Declaraciones de conformidad sobre transferencias internacionales de datos personales

La transferencia de datos personales se encuentra regulada en la Ley 1581 de 2012 (Régimen General De Protección de Datos) y tiene lugar cuando el responsable del tratamiento, ubicado en Colombia, envía la información o datos personales de los titulares a un destinatario, que a su vez es Responsable del tratamiento y se encuentra dentro o fuera del país.

De acuerdo con el artículo 26 de la Ley 1581, se prohíbe la transferencia de datos personales a países que no proporcionen niveles adecuados para la protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia.

Señala el mencionado artículo que esta prohibición no regirá cuando se trate de:

• Información respecto de la cual el titular haya otorgado su autorización expresa e inequívoca para la transferencia;
• Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del titular por razones de salud o higiene pública;
• Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable;
• Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad;
• Transferencias necesarias para la ejecución de un contrato entre el titular y el responsable del tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del titular;
• Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

En los casos no contemplados como excepción, la Ley 1581 facultó a la Superintendencia de Industria y Comercio para pronunciarse sobre las transferencias internacionales de datos mediante la Declaración de Conformidad.

Para solicitar una Declaración de Conformidad sobre transferencias internacionales de información personal, la compañía interesada deberá radicar una petición ante la Superintendencia de Industria y Comercio, dirigida a la Delegatura para la Protección de Datos Personales, en donde detalle y aporte lo siguiente:

Información General:

1. Nombre y finalidad de las bases de datos que contienen la información personal que será objeto de transferencia internacional.
2. Tratamiento dado a la información personal contenida en esas bases de datos.
3. Tipos de datos personales que serán objeto de transferencia internacional entre el Remitente y el Destinatario, precisar si dentro de esos datos se encuentran incorporados datos sensibles o datos de menores de edad.
4. Nombre o razón social del Destinatario de los datos personales.
5. Medidas de seguridad y confidencialidad previstas para realizar la transferencia internacional de datos personales.
6. Tratamiento que dará a la información transferida el Destinatario de los datos personales.
7. Finalidad de las bases de datos del Destinatario de los datos personales, en las que se almacenarán los datos transferidos desde Colombia.

Documentación y políticas:

1. Copia de las políticas de tratamiento de información del Remitente.
2. Copia del documento que acredite la existencia y representación legal del Destinatario de los datos personales.
3. Copia del contrato, acuerdo o documento en el que se expliquen las condiciones de la transferencia de datos personales y, en particular, las garantías respecto de la protección de los datos personales objeto de dicha transferencia internacional.
4. Copia de la Política de Tratamiento de Datos Personales o privacidad del Destinatario de los datos personales. En caso de que el Destinatario de los datos personales no tenga Política de Tratamiento de Datos Personales o privacidad, informarlo.
5. Copia de la Política de Seguridad de la Información de del Destinatario de los datos personales. En caso de que el Destinatario de los datos personales no tenga Política de Seguridad de la Información, informarlo y, en su lugar señalar las medidas técnicas, humanas y administrativas que implementará para el tratamiento de los datos personales que serán objeto de transferencia internacional.
6. Mecanismos o canales implementados por el Destinatario de los datos personales para la atención de las consultas, peticiones y reclamos de los titulares de información. En caso de que el Destinatario de los datos personales no tenga mecanismos o canales implementados para tales efectos, informarlo en la solicitud.
7. Periodo de almacenamiento de los datos en la base de datos del Destinatario.
8. Tratamiento que se dará a los datos personales una vez se cumpla la finalidad para la cual se llevará a cabo la transferencia.
9. Calidad de las personas, naturales y/o jurídicas, que accederán a los datos personales objeto de transferencia internacional en el país destinatario (por ejemplo, empleados, contratistas o subcontratistas, socios comerciales, autoridades, etc.) y copia de los modelos o formatos de las cláusulas o acuerdos de confidencialidad implementados por el Destinatario de los datos personales.
10. Copia de la ley de protección de datos personales del país destinatario. Si el país destinatario no tiene ley de protección de datos personales, informarlo en la solicitud de declaración de conformidad.
11. Copia de la ley o norma mediante la cual se otorgan las facultades o funciones a la autoridad de protección de datos personales del país destinatario, (si tiene autoridad de protección de datos personales) o quien haga sus veces. Lo anterior, en caso de que no se encuentren tales facultades en la ley de protección de datos personales del país destinatario o que la misma no las contenga todas. sí en el país destinatario no hay autoridad de protección de datos personales o alguien que haga sus veces, informarlo en la solicitud de declaración de conformidad.
12. Último informe o reporte publicado por la autoridad de protección de datos personales del país destinatario, o quien haga sus veces, para rendir cuentas sobre el cumplimiento de sus funciones. si la autoridad de protección de datos personales o quien haga sus veces en el país destinatario no publica ningún reporte, informarlo en la solicitud de declaración de conformidad.
13. Mecanismos que existen en el país destinatario para garantizar la protección de los datos personales de los titulares de información, las autoridades administrativas y/o judiciales ante las cuales los titulares pueden reclamar, denunciar y/o demandar la protección de sus derechos, y el carácter gratuito u oneroso de tales mecanismos. Se deben remitir los soportes que acrediten esta información.
14. Cualquier otra información y documentos que permitan entender la operación que se pretende realizar

Países que cuentan con un nivel adecuado de protección de datos personales

Teniendo en cuenta los estándares señalados por la Superintendencia la circular 005 del año 2017, garantizan un nivel adecuado de protección de datos personales los siguientes países: Alemania; Austria: Bélgica; Bulgaria; Chipre: Costa Rica; Croacia; Dinamarca; Eslovaquia; Eslovenia; Estonia; España; Estados Unidos de América; Finlandia; Francia; Grecia; Hungría; Irlanda; Islandia; Italia; Letonia; Lituania; Luxemburgo; Malta; México; Noruega; Países Bajos; Perú; Polonia; Portugal; Reino Unido; República Checa; República de Corea; Rumania; Serbia; Suecia; y los países que han sido declarados con nivel adecuado de protección por la Comisión Europea.

En conclusión, las solicitudes de declaración de conformidad deberán ser justificadas de manera amplia y completa aportando la documentación necesaria conforme a los requisitos establecidos y en caso de que el responsable del tratamiento realicé transferencias internacionales sin contar con la declaración de conformidad previa, puede ser sujeto de una investigación administrativa por parte de la Superintendencia De Industria y Comercio que conforme al artículo 23 de La Ley 1581de 2012 tiene la facultad de imponer multas equivalentes a los dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción.