Decreto 255 de 2021 - Datos personales

El pasado 23 de febrero de 2022 el Ministerio de Comercio, Industria y Turismo emitió el Decreto 255 de 2022, por medio del cual reglamentó lo correspondiente sobre Normas Corporativas Vinculantes para la certificación de buenas prácticas en protección de datos personales y su transferencia a terceros países.

El Decretó tiene como objetivo establecer las condiciones mínimas de las Normas Corporativas Vinculantes, las cuales deben disponer las garantías, mecanismos y autorizaciones en materia de protección de datos, para realizar transferencias de datos personales a un responsable que se encuentre ubicado por fuera del territorio colombiano y que haga parte de un mismo grupo empresarial.

Así entonces, al incorporar las Normas Corporativas Vinculantes, los Grupos empresariales, no tendrán la obligación de seguir los parámetros establecidos en el artículo 26 de la Ley 1581 de 2012, dentro de las cuales se encuentra la responsabilidad de transmitir datos personales solo a países que proporcionen niveles adecuados de protección, los cuales ya han sido determinados taxativamente por la Superintendencia de Industria y Comercio. En cambio, los Grupos empresariales harán uso únicamente de sus políticas internas para la transferencia de datos personales a otros países, simplificando de tal modo tramites internos en esta materia.

A continuación, le mencionamos algunos indicadores que se dispusieron para otorgar la certificación de buenas prácticas empresariales en protección de datos. 

Principios que deben acatar las Normas Corporativas Vinculantes

• Tratamiento de datos lícita, leal y transparente.
• Fines de recopilación de datos explícitos y legítimos
• Actualización constante de datos
• Conservación de datos que permitan identificar al titular.
• El responsable de tratamiento de datos demostrará el cumplimiento de las normas del Decreto 255 de 2022.
• Obligatorio cumplimiento para todo el grupo empresarial

Requisitos generales que deben contener las Normas Corporativas vinculantes:

• Medidas adoptadas para impedir las transferencias a otras entidades que no pertenecen al grupo empresarial.
• Los procedimientos para que los titulares presenten consultas o reclamos y estos sean atendidos oportunamente.
• La adopción de medidas de responsabilidad demostrada para comprobar que se han implementado medidas eficientes para cumplir las normas corporativas vinculantes.
• Los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las políticas y para notificar esas modificaciones a la Superintendencia de Industria y Comercio.

Sanción solidaria:

Las empresas del grupo empresarial y cada uno de sus miembros serán solidariamente responsables del cumplimiento de las Normas Corporativas Vinculantes. En consecuencia, la Superintendencia de Industria y Comercio puede requerir, investigar y sancionar al responsable del tratamiento de datos establecido en el territorio colombiano, por las infracciones que cometa cualquiera de los miembros del grupo empresarial.

Presentación de aplicaciones para la certificación:

Los grupos empresariales que quieran acogerse a las Normas Corporativas Vinculantes deberán presentarlas ante la Superintendencia de Industria y Comercio para su aprobación. Esta entidad publicará en su página web, todas las especificaciones que deberán contener las Normas Corporativas Vinculantes y en dicha publicación establecerá la fecha a partir de la cual los interesados podrán presentar las solicitudes para su revisión respectiva.