El pasado 22 de febrero se publicó en el sitio web de la
SIC (Superintendencia de Industria y Comercio) de Colombia, una Circular Externa para "
Adicionar un capítulo tercero al Título V de la Circular Única" sobre Transferencia Internacional de Datos.
Lo importante de esta modificación es que, por fin, la SIC pasa a tomar la decisión referente a los países en los que se "confía" para que datos de carácter personal de ciudadanos colombianos puedan ser transmitidos. La SIC hace referencia a que el artículo 26 de la Ley 1581 de 2012 regula la transferencia internacional de datos personales, para lo cual establece como regla general la prohibición de transferir datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos, salvo las excepciones que expresamente señala, y prevé que “ Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios”.
La SIC pretende dejar claro que esta circular está basada en la necesidad de establecer con claridad (hasta hoy no se hacía así, quedando la decisión ambiguamente bajo la responsabilidad de los Responsables del Tratamiento) que países cuentan con un nivel adecuado de protección de datos personales, a los cuales se podrán transferir y transmitir datos personales en atención a los mandatos de la ley.
Los estándares que define la SIC como necesarios para "confiar" si un país ofrece un nivel adecuado de protección de datos personales, a efectos de realizar una transferencia internacional de datos, se basa en 6 criterios orientados a determinar si dicho país garantiza la protección de los mismos, con base en los siguientes estándares:
La primera duda que surgirá en las empresas colombianas cuyos servicios de alojamiento de datos se encuentren en USA es ¿y ahora qué? Pues lo primero será asegurar que cuando la Transferencia de datos personales se vaya a realizar a un país que NO se encuentre en el listado anterior, corresponderá al Responsable del tratamiento verificar si ese país cumple con los estándares fijados (los 6 puntos enumerados anteriormente), caso en el cual podrá realizar la trasferencia, o, de no cumplirlos, solicitar la respectiva declaración de conformidad ante esta Superintendencia.
A parte de que la SIC exige la existencia de un contrato, acuerdo o autorización que permita la transferencia internacional de datos personales en los términos del artículo 2.2.2.25.5.2 del Decreto 1074 de 2015, si no se tiene dicho contrato, acuerdo o autorización, deberá cumplirse con alguna de las siguientes reglas:
Está claro que el legislador y los reguladores competentes en Protección de Datos de Colombia han hecho estos últimos 4 años lo que no se había hecho en dos décadas en materia de Datos Personales y está intentando aclarar y ayudar a marchas forzadas sobre todo aquello que está generando mayores incertidumbres. Lo importante ahora será que el cumplimiento de la Ley no pueda suponer un quebradero de cabeza para las empresas del país. En breve empezaremos a verlo.
Esta circular externa cerraba el plazo de comentarios el 8 de marzo y está por ver si no sufre cambios antes de llegar su confirmación.
Referencias:
[1] http://blog.isecauditors.com/2016/09/aprobacion-oficial-del-marco-privacy-shield.html
[2] http://blog.isecauditors.com/2016/03/primer-borrador-de-privacy-shield.html
[3] http://blog.isecauditors.com/2016/02/privacy-shield-nuevo-marco-internacional-de-transferencia-datos.html
[4] http://blog.isecauditors.com/2016/02/por-fin-un-safe-harbour-2-0.html
Autor: Daniel Fernández Bleda - CISSP, CISM, CISA, ISO 27001 LA, CHFI, OPST/A
Global Sales Manager, Internet Security Auditors
Lo importante de esta modificación es que, por fin, la SIC pasa a tomar la decisión referente a los países en los que se "confía" para que datos de carácter personal de ciudadanos colombianos puedan ser transmitidos. La SIC hace referencia a que el artículo 26 de la Ley 1581 de 2012 regula la transferencia internacional de datos personales, para lo cual establece como regla general la prohibición de transferir datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos, salvo las excepciones que expresamente señala, y prevé que “ Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios”.
La SIC pretende dejar claro que esta circular está basada en la necesidad de establecer con claridad (hasta hoy no se hacía así, quedando la decisión ambiguamente bajo la responsabilidad de los Responsables del Tratamiento) que países cuentan con un nivel adecuado de protección de datos personales, a los cuales se podrán transferir y transmitir datos personales en atención a los mandatos de la ley.
