Superintendencia de Industria y Comercio

CIRCULAR EXTERNA 2 DE 2018

(Marzo 23)

Asunto: Modificar el numeral 3.2 del Capítulo Tercero del Título V de la Circular Única

1. Objeto

Modificar el numeral 3.2 del Capítulo Tercero del Título V de la Circular Única con el fin de incluir un país dentro de la lista de países contenida en dicho numeral, los cuales cuentan con un nivel adecuado de protección de datos personales de acuerdo con los estándares fijados por la Superintendencia de Industria y Comercio.

2. Fundamento Legal

El artículo 26 de la Ley Estatutaria 1581 de 2012 (Régimen General de Protección de Datos Personales), establece las condiciones para realizar la transferencia internacional de datos personales:

“ART. 26.—Prohibición. Se prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios. Esta prohibición no regirá cuando se trate de:

a) Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia;

b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública;

c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable;

d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad;

e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular;

f) Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

“PAR. 1°—En los casos no contemplados como excepción en el presente artículo, corresponderá a la Superintendencia de Industria y Comercio, proferir la declaración de conformidad relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente queda facultado para requerir información y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.

“PAR. 2°—Las disposiciones contenidas en el presente artículo serán aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008”.

La Corte Constitucional, en Sentencia C-748 de 2011, precisó las condiciones que la Superintendencia de Industria y Comercio debe considerar para fijar los estándares del nivel adecuado de protección de un país receptor de datos personales transferidos desde Colombia, a los que hace referencia el párrafo primero de artículo 26 antes citado. Al respecto, dicha Corte señaló lo siguiente:

“(…) [S]e entenderá que un país cuenta con los elementos o estándares de garantía necesarios para garantizar un nivel adecuado de protección de datos personales, si su legislación cuenta; con unos principios, que abarquen las obligaciones y derechos de las partes (titular del dato, autoridades públicas, empresas, agencias u otros organismos que efectúen tratamientos de datos personales), y de los datos (calidad del dato, seguridad técnica) y; con un procedimiento de protección de datos que involucre mecanismos y autoridades que efectivicen la protección de la información. De lo anterior se deriva que el país al que se transfiera los datos, no podrá proporcionar un nivel de protección inferior al contemplado en este cuerpo normativo que es objeto de estudio”. (Subrayado fuera de texto).

Mediante la Circular Externa 5 de 2017, incorporada al Capítulo Tercero del Título V de la Circular Única de la Superintendencia de Industria y Comercio, esta entidad señaló los estándares que permiten determinar qué países cuentan con un nivel adecuado de protección de datos personales y elaboró un listado de países que, acorde con tales estándares y con el análisis particular realizado por esta entidad, cuentan con un nivel adecuado de protección de datos personales.

En adición a los países incluidos en el mencionado listado, la Superintendencia analizó el cumplimiento de los estándares referidos por parte de Australia, en respuesta a una solicitud formulada por dicho país, para lo cual remitió a esta entidad información relevante para adelantar tal análisis y que permite concluir que garantiza un nivel adecuado de protección de datos personales. Por lo anterior, se adicionará al listado de países contenido en el numeral 3.2 citado.

3. Instructivo

Modificar el numeral 3.2 del Capítulo Tercero del Título V de la Circular Única, sobre transferencia de datos personales, el cual quedará así:

“3.2 Países que cuentan con un nivel adecuado de protección de datos personales

Teniendo en cuenta los estándares señalados en el numeral 3.1 anterior y el análisis efectuado por esta Superintendencia, garantizan un nivel adecuado de protección los siguientes países: Alemania; Australia; Austria; Bélgica; Bulgaria; Chipre; Costa Rica; Croacia; Dinamarca; Eslovaquia; Eslovenia; Estonia; España; Estados Unidos de América; Finlandia; Francia; Grecia; Hungría; Irlanda; Islandia; Italia; Japón; Letonia; Lituania; Luxemburgo; Malta; México; Noruega; Países Bajos; Perú; Polonia; Portugal; Reino Unido; República Checa; República de Corea; Rumania; Serbia; Suecia; y los países que han sido declarados con el nivel adecuado de protección por la Comisión Europea.

La Superintendencia de Industria y Comercio ejercerá, en cualquier tiempo, su capacidad regulatoria para revisar la lista anterior y proceder a incluir a quienes no hacen parte de la misma o para excluir a quien se considere conveniente, de acuerdo con los lineamientos establecidos en la ley.

“PAR. 1°—Sin perjuicio de que las transferencias de datos personales se realicen a países que tienen un nivel adecuado de protección, los Responsables del Tratamiento, en virtud del principio de responsabilidad demostrada, deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para garantizar el adecuado tratamiento de los datos personales que transfieren a otro país y para otorgar seguridad a los registros al momento de efectuar dicha transferencia.

“PAR. 2°—Cuando la Transferencia de datos personales se vaya a realizar a un país que no se encuentre dentro de los relacionados en el presente numeral, corresponderá al Responsable del tratamiento que efectuará la transferencia verificar si la operación está comprendida dentro de una de las causales de excepción establecidas en el artículo 26 de la Ley 1581 de 2012, o, si ese país cumple con los estándares fijados en el numeral 3.1 anterior, casos en los cuales podrá realizar la trasferencia, o, de no cumplirse ninguna de las condiciones anteriores, solicitar la respectiva declaración de conformidad ante esta Superintendencia.

“PAR. 3°—El simple tránsito transfronterizo de datos no comporta una transferencia de datos a terceros países. El tránsito transfronterizo de datos se refiere al simple paso de los datos por uno o varios territorios utilizando la infraestructura compuesta por todas las redes, equipos y servicios requeridos para alcanzar su destino final.

“PAR. 4°—Es posible realizar la transmisión de datos personales a los países que cuentan con un nivel adecuado de protección de datos personales, en los términos que rigen la transferencia de datos personales”.

4. Vigencia

La presente circular externa rige a partir de su publicación en el Diario Oficial.

Bogotá, D.C. marzo 23 de 2018.

N. del D.: esta circular va dirigida a responsables y encargados del tratamiento de datos personales.