Noticias MsLegal

Reglas para la Transferencia de datos personales al exterior. ¿Realmente un obstáculo en la generación de negocios?

Para la fecha en que se escribe este documento, está a punto entrar en vigencia el “renovado” proyecto de Circular Externa de la Superintendencia de Industria y Comercio por el que se adiciona un Capítulo Tercero al título V de la Circular Única de esa entidad llamado “TRANSFERENCIADE DATOS PERSONALES A TERCEROS PAÍSES”

Se llama “renovado”, en la medida en que hace unos meses se había presentado a consideración del público un proyecto que, aunque mantenía un texto similar al que ahora se discute, registraba dos diferencias: a) Excluía a los Estados Unidos de América, como país que ofreciera adecuados estándares de protección de datos personales, es decir, se omitía mencionarlo como Puerto Seguro[1] de la información, siguiendo la posición sobre el particular ya asumida por los países de la Unión Europea y muchos latinoamericanos, como Argentina y Uruguay, al considerar, como es evidente, que ese país carece de normas que garanticen un esquema apropiado de protección de datos personales, a la vez que no posee autoridades que hagan cumplir los requerimientos sobre el particular y b) Hablaba de Transferencia[2] y Transmisión[3] de datos personales, a diferencia del documento actual que solo contempla el procedimiento de Transferencia.

La pregunta que surge es: ¿Qué implicaría que Estados Unidos de América no estuviera contemplado dentro de la lista de países considerados como Puertos Seguros de la información para efectos de la Transferencia?, únicamente que al querer realizar por un empresa colombiana una remisión de información a ese país en calidad de responsable a responsable[4], como sucederá en el caso de todos aquellos otros países como Brasil y Ecuador, que no serán listados como Puertos Seguros, debía existir, o bien la expresa autorización de los titulares de los datos o bien una declaración de conformidad[5] de la Superintendencia de Industria y Comercio.

En términos prácticos, suponiendo que la empresa A ubicada en Colombia tuviera una matriz o una aliada ubicada en Estados Unidos de América, Brasil o Ecuador, al no ser estos países considerados como puertos seguros de la información, sería requisito para el empresario colombiano obtener de los titulares de la información las autorizaciones que le permitan hacer la Transferencia de sus datos, o en su defecto, obtener una declaración de conformidad al envío de la información expedida por la Superintendencia de Industria y comercio.

Esto, aunque en principio parecía un gran obstáculo para el envío de la información, no resulta siéndolo en la medida en que, a partir de la expedición de la ley 1581 de 2012, todo tratamiento de información personal debe contar con la autorización para el efecto emitida por parte del titular de la información, en la cual, es lógico que se incluya la posibilidad de hacer Transferencias de los datos al exterior en caso de ser necesario, por parte del quien los recopila.

Por otra parte, y este si es un tema que debe interesar a toda empresa que tiene contratos vigentes o planea realizar acuerdos futuros que involucren algún tratamiento de la información por su cuenta en el exterior, es necesario tomar en consideración que el “renovado” proyecto de circular deja a una lado, de forma acertada, la referencia que antes hacía a la Transmisión de datos personales, de manera que, para el efecto, se deben seguir los lineamientos ya establecidos por la normatividad vigente, en particular los artículos 24 y 25 del decreto 1377 de 2013.

En esa medida, para poderse realizar cualquier actividad que implique una Transmisión de información, esto es envío de información de titulares colombianos hacia el exterior, como es el caso de almacenamiento o archivo información, análisis de datos, contratación de servicios de contact center, solo por mencionar algunos casos, será necesario a) Contar con la autorización del titular de la información o, en su defecto b) suscribir un contrato de Transmisión de datos personales, el cual, para su entera validez, debe contemplar los aspectos considerados como obligatorios por la normatividad.

Es de esperar, en este sentido que el empresario colombiano que contrata con extranjeros, lo haga con empresas serias que basen la prestación de sus servicios en acuerdos que incluyan importantes exigencias en materia de posibilidad de uso de la información, seguridades con las que será mantenida y confidencialidad de la misma.

En definitiva, la inclusión de Estados Unidos de América para efectos de Transferencia de la información en el “renovado” proyecto de circular, que, en realidad, no es de la totalidad del país, sino, si nos atenemos a las motivaciones de la circular, de ciertas empresas “(…) que se adhirieron al marco “Safe Harbor” o Puerto Seguro, el cual fue reemplazado en el 2016 por el marco “Privacy Shield” o Escudo de Privacidad (…)”[6] , presionada por varios sectores de la economía que creían ver vulneradas sus posiciones y la posibilidad de envío y recepción de información hacía y desde ese país, no constituye un aspecto que sea de gran trascendencia en la medida en que con las empresas que se ejecuten los procesos cumplan estándares de seguridad, confidencialidad y buen “trato” de la información.

Ahora bien, la real preocupación, la que debería tener a empresarios y gobierno trabajando de la mano, dada la apertura que esto generaría a nuevos negocios y exportación de servicios, es la consecución del grado de Puerto Seguro para Colombia, pues, para quienes todavía no se han enterado, nuestro país, hasta no obtener esta calificación será considerado en el mundo como un territorio con el que no se debe compartir información de personas naturales a menos que las autoridades de los países remitentes así lo aprueben después de un examen de la empresa receptora particular, emitiendo una declaración de conformidad al envío de los datos, situación ésta, que si constituye un obstáculo para la prestación de servicios como son los ofrecidos por contact centers y empresas de cobranza, quienes, de darse esta declaración verían ampliamente acrecentadas sus posibilidades de negocios, como ya sucedió en países que, como Argentina tuvieron un importante impulso en la prestación de sus servicios tercerizados a partir de su obtención de la declaración de puerto seguro, hace ya unos años.

 

PEDRO NOVOA SERRANO

SOCIO LEGAL

MS LEGAL

pnovoa@mscol.co



1. Puerto seguro. País u organización que acredita contar con normatividad que se adecúa a las exigencias de la reglamentación colombiana sobre protección de datos personales, proporcionando un adecuado nivel de protección a la información, de tal forma que se pueden realizar transferencias de datos personales a ese país u organización sin garantías o permisos gubernamentales adicionales.

2. Transferencia. Tiene lugar cuando el responsable y/o encargado del tratamiento envía información personal hacia un destinatario ubicado dentro o fuera del país que, al recibir dicha información, asumirá también la calidad de responsable del tratamiento.

3. Transmisión. Tratamiento de datos personales que implica la comunicación de datos para que un encargado realice un tratamiento sobre ellos en virtud de un contrato o por cuenta del responsable.

4. Responsable de la información. Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos

5. Declaración de conformidad. Pronunciamiento de la Superintendencia de Industria y Comercio o la autoridad habilitada del país determinado relacionado con la transferencia internacional que se pretende realizar por parte de un responsable y/o encargado, siempre que no se cuente con autorización del titular de los datos.

6. El listado completo de empresas se puede encontrar en la página de internet www.privacyshield.gov de la International Trade Administration del departamento de Comercio de los Estados Unidos de América.