Los estándares que define la SIC como necesarios para "confiar" si un país ofrece un nivel adecuado de protección de datos personales, a efectos de realizar una transferencia internacional de datos, se basa en 6 criterios orientados a determinar si dicho país garantiza la protección de los mismos, con base en los siguientes estándares:
- Existencia de normas aplicables al tratamiento de datos personales.
- Consagración normativa de principios aplicables al Tratamiento de datos, en otros: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
- Consagración normativa de derechos de los Titulares.
- Consagración normativa de deberes de los Responsables y Encargados.
- Existencia de medios y vías judiciales y/o administrativas para garantizar la tutela de los derechos de los Titulares y exigir el cumplimiento de la ley.
- Existencia de autoridad (es) pública (s) encargada (s) de la supervisión del Tratamiento de datos personales, del cumplimiento de la legislación aplicable y de la protección de los derechos de los titulares.
- América: Argentina, Canadá, Costa Rica, México, Perú, Uruguay
- Europa: Albania, Alemania, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, Estonia, España, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumania, Serbia, Suecia, Suiza
- Asia: República de Corea
- Oceanía: Nueva Zelanda
- África: Ninguno
La primera duda que surgirá en las empresas colombianas cuyos servicios de alojamiento de datos se encuentren en USA es ¿y ahora qué? Pues lo primero será asegurar que cuando la Transferencia de datos personales se vaya a realizar a un país que NO se encuentre en el listado anterior, corresponderá al Responsable del tratamiento verificar si ese país cumple con los estándares fijados (los 6 puntos enumerados anteriormente), caso en el cual podrá realizar la trasferencia, o, de no cumplirlos, solicitar la respectiva declaración de conformidad ante esta Superintendencia.
A parte de que la SIC exige la existencia de un contrato, acuerdo o autorización que permita la transferencia internacional de datos personales en los términos del artículo 2.2.2.25.5.2 del Decreto 1074 de 2015, si no se tiene dicho contrato, acuerdo o autorización, deberá cumplirse con alguna de las siguientes reglas:
- Informar al Titular la transmisión de datos y contar con su autorización para ello, o
- Observar lo previsto en el artículo 26 de la Ley 1581 de 2012, a saber:
- Transmitir datos personales solo a países que proporcionen niveles adecuados de protección de datos, para lo cual se deberá tener en cuenta que se cumplan los 6 requerimientos y estén en la lista de países "confiables", o
- Estar dentro de una de las excepciones establecidas en los literales contenidos en el artículo 26 de la Ley 1581 de 2012 para justificar la trasferencia y son que la:
- Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.
- Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública.
- Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.
- Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.
- Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.
- Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
- Obtener una declaración de conformidad emitida por la SIC.
Está claro que el legislador y los reguladores competentes en Protección de Datos de Colombia han hecho estos últimos 4 años lo que no se había hecho en dos décadas en materia de Datos Personales y está intentando aclarar y ayudar a marchas forzadas sobre todo aquello que está generando mayores incertidumbres. Lo importante ahora será que el cumplimiento de la Ley no pueda suponer un quebradero de cabeza para las empresas del país. En breve empezaremos a verlo.
Esta circular externa cerraba el plazo de comentarios el 8 de marzo y está por ver si no sufre cambios antes de llegar su confirmación.
Referencias:
[1] http://blog.isecauditors.com/2016/09/aprobacion-oficial-del-marco-privacy-shield.html
[2] http://blog.isecauditors.com/2016/03/primer-borrador-de-privacy-shield.html
[3] http://blog.isecauditors.com/2016/02/privacy-shield-nuevo-marco-internacional-de-transferencia-datos.html
[4] http://blog.isecauditors.com/2016/02/por-fin-un-safe-harbour-2-0.html
Autor: Daniel Fernández Bleda - CISSP, CISM, CISA, ISO 27001 LA, CHFI, OPST/A
Global Sales Manager, Internet Security Auditors