabilidad demostrada en virtud del cual los Responsables del Tratamiento deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley Estatutaria 1581 de 2012 (Régimen General de Protección de Datos Personales), de tal manera que garanticen la protección de los derechos de los titulares de la información. Este principio resulta aplicable a todo tratamiento de datos realizado por los Responsables, incluida la transferencia internacional, como una modalidad de circulación de los mismos.


El artículo 19 de la Ley Estatutaria 1581 de 2012 (Régimen General de Protección de Datos Personales), atribuye a la Superintendencia de Industria y Comercio la función de ejercer la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantís y procedimientos previstos en la ley.


El artículo 21 de la Ley Estatutaria 1581 de 2012 (Régimen General de Protección de Datos Personales) señala dentro de las funciones a cargo de esta Superintendencia “Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos” e “Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley”.


Por lo anterior, es necesario establecer los estándares que permitirán determinar qué países cuentan con un nivel adecuado de protección de datos personales, a los cuales se podrán transferir datos personales en atención a los mandatos de la ley, y las condiciones para obtener la declaración de conformidad relativa a la transferencia internacional de datos personales, con el fin de asegurar que se garantiza la protección de la información de las personas cuando el responsable del tratamiento la remite a otro país.

3. Instructivo

Adicionar un Capítulo Tercero al Título V de la Circular Única, sobre transferencia internacional de datos personales, el cual quedará así:

“CAPÍTULO TERCERO


Transferencia de datos personales a terceros Países


3.1 Estándares de un nivel adecuado de protección del país receptor de la información personal.


El análisis para establecer si un país ofrece un nivel adecuado de protección de datos personales, a efectos de realizar una transferencia internacional de datos, estará orientado a determinar si dicho país garantiza la protección de los mismos, con base en los siguientes estándares:


Existencia de normas aplicables al tratamiento de datos personales.

Consagración normativa de principios aplicables al Tratamiento de datos, entre otros: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.

Consagración normativa de derechos de los Titulares

Consagración normativa de deberes de los Responsables y Encargados

Existencia de medios y vías judiciales y administrativas para garantizar la tutela efectiva de los derechos de los Titulares y exigir el cumplimiento de la ley

Existencia de autoridad(es) pública(s) encargada(s) de la supervisión del Tratamiento de datos personales, del cumplimiento de la legislación aplicable y de la protección de los derechos de los titulares, que ejerza(n) de manera efectiva sus funciones.

3.2 Países que cuentan con un nivel adecuado de protección de datos personales


Teniendo en cuenta los estándares señalados en el numeral 3.1 anterior y el análisis efectuado por esta Superintendencia, garantizan un nivel adecuado de protección los siguientes países: Alemania; Austria; Bélgica; Bulgaria; Chipre; Costa Rica; Croacia; Dinamarca; Eslovaquia; Eslovenia; Estonia; España; e3stados Unidos de América; Finlandia; Francia; Grecia; Hungría; Irlanda; Islandia; Italia; Letonia; Lituania; Luxemburgo; Malta; México; Noruega; Países Bajos; Perú; Polonia; Portugal; Reino Unido; República Checa; República de Corea; Rumania; Serbia; Suecia; y los países que han sido declarados con nivel adecuado de protección por la Comisión Europea.  


La Superintendencia de Industria y Comercio ejercerá, en cualquier tiempo, su capacidad regulatoria para revisar la lista anterior y proceder a incluir a quienes no hacen parte de la misma o para excluir a quien se considere conveniente, de acuerdo con los lineamientos establecidos en la ley.


Parágrafo 1°. Sin perjuicio de que las transferencias de datos personales se realicen a países que tienen un nivel adecuado de protección, los Responsables del Tratamiento, en virtud del principio de responsabilidad demostrada, deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para garantizar el adecuado tratamiento de los datos personales que transfieren a otro país y para otorgar seguridad a los registros al momento de efectuar dicha transferencia.


Parágrafo 2°. Cuando la Transferencia de datos personales se vaya a realizar a un país que no se encuentre dentro de los relacionados en el presente numeral, corresponderá al responsable del tratamiento que efectuará la transferencia verificar si la operación está comprendida dentro de una de las causales de excepción establecidas en el artículo 26 de la Ley 1581 de 2012, o, si ese país cumple con los estándares fijados en el numeral 3.1 anterior, casos en los cuales podrán realizar la transferencia, o, de no cumplirse ninguna de las condiciones anteriores, solicitar la respectiva declaración de conformidad ante esta Superintendencia.


Parágrafo 3°. El simple tránsito transfronterizo de datos no comporta una transferencia de datos a terceros países. El tránsito transfronterizo de datos se refiere al siempre paso de los datos por uno o varios territorios utilizando la infraestructura compuesta por todas las redes, equipos y servicios requeridos para alcanzar su destino final.


Parágrafo 4°. Es posible realizar la transmisión de datos personales a los países que cuentan con un nivel adecuado de protección de datos personales, en los términos que rigen la transferencia de datos personales.  


3.3 Declaración de conformidad


Para solicitar la Declaración de Conformidad para la transferencia internacional de datos personales, el Responsable del tratamiento deberá radicar una petición ante la Superintendencia de Industria y Comercio en el Grupo de Gestión Documental y Recursos Físicos de la entidad, o a través del correo electrónico contactenos@sic.gov.co, en la que suministre la información contenida en la “Guía para Solicitar la Declaración de Conformidad sobre las Transferencias Internacionales de Datos Personales”, publicada en la página web de esta Superintendencia. Los soportes y documentos remitidos deben estar traducidos al castellano.


Este trámite se rige por el Procedimiento Administrativo General establecido en el Código de Procedimiento Administrativo y de lo Contencioso Administrativo.


En todos los casos, la Superintendencia está facultada para requerir información adicional y adelantar las diligencias que considere necesarias, tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.


Parágrafo. Cuándo los Responsables del Tratamiento, que a efectos de cumplir con el principio de responsabilidad demostrada, suscriban un contrato con el Responsable del Tratamiento destinatario de los datos o implementen otro instrumento jurídico mediante el cual señalen las condiciones que regirán la transferencia internacional de datos personales y mediante las cuales garantizarán el cumplimiento de los principios que rigen el tratamiento, así como de las obligaciones que tienen a cargo, se presumirá que la operación es viable y que cuenta con Declaración de Conformidad.


En consecuencia, los Responsables del Tratamiento podrán realizar dicha transferencia, previa comunicación remitida a la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio, mediante la cual informen sobre la operación a realizar y declaren que han suscrito el contrato de transferencia y otro instrumento jurídico que garantice la protección de los datos personales objeto de transferencia, lo cual podrá ser verificado en cualquier momento por esta Superintendencia y, en caso de que se evidencie un incumplimiento, podrá adelantar la respectiva investigación e imponer las sanciones que correspondan y ordenar las medidas a que haya lugar”.


  4. Vigencia


La presente Circular Externa rige a partir de su publicación en el Diario Oficial.


Atentamente,


PABLO FELIPE ROBLEDO DEL CASTILLO


Superintendente de Industria y Comercio