Nuestra opinión: Proyecto de Circular Transferencia Internacional de Datos Personales

Ampliación, fecha de registro de Bases de Datos hasta Enero de 2018
30 mayo, 2017
La figura del Oficial de Protección de Datos Personales
21 octubre, 2017

Nuestra opinión: Proyecto de Circular Transferencia Internacional de Datos Personales

Para entender el problema de fondo, es importante primero hacer una precisión para la adecuada interpretación de la norma colombiana en protección de datos personales, y es precisamente la diferencia entre transmisión internacional de datos personales y transferencia internacional de datos personales.

La transmisión internacional de datos personales, la ley lo define como el tratamiento de datos personales que implica la comunicación de los mismos fuera del territorio de Colombia a un  encargado por cuenta del responsable. Para este caso, la ley establece que no es necesario informarle al titular, ni contar con su consentimiento, si previamente las partes tienen un contrato de transmisión de datos personales.  En el caso anterior, podemos tener varios ejemplos, los principales pueden ser entre otros, almacenamiento en la nube.

Otro aspecto, que es el que se ocupa la Superintendencia en este proyecto de circular, es de las transferencias internacionales de datos personales, según la ley, tienen lugar, cuando el responsable o encargado ubicado en Colombia, envía la información o datos personales a un receptor que a su vez es responsable del tratamiento y se encuentra fuera del país.  En este caso, es importante diferenciarse de la figura anterior, (transmisión) pues acá se están relacionando dos Responsables, es decir, el tercero que se encuentra fuera de colombia, va a utilizar la información para sus propios fines, y no para los fines que diga la empresa que está ubicada en Colombia, mejor dicho, esta base de datos, ya pasa a ser responsabilidad entera de la empresa ubicada fuera de colombia.

Con la precisión anterior, el decreto 1377 de 2013 que reglamentó la ley 1581 de 2012, estableció por regla general, la prohibición de la transferencia internacional de datos personales, a países que no ofrecen un nivel adecuado de protección de datos personales. Sin embargo esta prohibición no rige los casos en que exista la autorización del titular para la transferencia, cuando sean datos de carácter médico y así lo requiera el tratamiento, por razones de salud o higiene pública, cuando sean transferencias bancarias o bursátiles, cuando sean transferencias acordadas en el marco de tratados internacionales, transferencias necesarias para la ejecución de un contrato entre el titular y responsable, o para la ejecución de medidas precontractuales, siempre y cuando se cuente con la autorización del titular y transferencias legalmente exigidas para la salvaguardia del interes público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

De acuerdo a lo anterior, y para los casos que no están contemplados dentro de las excepciones, le corresponde a la SIC proferir declaración de conformidad.

PROBLEMÁTICA CON EL PRIMER PROYECTO DE CIRCULAR

El primer proyecto de circular, desde el punto de vista jurídico y legal, era excelente, reguló lo que tenía que regular, estableciendo una lista de países que ofrecen nivel adecuado de protección de datos personales, excluyendo a Estados Unidos, toda vez que, no cumple con los requerimientos “legales” para ser un país con un nivel adecuado de protección, no tiene una ley especial, no tiene una autoridad especial, que proteja los datos personales, etc. No obstante, la discusión, se volvió intensa entre grupos de presión, en especial, gremios de empresarios, empresas multinacionales de software, donde manifiestan su inconformismo, lo cual, generó de hecho un debate a nivel nacional, toda vez que se interpretó como que se cerraba o creaban barreras a la economía digital, y que ahora en adelante, ya no se podía enviar información a otros países. Como apunte personal, creo que partían de un absoluto desconocimiento y errada interpretación de la ley, debe tenerse en cuenta, que el modelo que implementó colombia, es como funciona en el resto de países, salvo algunas excepciones.

