Normas Corporativas Vinculantes NVC para transferencia de datos personales
¿DEBEN REGIRSE POR UNAS NORMAS CORPORATIVAS VINCULANTES (NVC)?
Se expidió el Decreto 255 de 2022 por medio del cual el Ministerio Comercio, Industria y Turismo regula las Normas Corporativas Vinculantes NCV, mediante las cuales los Responsables del Tratamiento de datos Personales que hacen parte de un grupo empresarial, podrán certificar que cuentan con buenas prácticas frente a la protección de la información y su transferencia a terceros países ante la Superintendencia de Industria y Comercio.
Aquí te contamos que son las Normas Corporativas Vinculantes NCV y algunos aspectos relevantes
Son las políticas o códigos de conducta implementadas por los Responsables del Tratamiento ubicados en Colombia para realizar transferencias internacionales de datos personales a otro Responsable que se encuentre ubicado fuera del país y que hace parte de un mismo grupo empresarial. características:
Las Normas Corporativas Vinculantes NCV deberán ser aprobadas por la Superintendencia de Industria y Comercio (SIC) quien validará que:
- Sean jurídicamente vinculantes y se apliquen a todos los miembros del mismo grupo de empresas
- Contener los datos de contacto de cada una de las empresas que conforman el grupo empresarial
- Incluir las finalidades de las transferencias, forma de realizar la transferencia y país a los cuales se están realizando
- Hacer referencia a los derechos de los titulares de la información
- Indicar los procesos en los que deben ser aplicados los principios generales en materia de tratamiento de datos personales
- Aplicar medidas encaminadas a garantizar la seguridad
- Los requisitos establecidos respecto a la transferencia de datos
IMPORTANTE: Las empresas del grupo empresarial y cada uno de sus miembros serán solidariamente responsables del cumplimiento de las NCV. Por tanto, la SIC puede requerir, investigar y sancionar al responsable del tratamiento de datos establecido en el territorio colombiano, por las infracciones que cometa cualquiera de los miembros del grupo empresarial.
Las Normas Corporativas Vinculantes NCV sólo estarán vigentes dentro de la empresa a partir del momento en que la SIC las apruebe
TEN EN CUENTA…
Ámbito de aplicación de la norma
Las Normas Corporativas Vinculantes son de obligatorio cumplimiento para el grupo empresarial que realice transferencia o conjunto de transferencias de datos personales a un responsable de dicho grupo, fuera del territorio colombiano, salvo que el grupo empresarial aplique otros mecanismos de transferencia de datos establecidos en la legislación colombiana.
En concepto de MS Legal, según la interpretación de la normatividad vigente en conjunto con la nueva regulación, las normas corporativas vinculantes no se convierten en un requisito para realizar transferencia de datos personales a países considerados puertos seguros. No obstante esto, y ante la zona gris que deja la redacción de la norma, estaremos en contacto con la SIC para tener mayor claridad, de tal manera que sobre este aspecto esperamos tener una conclusión en el próximo boletín
REGLA GENERAL
En Colombia está permitida la transferencia internacional de datos personales de cualquier tipo a países que proporcionen niveles adecuados de protección de datos, la SIC establece los estándares para fijar los niveles adecuados de protección de datos. Algunos países que cumplen con estos estándares son:
Alemania; Australia, Austria; Bélgica; Bulgaria; Chipre; Costa Rica; Croacia; Dinamarca; Eslovaquia; Eslovenia; Estonia; España; Estados Unidos de América; Finlandia; Francia; Grecia; Hungría; Irlanda; Islandia; Italia; Japón; Letonia; Lituania; Luxemburgo; Malta; México; Noruega; Países Bajos; Perú; Polonia; Portugal; Reino Unido; República Checa; República de Corea; Rumania; Serbia; Suecia; y los países que han sido declarados con el nivel adecuado de protección por la Comisión Europea.
EXCEPCIONES A LA REGLA GENERAL
Conforme a lo establecido en el artículo 26 de la Ley 1581 de 2012, es posible realizar transferencia internacional de datos personales aun cuando los países receptores no se consideren puertos seguros en la medida en que, entre otras cosas:
- El Titular de los datos haya otorgado su autorización.
- Sean transferencias bancarias o bursátiles, conforme a la legislación aplicable.
- Sean necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales. Debe contar con la autorización del Titular
- Transferencias acordadas en el marco de tratados internacionales.
PUBLICACIÓN EN PÁGINA WEB
- La Superintendencia de Industria y Comercio publicará en su página web, todas las especificaciones que deberán contener las Normas Corporativas Vinculantes y en dicha publicación establecerá la fecha a partir de la cual los interesados podrán presentar las solicitudes para su revisión respectiva
- El grupo empresarial que cuente con aprobación de las Normas Corporativas Vinculantes, deberá informar tal situación en su página web
Comments are closed.
Desarrollado por Connexxio Media