Muchas empresas que cuentan con bases de datos como uno de sus activos intangibles se preguntan si está permitido compartir esta información con terceros. Por esta razón, en este artículo les explicamos cuál es la manera correcta de hacerlo.
¿Qué es la transmisión de datos personales?
Cuando una empresa Responsable del tratamiento de datos personales comparte sus bases de datos con un tercero, esto corresponde a una transmisión. Para ello, el tercero recibe estos datos en calidad de Encargado, es decir, para realizar el tratamiento de los mismos por cuenta del Responsable; por ejemplo, como sucede con los call centers.
¿Qué debe tenerse en cuenta para realizar una transmisión?
Debido a la importancia de garantizar la seguridad y confidencialidad de la información que será compartida, debe firmarse entre las partes un contrato de transmisión.
¿Qué debe contener este contrato?
En este contrato es importante establecer las actividades que el Encargado realizará por cuenta del Responsable, el alcance del tratamiento y las obligaciones que adquiere el Encargado, entre las cuales se encuentran las siguientes: tratar los datos conforme a la Política de Privacidad del Responsable, las finalidades autorizadas por los titulares de los datos y los principios establecidos en la ley, salvaguardar la seguridad de las bases de datos y guardar confidencialidad respecto del tratamiento de los datos personales.
¿Puede hacerse tanto a nivel nacional como internacional?
La transmisión de datos puede hacerse a un Encargado que se encuentre en Colombia o en el extranjero.
¿Qué sucede si el Encargado se encuentra en el extranjero?
La Ley 1581 de 2012 establece la prohibición de transmitir datos personales a países que no detenten un nivel adecuado de protección de datos personales. Por lo anterior, la Superintendencia de Industria y Comercio (SIC) estableció una lista de los países que garantizan este nivel, dentro de los cuales se encuentran Alemania, España, México y Estados Unidos, entre otros.
Esta prohibición no aplica en ciertos casos determinados por la ley, por ejemplo, cuando se cuente con la autorización expresa e inequívoca del titular, o cuando el intercambio verse sobre datos de carácter médico y así lo exija el tratamiento por razones de salud o higiene pública.
¿Qué pasa si el Encargado está en un país que no se encuentra en la lista determinada por la Superintendencia de Industria y Comercio?
En estos casos la Superintendencia de Industria y Comercio ha establecido que corresponderá al Responsable verificar si la operación se enmarca dentro de las excepciones establecidas en el artículo 26 de la Ley 1581 de 2012 (algunas mencionadas en la pregunta anterior), o si el país de interés cumple con los estándares fijados por esta entidad, casos en los cuales estará autorizada la transmisión.
De lo contrario, el Responsable deberá solicitar una “Declaración de Conformidad” ante la Superintendencia de Industria y Comercio, de manera previa a realizar la transmisión.
A través de esta Declaración, la Superintendencia de Industria y Comercio determinará la viabilidad de la operación.
¿Quiere publicar su edicto en línea?
Contáctenos vía WhatsApp