La SIC declara USA país no confiable para los datos personales de los ciudadanos colombianos

El pasado 22 de febrero se publicó en el sitio web de la SIC (Superintendencia de Industria y Comercio) de Colombia, una Circular Externa para "Adicionar un capítulo tercero al Título V de la Circular Única" sobre Transferencia Internacional de Datos.

Lo importante de esta modificación es que, por fin, la SIC pasa a tomar la decisión referente a los países en los que se "confía" para que datos de carácter personal de ciudadanos colombianos puedan ser transmitidos. La SIC hace referencia a que el artículo 26 de la Ley 1581 de 2012 regula la transferencia internacional de datos personales, para lo cual establece como regla general la prohibición de transferir datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos, salvo las excepciones que expresamente señala, y prevé que “Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios”.

La SIC pretende dejar claro que esta circular está basada en la necesidad de establecer con claridad (hasta hoy no se hacía así, quedando la decisión ambiguamente bajo la responsabilidad de los Responsables del Tratamiento) que países cuentan con un nivel adecuado de protección de datos personales, a los cuales se podrán transferir y transmitir datos personales en atención a los mandatos de la ley.

Los estándares que define la SIC como necesarios para "confiar" si un país ofrece un nivel adecuado de protección de datos personales, a efectos de realizar una transferencia internacional de datos, se basa en 6 criterios orientados a determinar si dicho país garantiza la protección de los mismos, con base en los siguientes estándares:

• Existencia de normas aplicables al tratamiento de datos personales.
• Consagración normativa de principios aplicables al Tratamiento de datos, en otros: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
• Consagración normativa de derechos de los Titulares.
• Consagración normativa de deberes de los Responsables y Encargados.
• Existencia de medios y vías judiciales y/o administrativas para garantizar la tutela de los derechos de los Titulares y exigir el cumplimiento de la ley.
• Existencia de autoridad (es) pública (s) encargada (s) de la supervisión del Tratamiento de datos personales, del cumplimiento de la legislación aplicable y de la protección de los derechos de los titulares.

Y lógicamente, la SIC ha realizado el ejercicio, pues sólo quedaba eso, de enumerar qué países cumplen con estos 6 criterios de "confiabilidad", resultando una lista no especialmente extensa que por continentes resulta:

• América: Argentina, Canadá, Costa Rica, México, Perú, Uruguay
• Europa: Albania, Alemania, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, Estonia, España, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumania, Serbia, Suecia, Suiza
• Asia: República de Corea
• Oceanía: Nueva Zelanda
• África: Ninguno

Resulta llamativo que, definitivamente, en este listado quedan fuera Estados Unidos, donde proveedores de servicios Cloud como Amazon, Google, Microsoft entre otros, se convierten en empresas, a priori, donde no se podrá confiar la información de ciudadanos colombianos, siempre y cuando no se tenga la capacidad de seleccionar y seleccione el país donde se alojarán los datos del proveedor. Sobre todo, resulta llamativo cuando entre la UE y EUA se aprobó el marco de Privacy Shield para el intercambio de datos personales, sobre el que ya escribimos algún artículo en nuestro blog (ver [1], [2], [3] y [4]). Aunque, claro está, este acuerdo se realizó entre la UE y USA, y Colombia debería desarrollar el suyo propio para poder justificar la equiparación. Pero es también a tener en cuenta como gran cantidad de países con estrechas relaciones comerciales también quedan fuera de este "círculo de confianza" como son: Bolivia, Brasil, Chile, Ecuador, Panamá, toda Centroamérica (excepto Costa Rica) y todos los países del Caribe.

La primera duda que surgirá en las empresas colombianas cuyos servicios de alojamiento de datos se encuentren en USA es ¿y ahora qué? Pues lo primero será asegurar que cuando la Transferencia de datos personales se vaya a realizar a un país que NO se encuentre en el listado anterior, corresponderá al Responsable del tratamiento verificar si ese país cumple con los estándares fijados (los 6 puntos enumerados anteriormente), caso en el cual podrá realizar la trasferencia, o, de no cumplirlos, solicitar la respectiva declaración de conformidad ante esta Superintendencia.

A parte de que la SIC exige la existencia de un contrato, acuerdo o autorización que permita la transferencia internacional de datos personales en los términos del artículo 2.2.2.25.5.2 del Decreto 1074 de 2015, si no se tiene dicho contrato, acuerdo o autorización, deberá cumplirse con alguna de las siguientes reglas:

• Informar al Titular la transmisión de datos y contar con su autorización para ello, o
• Observar lo previsto en el artículo 26 de la Ley 1581 de 2012, a saber:
• Transmitir datos personales solo a países que proporcionen niveles adecuados de protección de datos, para lo cual se deberá tener en cuenta que se cumplan los 6 requerimientos y estén en la lista de países "confiables", o
• Estar dentro de una de las excepciones establecidas en los literales contenidos en el artículo 26 de la Ley 1581 de 2012 para justificar la trasferencia y son que la:
• Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.
• Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública.
• Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.
• Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.
• Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.
• Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
• Obtener una declaración de conformidad emitida por la SIC.

Por tanto, las empresas colombianas a lo que ya debían que era informar inequívocamente a los titulares de los datos personales que sus datos van a transferirse a terceros países y pedir su autorización; segundo y añadido a esto, cuando el país destinatario no esté en la de países confiables, estar seguros que se cumple alguna de las excepciones y tener permiso explícito del Titular para evitar problemas legales; y tercero, en caso de duda, pedir aclaración y autorización a la SIC para que esta determine lo que bajo el punto (iii) queda bajo su responsabilidad. Va a ser a partir de esta última situación, cuando tendremos la certeza sobre qué hacer con la transferencia de datos a estos proveedores en USA (u otros).

Está claro que el legislador y los reguladores competentes en Protección de Datos de Colombia han hecho estos últimos 4 años lo que no se había hecho en dos décadas en materia de Datos Personales y está intentando aclarar y ayudar a marchas forzadas sobre todo aquello que está generando mayores incertidumbres. Lo importante ahora será que el cumplimiento de la Ley no pueda suponer un quebradero de cabeza para las empresas del país. En breve empezaremos a verlo.

Esta circular externa cerraba el plazo de comentarios el 8 de marzo y está por ver si no sufre cambios antes de llegar su confirmación.

Referencias:
[1] http://blog.isecauditors.com/2016/09/aprobacion-oficial-del-marco-privacy-shield.html
[2] http://blog.isecauditors.com/2016/03/primer-borrador-de-privacy-shield.html
[3] http://blog.isecauditors.com/2016/02/privacy-shield-nuevo-marco-internacional-de-transferencia-datos.html
[4] http://blog.isecauditors.com/2016/02/por-fin-un-safe-harbour-2-0.html

---

Autor: Daniel Fernández Bleda - CISSP, CISM, CISA, ISO 27001 LA, CHFI, OPST/A
Global Sales Manager, Internet Security Auditors