Blog

El borrador de circular externa que la autoridad colombiana sometió a los comentarios de la comunidad ha generado profundas preocupaciones a nivel empresarial, particularmente en las áreas de tecnologías y seguridad de la información, toda vez que la gran mayoría de contratos de nube se celebran con empresas domiciliadas en el territorio de Estados Unidos, país en el cual se realizan múltiples tratamientos.

La preocupación aludida deviene del listado de países que la autoridad colombiana considera como seguros, es decir que otorgan a los ciudadanos colombianos un nivel adecuado de protección a sus datos personales; dentro de tales países no aparece Estados Unidos.

Lo primero que debe decirse es que no es novedosa ni debe sorprender la exclusión de Estados Unidos como país no seguro para el tratamiento de datos personales, exclusión originada en el hecho de la ausencia de una legislación federal que otorgue garantías al ejercicio de los derechos fundamentales de los ciudadanos vinculados a la protección de datos personales, como son además el habeas data, la intimidad.

Debe recordarse que la Ley Estatutaria 1581 de 2012 ya había establecido de forma clara la prohibición general de realizar transferencias internacionales de datos a países no seguros, salvo las excepciones de ley que deben ser interpretadas de forma taxativa. El mismo artículo 26 de la citada ley advierte que la autoridad colombiana de protección de datos debe proferir las declaraciones de conformidad que autoricen las transferencias internacionales en los casos particulares que sean sometidos a su autorización. Dispone también que la autoridad colombiana podrá requerir información y adelantar diligencias tendientes a establecer el cumplimiento de los presupuestos requeridos para dar viabilidad a la operación de Transferencia Internacional de Datos; lo cual significa una evaluación particular caso por caso.

En el examen de fondo previo de la Ley 1581 de 2016, la Corte Constitucional en la Sentencia C-748 destacó que es acertada la prohibición de la Transferencia Internacional de Datos a cualquier país que no proporcione un nivel adecuado de protección; esto con el fin de evitar la lesión de los derechos de las personas, enunciando en particular el derecho a la intimidad.

Estableció la Corte Constitucional que la existencia de un nivel adecuados se encuentra sujeto al cumplimiento dos factores, a saber: (i) El primero de naturaleza regulatoria, consistente en la existencia de normas que contengan derechos en cabeza del titular de los datos y obligaciones respecto de quienes procesan información personal o ejercen control sobre ese tratamiento; y el (ii) segundo, relacionados con la existencia de mecanismos que garanticen la efectiva aplicación del contenido normativo, lo cual implica un conjunto de sanciones apropiadas para los infractores y la existencia de un órgano de control que permita el verifica el cumplimiento de las disposiciones normativas.

La Corte Constitucional acude al derecho comparado, así como a directrices de organismos multilaterales como la UE, OCDE y la ONU, y señala que un país otorga un nivel adecuado cuando cumple principios mínimos como los fijados en el estándar europeo, como son: limitación en la finalidad; calidad de los datos y proporcionalidad; transparencia; seguridad; acceso, rectificación y oposición (habeas data); restricciones a las transferencias sucesivas a otros países; y disposiciones sectoriales o adicionales para el tratamiento de datos especiales, como pueden ser, datos sensibles, mercadeo directo y decisión individual automatizada. Respecto de este punto dice la Corte Constitucional que se está frente a un país seguro si este tiene una norma general sobre protección de datos que incorpore tales mínimos, es decir, entiéndase tales principios aplicables al tratamiento de datos personales.

Expuesta la clara interpretación de la Corte Constitucional la cual guiará toda decisión de la autoridad colombiana frente a la Transferencia Internacional de Datos, las empresas colombianas deben entender sin lugar a equívocos o pseudo interpretaciones que aquella empresa ubicada en el exterior con la cual celebren un contrato que involucre que el tratamiento de datos personales tendrá la condición de Encargada, lo cual significa que esta empresa extranjera debe cumplir con todas las obligaciones fijadas en el artículo 18 de la Ley 1581 de 2012.

El decreto 1377 de 2013 reglamentario de la ley estatutaria, tipificó el contrato de transmisión internacional de datos, el cual ha de regular las relaciones contractuales entre la empresa colombiana que tiene la condición de Responsable y la empresa extranjera que como Encargada realiza cualquier tratamiento de datos personales por cuenta del Responsable. La exigua regulación de este contrato vía remisión vía interpretación conduce al cumplimiento de las obligaciones que la ley colombiana establece para todos los Encargados por tanto, no existe norma legal que libere del cumplimiento de tales obligaciones a encargados foráneos.

Transcurridos más de cuatro (4) años desde la expedición de la ley la autoridad colombiana aborda la transferencia y trasmisión internacional de datos dando instrucciones adicionales. No obstante, en el borrador de circular la autoridad colombiana queda en deuda frente a la necesidad de dar instrucciones o establecer parámetros respecto a los criterios a considerar frente a las solicitudes de los particulares o el mismo Estado a obtener Declaraciones de Conformidad. En espacios de participación y discusión sobre esta próxima circular advertimos la necesidad de abordar este tema, toda vez que es muy alto el número de empresas que hoy transfieren y trasmiten datos al exterior sin cumplir con lo dispuesto para cada escenario de tratamientos de datos en el exterior.

En regulados colombianos para el cumplimiento del principio de legalidad debería incluir en la próxima circular sobre transferencia y trasmisión de datos lo relacionado con los criterios e instrucciones a seguir frente a las solicitudes de conformidad, toda vez que la ausencia de tales lineamientos genera subjetividad e incertidumbre, que muy posiblemente habrá de materializar riesgos económicos, operativos y reputacionales.

Por último, la creencia de que el mundo estático y no se transforma es un paradigma a romperse en principio por la alta dirección en aquellas empresas que tratan datos personales en calidad de Responsables, así como por el personal de tecnología y seguridad de la información que participa en la órbita del Responsable y Encargados aún incrédulo en la eficacia del imperio de la ley. Sería lamentable que tal incredulidad conduzca a multas personales e institucionales que contempla la ley colombiana, máxime cuando muchas empresas obligadas al registro de las bases de datos personales, han declarado y lo harán, incurriendo en yerros en tal registro, lo cual podría sonar a confesión ante la autoridad de protección de datos personales en Colombia.

Arean Velasco (MsID)