Mediante concepto con Radicado Número 18- 154131, la Superintendencia de Industria y Comercio, resuelve la siguiente consulta:

“(…) Teniendo en cuenta la nueva regulación de la Unión Europea (General Data Protection Regulation- GDPR), que entró en vigor desde el 25 de mayo de 2018, es mi interés conocer según concepto de la SIC; esta nueva regulación aplica en Colombia y en tal evento a que empresas aplicaría?”

Al respecto, la Oficina Asesora Jurídica de la Superintendencia, establece que el Reglamento General de Protección de Datos de la Unión Europea, es fuente auxiliar e instrumento interpretativo del Régimen de Protección de Datos Personales, precisando en tal sentido, que “podrá acudirse al referido cuerpo normativo únicamente en aquellas circunstancias en las cuales se pretenda interpretar el contenido de la Ley 1581 de 2012.”

Dicho concepto, también precisa, que solo serán de estricto cumplimiento por parte de las organizaciones, aquellas normas que expida el Congreso de la República, por lo tanto, establece que las empresas sólo deberán observar lo establecido en la Ley 1581 de 2012.

En este último aspecto, resulta interesante la posición de la Superintendencia como autoridad de protección de datos personales del país, teniendo en cuenta que el GDPR estableció la extraterritorialidad de la norma, en específico, el numeral 2, del artículo 3, establece:

” (…2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

  1. la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
  2. el control de su comportamiento, en la medida en que este tenga lugar en la Unión” …)

Sobre este tema, ya habíamos tenido la oportunidad de realizar nuestro análisis (nota abajo). Resultará interesante las siguientes posiciones doctrinales de la SIC que se generen, debido a que en efecto, algunas empresas colombianas, SI deben sujetarse al GDPR, si no quieren perder mercado Europeo.