¿Cómo entender la regulación sobre la Transferencia Internacional de Datos Personales en Colombia?
May10

¿Cómo entender la regulación sobre la Transferencia Internacional de Datos Personales en Colombia?

No nos digamos mentiras, la regulación colombiana sobre transferencia internacional de datos personales es un completo galimatías, donde encontramos diferentes opiniones, interpretaciones sobre la manera de aplicación de dicha norma, y en mi opinión, interpretaciones erradas de la Superintendencia de Industria y Comercio, tanto en circulares como en conceptos, cuando se confunde con los elementos de la transmisión de datos personales, así como una leve contradicción con lo que establece la ley 1581 de 2012, debido a que por regla general, la transferencia internacional se encuentra prohibida, y con la regulación, parece que más bien la prohibición, es la excepción. No obstante, esto  puede darse precisamente por la complejidad que comporta el flujo de datos transfronterizos. Sin embargo, este post, no tiene como propósito de revisar que esta bien o no, sino más bien, aclarar ideas sobre cuales son las opciones que a hoy, tienen las organizaciones para la transferencia internacional de datos personales. Revisemos el siguiente esquema, que es el que propone la Superintendencia, para la legalidad de la transferencia internacional de datos personales.       La organización deberá revisar si el país donde se realizará la transferencia se encuentra dentro de la lista de países seguros, (esta lista se encuentra en la circular 005 de 2017). Si no se encuentra en dicha lista, deberá revisar si la transferencia se encuentra dentro del listado de excepciones, contempladas en el artículo 26 de la Ley 1581 de 2012. Si tampoco se encuentra en el listado de excepciones, deberá revisar si el país cuenta con los requisitos del numeral 3.1 de la circular 005 de 2017, esto es: la existencia de normas aplicables al tratamiento de datos personales, consagración normativa de principios aplicables al tratamiento de datos personales, consagración normativa de los derechos de los titulares, consagración normativa de los encargados y responsables del tratamiento, existencia de medios judiciales y administrativos para garantizar la tutela efectiva de los derechos de los titulares y exigir el cumplimiento de la ley, existencia de autoridades publicas encargadas de la supervisión del tratamiento de datos personales, del cumplimiento de la legislación aplicable, y de protección de los derechos de los titulares que ejerzan de manera efectiva sus funciones. En caso de que no cumpla con las anteriores condiciones, deberá entonces la organización, solicitar declaración de conformidad ante la Superintendencia de Industria y Comercio. Sin embargo, si no quiere solicitar declaración de conformidad ante la SIC, esta misma entidad, lanza un salvavidas a las organizaciones, y les dice que pueden realizar un contrato de transferencia de datos personales, o algún instrumento jurídico en el cual señalen las condiciones que regirán la transferencia internacional de...

Read More
¿Cómo afecta a las empresas colombianas, el nuevo reglamento europeo de protección de datos personales?
May02

¿Cómo afecta a las empresas colombianas, el nuevo reglamento europeo de protección de datos personales?

Mucho se ha especulado sobre el nuevo reglamento general de protección de datos personales europeo, en adelante GDPR (siglas en inglés), en especial, sobre las nuevas obligaciones a las empresas establecidas o no, en la Unión Europea, así como derechos y facultades de los titulares de los datos, pero también, por la extraterritorialidad de la norma. El nuevo reglamento entró en vigor el 25 de mayo de 2016, sin embargo, empieza a ser de obligatorio cumplimiento para las organizaciones a partir del 25 de mayo de 2018, de allí, que el nerviosismo se haya apoderado en muchas organizaciones, que aún no están preparadas para esta nueva normativa. Entre tanto, una de las novedades que trae consigo este reglamento, es la aplicación extraterritorial de la norma, al respecto, el numeral 2, del artículo 3 del GDPR establece: ” (…2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o el control de su comportamiento, en la medida en que este tenga lugar en la Unión” …) Aplicación del GDPR a Empresas Colombianas Conforme a lo anterior, este reglamento le puede aplicar a una empresa colombiana, así no tenga establecimiento de comercio en la Unión Europea, si: Ofrece bienes y servicios en la Unión Europea. (ej.: página web que ofrece bienes y servicios a ciudadanos europeos) Realiza actividades de tratamiento de datos personales, relacionadas con el control del comportamiento de ciudadanos de la Unión Europea. (ej.: rastreo de cookies, ip)  Uno de los mensajes claves de este nuevo reglamento es que no importa la ubicación de la empresa, si esta empresa, realiza el tratamiento de datos personales de ciudadanos de la Unión Europea, aplica dicho reglamento.  Por ejemplo, si una empresa colombiana tiene una tienda online, que despacha pedidos para Europa, o una página web que brinda cursos virtuales pagos o gratuitos y ciudadanos europeos acceden a dichos servicios. ¿Qué implicaciones tiene, cumplir el GDPR en las empresas colombianas? Adopción del GDPR Este reglamento establece una serie de obligaciones a las empresas en materia de protección de datos personales, que van mucho más allá de las obligaciones impuestas en la legislación colombiana, por ejemplo, las organizaciones deben realizar de manera obligatoria, evaluaciones de impacto cuando el tratamiento representa un riesgo alto para el derecho de las personas. Pero a su vez, establece nuevos derechos para los titulares de los datos, los cuales se traducen...