Posterior a eso, el proyecto de circular fue retirado por la SIC, e informó que crearía grupos de trabajo para debatir y generar un nuevo proyecto de circular, sin embargo, en la realidad, esto nunca se dio, o por lo menos, si realizaron grupos de trabajo, fue a puerta cerrada, toda vez que no informaron a la sociedad civil cuando iniciarian estas reuniones.

PROBLEMÁTICA CON  EL PROYECTO DE CIRCULAR ACTUAL

 El proyecto de circular actual, cedió ante los grupos de presión, e incluyó a Estados Unidos y República de Corea, como países que ofrecen nivel adecuado de protección de datos personales, por supuesto, raya con la realidad. Sin duda, esto no ha caído bien en algunos sectores académicos y gremios jurídicos, pero para los gremios empresariales fue positivo, y se sienten a gusto con este nueva propuesta de marco normativo.

Una de los aspectos positivos “en principio”, es que el proyecto deja claro que el simple transito transfronterizo o redirección de datos no comporta una transferencia de datos a terceros países, y por otro  lado, creo la figura del contrato de transferencia internacional de datos personales, el cual, si las partes lo llegan a suscribir, no es necesario solicitar la declaración de conformidad ante la SIC, sino, simplemente comunicarle a la superintendencia.   De hecho el Observatorio de Protección de Datos Personales Ciro Angarita de la Universidad de los Andes https://twitter.com/GECTIXXI/status/891357210571403265 ha solicitado a la SIC, por medio de un derecho de petición, que sirva informar y justificar, una serie de decisiones que tomó la superintendencia relacionadas con el proyecto de circular.

ALGUNAS CONSIDERACIONES PERSONALES

Los dos proyectos de circulares son una clara demostración del pulso de poderes, por un lado, la defensa de los derechos humanos, como es de la protección de datos personales, de un adecuado uso por parte de terceros que en un principio, pretendió la SIC, y por otro lado, el poder del mercado, que es conocedor que sin información no funciona de manera eficiente, y que por lo tanto, requiere de reglas flexibles para el libre flujo y circulación de los mismos, teniendo en cuenta que nos movemos en una economía digital, que es cambiante, ágil, flexible y rápida.

Tengo una posición encontrada sobre la circular, por un lado, considero que si fue un error incluir a Estados Unidos y Corea, debido a qué no cumple con los requisitos exigidos para ser un país con nivel adecuado de protección de datos personales, no obstante, creo que fue un acierto incluir instrumentos para que las partes se autorregulan, en mi sentir, es lo más sano, y más bien, en caso de que considere sobre si es legal o no esa transferencia pedir concepto a la autoridad, tal como lo tiene méxico.

Sin embargo, considero que no se debe olvidar y por eso recalco, que estamos hablando de regulación para TRANSFERENCIAS, NO PARA TRANSMISIONES, este último caso, es el más común y práctico en el mercado y no es problemático su operación.

Se debe entender, que hay una justificación del porqué el legislador incorporó esta restricción, y es que básicamente, estos datos escapan a la protección efectiva, debido a que se van a usar para otros fines, los cuales, puedan que sean desconocidos para el titular de la información, hasta para la empresa que se encuentra ubicada en territorio colombiano.

Por otro lado, me temo que si la circular entra en vigencia, es muy fácil que de demande la inconstitucionalidad del artículo donde establece que las partes pueden crear un instrumento o contrato que formalice la transferencia internacional de datos personales, toda vez que, cuando una norma modifique de manera sustancial aspectos tocantes a derechos fundamentales, se debe tramitar como una ley de la república, o no como una circular que la emite una autoridad administrativa.

Por ahora, no hay mayores pronunciamientos por parte de los gremios, pues están satisfechos con el proyecto de circular, empero, hay que buscar equilibrar la balanza.

En conclusión, considero que lo mejor es seguir excluyendo a Estados Unidos y Corea,  y dejar el instrumento que incorporaron en el nuevo proyecto de contrato o instrumento de transferencia internacional de datos personales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *