¿Cómo entender la regulación sobre la Transferencia Internacional de Datos Personales en Colombia?
May10

¿Cómo entender la regulación sobre la Transferencia Internacional de Datos Personales en Colombia?

No nos digamos mentiras, la regulación colombiana sobre transferencia internacional de datos personales es un completo galimatías, donde encontramos diferentes opiniones, interpretaciones sobre la manera de aplicación de dicha norma, y en mi opinión, interpretaciones erradas de la Superintendencia de Industria y Comercio, tanto en circulares como en conceptos, cuando se confunde con los elementos de la transmisión de datos personales, así como una leve contradicción con lo que establece la ley 1581 de 2012, debido a que por regla general, la transferencia internacional se encuentra prohibida, y con la regulación, parece que más bien la prohibición, es la excepción. No obstante, esto  puede darse precisamente por la complejidad que comporta el flujo de datos transfronterizos. Sin embargo, este post, no tiene como propósito de revisar que esta bien o no, sino más bien, aclarar ideas sobre cuales son las opciones que a hoy, tienen las organizaciones para la transferencia internacional de datos personales. Revisemos el siguiente esquema, que es el que propone la Superintendencia, para la legalidad de la transferencia internacional de datos personales.       La organización deberá revisar si el país donde se realizará la transferencia se encuentra dentro de la lista de países seguros, (esta lista se encuentra en la circular 005 de 2017). Si no se encuentra en dicha lista, deberá revisar si la transferencia se encuentra dentro del listado de excepciones, contempladas en el artículo 26 de la Ley 1581 de 2012. Si tampoco se encuentra en el listado de excepciones, deberá revisar si el país cuenta con los requisitos del numeral 3.1 de la circular 005 de 2017, esto es: la existencia de normas aplicables al tratamiento de datos personales, consagración normativa de principios aplicables al tratamiento de datos personales, consagración normativa de los derechos de los titulares, consagración normativa de los encargados y responsables del tratamiento, existencia de medios judiciales y administrativos para garantizar la tutela efectiva de los derechos de los titulares y exigir el cumplimiento de la ley, existencia de autoridades publicas encargadas de la supervisión del tratamiento de datos personales, del cumplimiento de la legislación aplicable, y de protección de los derechos de los titulares que ejerzan de manera efectiva sus funciones. En caso de que no cumpla con las anteriores condiciones, deberá entonces la organización, solicitar declaración de conformidad ante la Superintendencia de Industria y Comercio. Sin embargo, si no quiere solicitar declaración de conformidad ante la SIC, esta misma entidad, lanza un salvavidas a las organizaciones, y les dice que pueden realizar un contrato de transferencia de datos personales, o algún instrumento jurídico en el cual señalen las condiciones que regirán la transferencia internacional de...

Read More
¿Cómo afecta a las empresas colombianas, el nuevo reglamento europeo de protección de datos personales?
May02

¿Cómo afecta a las empresas colombianas, el nuevo reglamento europeo de protección de datos personales?

Mucho se ha especulado sobre el nuevo reglamento general de protección de datos personales europeo, en adelante GDPR (siglas en inglés), en especial, sobre las nuevas obligaciones a las empresas establecidas o no, en la Unión Europea, así como derechos y facultades de los titulares de los datos, pero también, por la extraterritorialidad de la norma. El nuevo reglamento entró en vigor el 25 de mayo de 2016, sin embargo, empieza a ser de obligatorio cumplimiento para las organizaciones a partir del 25 de mayo de 2018, de allí, que el nerviosismo se haya apoderado en muchas organizaciones, que aún no están preparadas para esta nueva normativa. Entre tanto, una de las novedades que trae consigo este reglamento, es la aplicación extraterritorial de la norma, al respecto, el numeral 2, del artículo 3 del GDPR establece: ” (…2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o el control de su comportamiento, en la medida en que este tenga lugar en la Unión” …) Aplicación del GDPR a Empresas Colombianas Conforme a lo anterior, este reglamento le puede aplicar a una empresa colombiana, así no tenga establecimiento de comercio en la Unión Europea, si: Ofrece bienes y servicios en la Unión Europea. (ej.: página web que ofrece bienes y servicios a ciudadanos europeos) Realiza actividades de tratamiento de datos personales, relacionadas con el control del comportamiento de ciudadanos de la Unión Europea. (ej.: rastreo de cookies, ip)  Uno de los mensajes claves de este nuevo reglamento es que no importa la ubicación de la empresa, si esta empresa, realiza el tratamiento de datos personales de ciudadanos de la Unión Europea, aplica dicho reglamento.  Por ejemplo, si una empresa colombiana tiene una tienda online, que despacha pedidos para Europa, o una página web que brinda cursos virtuales pagos o gratuitos y ciudadanos europeos acceden a dichos servicios. ¿Qué implicaciones tiene, cumplir el GDPR en las empresas colombianas? Adopción del GDPR Este reglamento establece una serie de obligaciones a las empresas en materia de protección de datos personales, que van mucho más allá de las obligaciones impuestas en la legislación colombiana, por ejemplo, las organizaciones deben realizar de manera obligatoria, evaluaciones de impacto cuando el tratamiento representa un riesgo alto para el derecho de las personas. Pero a su vez, establece nuevos derechos para los titulares de los datos, los cuales se traducen...