Read More
CANAL DE YOUTUBE DE PROTECCIÓN DE DATOS PERSONALES
Mar17

CANAL DE YOUTUBE DE PROTECCIÓN DE DATOS PERSONALES

Estimados Los invitamos a que se suscriban al Canal de YouTube de Escuela de Privacidad, y acceda a todos los videos disponibles, relativos a la Protección de Datos Personales. Puedes ingresar a: https://www.youtube.com/channel/UCJ_tBlLVuKf95ZVfujunF6A?view_as=subscriber y dar clic en suscribirse Muchas...

Read More
La autorización de datos sensibles no se puede dar mediante conductas inequívocas
Ene14

La autorización de datos sensibles no se puede dar mediante conductas inequívocas

La Superintendencia de Industria y Comercio, a través del Concepto 17-364624 manifestó que dada la naturaleza de los datos personales sensibles, la autorización para el tratamiento de los mismos, debe ser de manera explícita, y por lo tanto, no se entiende probada la autorización mediante conductas inequivocas, al respecto, manifiesta: “No obstante lo anterior y en aras de dar solución a su interrogante, para el caso donde se lleve a cabo algún tratamiento de datos sensibles, la autorización debe ser explícita, es decir, admite únicamente el otorgamiento del consentimiento de forma escrita u oral y en consecuencia, no es factible la obtención de la referida autorización mediante conductas inequívocas”. Es decir, si una persona voluntariamente ingresó sus datos personales sensibles a un formulario, ese hecho, no constituye prueba alguna para determinar que la persona otorgó la autorización para el tratamiento de sus datos personales. La Superintendencia, también recuerda el principio de necesidad, es decir,  los datos personales registrados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos de que se trate, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo de la base de datos. Por último, la Superintendencia reitera la calidad de Responsable de la información que adquieren las redes sociales, y que por tanto, deben cumplir con el Régimen colombiano de Protección de Datos Personales. Comentarios La Superintendencia de industria y comercio recuerda a través de este concepto, lo consagrado en el literal a) del artículo 6 de la Ley 1581 de 2012, por regla general está prohibido el tratamiento de datos sensibles, salvo que el titular haya dado su autorización explícita a dicho tratamiento, o no ser que por ley, no sea necesario otorgar dicha autorización. Por otro lado, la Superintendencia acude al principio de necesidad, para explicar la duración del dato personal en cabeza del responsable. En este sentido, es importante recordar la relevancia de otros principios que han sido desarrollados por la jurisprudencia y que no se encuentran enunciados en la ley 1581 de 2012, como es el principio de necesidad, pero que también encontramos el principio de caducidad, principio de individualidad, principio de la incorporación, principio de integridad en el manejo de los datos, principio de utilidad, de allí la importancia de analizar la ley, a la luz de la jurisprudencia de la Corte Constitucional sobre estos temas, y en el especial, a través de la sentencia de constitucionalidad C-748 de 2011. Finalmente, la Superintendencia de Industria y Comercio, reitera nuevamente que las plataformas de redes sociales, deben cumplir con la ley 1581 de...

Read More
Nuevo Blog: Heidy Balanta
Dic30

Nuevo Blog: Heidy Balanta

Estimados, tengo el gusto de compartir con ustedes, el nuevo Blog de mi autoría, donde debatiremos temas relativos a la Protección de Datos Personales, espero puedan compartir nuestras publicaciones Muchas Gracias! www.heidybalanta.com 

Read More
La figura del Oficial de Protección de Datos Personales en el contexto Colombiano
Oct21

La figura del Oficial de Protección de Datos Personales en el contexto Colombiano

La legislación colombiana en protección de datos personales no menciona expresamente la figura del Oficial de Protección de datos personales, sin embargo, tácitamente se ha entendido así, debido a las características que la misma ley ha asignado y por el derecho comparado que así cataloga a dicho rol, responsable de hacer cumplir con el programa de protección de datos personales al interior de la Organización. NORMATIVA Existen dos artículos del Decreto 1377 de 2013, donde mencionan las características del Oficial de Protección de Datos Personales. Artículo 23, Decreto 1377 de 2013. “Todo Responsable y Encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el presente decreto”  Artículo 27, Decreto 1377 de 2013. Políticas internas efectivas. En cada caso, de acuerdo con las circunstancias mencionadas en los numerales 1, 2, 3 y 4 del artículo 26 anterior, las medidas efectivas y apropiadas implementadas por el Responsable deben ser consistentes con las instrucciones impartidas por la Superintendencia de Industria y Comercio. Dichas políticas deberán garantizar: 1. La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012 y este decreto. Conforme a lo anterior, el Decreto establece que puede ser una “persona” o “área” quien puede cumplir o hacer las veces de oficial de protección de datos personales. También, dicho decreto menciona la necesidad de la existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción de las políticas sobre el tratamiento de datos personales, se debe advertir acá, que lo pretendido por el legislador es adecuar la ley a un componente presupuestal y administrativo de la organización, esto significa qué, probablemente una organización con un tamaño pequeño no tendrá presupuesto para contratar a una persona encargada de ser oficial de protección de datos personales, pero si puede asignar a una de sus áreas o de los roles que tiene, funciones relativas al rol de Oficial de Protección de Datos Personales. Sin embargo, una organización grande, o que maneje información altamente sensible, o un número ingente de datos personales, aunado con el daño que podría ocasionar la exposición de dichos a sus titulares, irremediablemente se debe sugerir un área o una persona dedicada exclusivamente a cumplir con las funciones de Oficial de Protección de Datos Personales. DOCTRINA Ahora, la Superintendencia de Industria y Comercio, si ha reconocida de forma doctrinaria la figura del Oficial de Protección de...

Read More