Hablamos de transferencia internacional de datos personales cuando estos son exportados por un encargado o responsable ubicado en Colombia a un responsable ubicado fuera del país.
Está prohibida la transferencia internacional a países que no proporcionan niveles adecuados de protección de datos, salvo que (i) se cumpla alguno de los supuestos previstos en el art. 26 de la Ley 1581 de 2012 (autorización del titular, intercambio de datos médicos, transferencias bancarias o bursátiles, entre otros), (ii) se obtenga una declaración de conformidad por parte de la SIC; o (iii) la SIC le apruebe normas corporativas vinculantes, tratándose de un grupo empresarial (Decreto 255 de 2022).
Son países que ofrecen niveles adecuados de protección “Alemania, Australia, Austria, Bélgica, Bulgaria, Chipre, Costa Rica, Croacia, Dinamarca, Eslovaquia, Eslovenia, Estonia, España, Estados Unidos de América, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Japón, Letonia, Lituania, Luxemburgo, Malta, México, Noruega, Países Bajos, Perú, Polonia, Portugal, Reino Unido, República Checa, República de Corea, Rumania, Serbia, Suecia y los países que han sido declarados con el nivel adecuado de protección por la Comisión Europea (Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda)”. (Circulares Externas 5 y 8 de 2017 y 2 de 2018, SIC).
No basta con el que el país de destino este catalogado como un país que ofrece niveles adecuados de protección, el exportador también debe cumplir con el principio de responsabilidad demostrada previsto en el art. 26 del Decreto 1377 de 2013 (accountability), por lo que debe ser capaz de demostrar que ha implementado medidas apropiadas y efectivas para cumplir con la Ley 1581 de 2012 y el Decreto 1377 de 2013, que, en lo que respecta a la transferencia internacional de datos, se traduce en (i) garantizar el adecuado tratamiento de los datos personales que transfiere a otro país y (ii) otorgar seguridad a los datos al momento de efectuar dicha transferencia”. (parágrafo primero numeral 3.2. Circular Externa 5 del 2017)
Son medidas apropiadas aquellas que se ajustan a las necesidades del tratamiento de datos, y son medidas efectivas las que permiten lograr el resultado o efecto deseado. Es decir, las medidas que se deben adoptar son las adecuadas, correctas, útiles, oportunas y eficientes para cumplir los requerimientos legales para el tratamiento de datos personales.
Con esto se busca velar porque el nivel de protección de los datos personales no disminuya o se vea afectado en la exportación de la información, lo que se conoce como “el principio de continuidad de la protección de datos”. La transferencia internacional no debe facilitar, permitir o tolerar la vulneración de los derechos de los titulares de los datos, ni la disminución de las garantías que tienen en el país exportador.
En la “Guía para la Implementación del Principio de Responsabilidad Demostrada en la Transferencias Internacionales de Datos Personales”, la SIC consagra una serie de recomendaciones para cumplir con el principio de responsabilidad demostrada en este ámbito, por ejemplo, realizar estudios de impacto de privacidad, incorporar desde el diseño la privacidad y la seguridad de la información, verificar que se esté debidamente facultado para transferir los datos, celebrar contratos para la transferencia de datos entre el exportador y el destinatario, entre otros.
¿Quiere publicar su edicto en línea?
Contáctenos vía WhatsApp