Read More
CANAL DE YOUTUBE DE PROTECCIÓN DE DATOS PERSONALES
Mar17

CANAL DE YOUTUBE DE PROTECCIÓN DE DATOS PERSONALES

Estimados Los invitamos a que se suscriban al Canal de YouTube de Escuela de Privacidad, y acceda a todos los videos disponibles, relativos a la Protección de Datos Personales. Puedes ingresar a: https://www.youtube.com/channel/UCJ_tBlLVuKf95ZVfujunF6A?view_as=subscriber y dar clic en suscribirse Muchas...

Read More
Diferencias entre transmisión y transferencia de datos personales
Ene14

Diferencias entre transmisión y transferencia de datos personales

En Colombia, la entrega de bases de datos personales a terceros se encuentra regulado por dos figuras, la transferencia de datos personales y la transmisión de datos personales. Dependiendo del tipo de actividad, finalidad, características de las partes, entre otros aspectos, determinará el tipo de figura que estamos haciendo referencia. En el siguiente gráfico, se plasma de manera sencilla, las características de las figuras de transmisión y transferencia:   A continuación, presentamos un esquema de las principales características y sus diferencias CARACTERÍSTICA TRANSMISIÓN TRANSFERENCIA Tratamiento de datos ·El responsable determina cuál será el tratamiento de los datos personales por parte del encargado ·El responsable receptor determina el tratamiento que le dará a los datos personales que le ha entregado el responsable emisor. Formalidad ·Las partes deben celebrar contrato de transmisión de datos personales ·Las partes deben celebrar contrato de transferencia de datos personales· Autorización ·Si el titular ha dado la autorización para la transmisión de datos personales, no es necesario el contrato de transmisión.·Se presume que el responsable debe obtener la autorización del titular, a no ser que el encargado en virtud del contrato celebrado, tenga como objeto recolectar la autorización. ·Está prohibida a países que no proporcionen niveles adecuados de protección de datos, a no ser que el titular haya dado su autorización expresa Restricciones ·La ley no establece restricción alguna, no obstante, se debe tener en cuenta que para que opere se deben dar los supuestos anteriormente descritos. ·No se puede realizar la transferencia sino se enmarca dentro en las causales de excepción, sino se encuentra en la lista de países seguros, caso en el cual, deberá solicitar la declaración de conformidad aten la SIC. No obstante, la SIC deja abierta la posibilidad de presumir que tiene declaración de conformidad dicha transferencia, en caso de que las partes hayan celebrado contrato donde establezcan las condiciones del...

Read More
La autorización de datos sensibles no se puede dar mediante conductas inequívocas
Ene14

La autorización de datos sensibles no se puede dar mediante conductas inequívocas

La Superintendencia de Industria y Comercio, a través del Concepto 17-364624 manifestó que dada la naturaleza de los datos personales sensibles, la autorización para el tratamiento de los mismos, debe ser de manera explícita, y por lo tanto, no se entiende probada la autorización mediante conductas inequivocas, al respecto, manifiesta: “No obstante lo anterior y en aras de dar solución a su interrogante, para el caso donde se lleve a cabo algún tratamiento de datos sensibles, la autorización debe ser explícita, es decir, admite únicamente el otorgamiento del consentimiento de forma escrita u oral y en consecuencia, no es factible la obtención de la referida autorización mediante conductas inequívocas”. Es decir, si una persona voluntariamente ingresó sus datos personales sensibles a un formulario, ese hecho, no constituye prueba alguna para determinar que la persona otorgó la autorización para el tratamiento de sus datos personales. La Superintendencia, también recuerda el principio de necesidad, es decir,  los datos personales registrados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos de que se trate, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo de la base de datos. Por último, la Superintendencia reitera la calidad de Responsable de la información que adquieren las redes sociales, y que por tanto, deben cumplir con el Régimen colombiano de Protección de Datos Personales. Comentarios La Superintendencia de industria y comercio recuerda a través de este concepto, lo consagrado en el literal a) del artículo 6 de la Ley 1581 de 2012, por regla general está prohibido el tratamiento de datos sensibles, salvo que el titular haya dado su autorización explícita a dicho tratamiento, o no ser que por ley, no sea necesario otorgar dicha autorización. Por otro lado, la Superintendencia acude al principio de necesidad, para explicar la duración del dato personal en cabeza del responsable. En este sentido, es importante recordar la relevancia de otros principios que han sido desarrollados por la jurisprudencia y que no se encuentran enunciados en la ley 1581 de 2012, como es el principio de necesidad, pero que también encontramos el principio de caducidad, principio de individualidad, principio de la incorporación, principio de integridad en el manejo de los datos, principio de utilidad, de allí la importancia de analizar la ley, a la luz de la jurisprudencia de la Corte Constitucional sobre estos temas, y en el especial, a través de la sentencia de constitucionalidad C-748 de 2011. Finalmente, la Superintendencia de Industria y Comercio, reitera nuevamente que las plataformas de redes sociales, deben cumplir con la ley 1581 de...

Read More