La Circular Única de la SIC sobre Transferencia Internacional de Datos: Al vaivén de los vientos
Un nuevo proyecto de reforma de la Circular única de la Superintendencia de Industria y Comercio – SIC, que pretende adicionar el capítulo III, del Título V de dicha norma, circuló durante la semana del 17 de julio de 2017, por la cual la entidad de control pretende “Fijar los estándares de un nivel adecuado de protección en el país receptor de la información personal y las condiciones para obtener una declaración de conformidad para realizar transferencia internacional de datos personales.”
La norma que se dirige a los Responsables de tratamiento, a diferencia de los proyectos anteriormente publicados, incluye a Estados Unidos de América como un país que ofrece niveles de protección adecuados para los datos de ciudadanos colombianos que se traten en servidores ubicados en este país. Esta nueva directriz que pretende adoptar la SIC cuestiona inicialmente el asunto de la transferencia y de la transmisión como dos supuestos distintos en Colombia para la circulación de los datos por fuera del territorio colombiano. En efecto, de acuerdo a lo establecido legalmente la Transferencia Internacional de datos supone la circulación de los datos por fuera de territorio colombiano a un receptor ubicado en otro país; por su parte la transmisión supone así mismo la circulación de los datos pero concretamente cuando el receptor tiene la calidad de encargado de tratamiento, es decir, realiza una operación sobre los datos por cuenta del emisor de los datos. Cuando el encargado se encuentra en otro país, se entenderá que hay una transmisión internacional de los datos. Pareciera que esta decisión de la SIC saca del problema a más de una empresa cuyos proveedores de servicios de nube tienen sus servidores ubicados en Estados Unidos, y en consecuencia les facilita la consideración de que se trata de un país con niveles adecuados para la recepción de los datos. ¿Pero acaso la condición de un país seguro se exigía para la transmisión de datos?
Si en este evento el consentimiento puede ser incluso pretermitido, siempre que exista un contrato entre el responsable ubicado en Colombia y el receptor ubicado en otro país, ¿se requería que el país destino fuera seguro?
Pero este vaivén de consideraciones que no parecen tener ningún sustento jurídico, deja muchos interrogantes e inquietudes. Primero, supone que la autoridad colombiana se aparta de la postura europea que no considera a Estados Unidos como un país seguro y que cuestiona la inexistencia de una autoridad que de aplicación a las normas sectoriales que se han adoptado en USA sobre protección de datos, asunto que responde a su modelo jurídico federal diverso al nuestro de carácter continental europeo. Desde esta perspectiva, ¿qué sucede con los datos de ciudadanos europeos que se traten por una empresa colombiana pero cuyo almacenamiento, por ejemplo, se encuentre en Estados Unidos por cuenta de un modelo de contratación de cloud computing?. Si se presenta una reclamación del titular de sus datos o éste se percata de que los mismos se almacenan en USA, ¿podría denunciar ante sus autoridades de control esta situación? De persistir la SIC en una decisión como la que se analiza, sin duda trae así mismo como consecuencia que seamos los particulares y concretamente las empresas las que debamos ejercer el control sobre los proveedores de tecnología en la nube para que se cumplan con los estándares exigidos desde la Ley 1581 y por la Corte Constitucional al momento de confiarles los datos personales de ciudadanos colombianos. Sin duda este asunto va más allá de la postura de Responsabilidad Demostrada que deben asumir las empresas, porque el control del cumplimiento solo le corresponde a la SIC en Colombia; sin embargo, con esta postura el control se desplaza de la SIC a la empresa responsable quien deberá demostrar que la elección de su proveedor cumple contractualmente también con los principios y exigencias que disponen las normas colombianas para que exista en efectivo y adecuado nivel de protección de los datos en manos del encargado.
En otras palabras, la tranquilidad que puede producir saber que Estados Unidos es un país seguro, se desdibuja cuando la empresa entienda la carga que supone elegir un proveedor en este país para garantizar la protección de los datos, que finalmente no depende de la calificación que una autoridad de control haga sobre un país, sino de la capacidad del receptor de los datos de cumplir con sus obligaciones como otro encargado más del tratamiento de datos.
Sol Beatriz Calle D’Aleman PhD