¿Cómo entender la regulación sobre la Transferencia Internacional de Datos Personales en Colombia?

No nos digamos mentiras, la regulación colombiana sobre transferencia internacional de datos personales es un completo galimatías, donde encontramos diferentes opiniones, interpretaciones sobre la manera de aplicación de dicha norma, y en mi opinión, interpretaciones erradas de la Superintendencia de Industria y Comercio, tanto en circulares como en conceptos, cuando se confunde con los elementos de la transmisión de datos personales, así como una leve contradicción con lo que establece la ley 1581 de 2012, debido a que por regla general, la transferencia internacional se encuentra prohibida, y con la regulación, parece que más bien la prohibición, es la excepción. No obstante, esto  puede darse precisamente por la complejidad que comporta el flujo de datos transfronterizos. Sin embargo, este post, no tiene como propósito de revisar que esta bien o no, sino más bien, aclarar ideas sobre cuales son las opciones que a hoy, tienen las organizaciones para la transferencia internacional de datos personales.

Revisemos el siguiente esquema, que es el que propone la Superintendencia, para la legalidad de la transferencia internacional de datos personales.

1. La organización deberá revisar si el país donde se realizará la transferencia se encuentra dentro de la lista de países seguros, (esta lista se encuentra en la circular 005 de 2017).
2. Si no se encuentra en dicha lista, deberá revisar si la transferencia se encuentra dentro del listado de excepciones, contempladas en el artículo 26 de la Ley 1581 de 2012.
3. Si tampoco se encuentra en el listado de excepciones, deberá revisar si el país cuenta con los requisitos del numeral 3.1 de la circular 005 de 2017, esto es: la existencia de normas aplicables al tratamiento de datos personales, consagración normativa de principios aplicables al tratamiento de datos personales, consagración normativa de los derechos de los titulares, consagración normativa de los encargados y responsables del tratamiento, existencia de medios judiciales y administrativos para garantizar la tutela efectiva de los derechos de los titulares y exigir el cumplimiento de la ley, existencia de autoridades publicas encargadas de la supervisión del tratamiento de datos personales, del cumplimiento de la legislación aplicable, y de protección de los derechos de los titulares que ejerzan de manera efectiva sus funciones.
4. En caso de que no cumpla con las anteriores condiciones, deberá entonces la organización, solicitar declaración de conformidad ante la Superintendencia de Industria y Comercio.
5. Sin embargo, si no quiere solicitar declaración de conformidad ante la SIC, esta misma entidad, lanza un salvavidas a las organizaciones, y les dice que pueden realizar un contrato de transferencia de datos personales, o algún instrumento jurídico en el cual señalen las condiciones que regirán la transferencia internacional de datos personales. Previo a realizar la transferencia la organización debe comunicar a la Delegatura para la Protección de Datos personales, la operación a realizar y declarar que han suscrito el contrato de transferencia.

En conclusión, conforme a la explicación anterior, el mensaje que envía la Superintendencia es que, con un contrato de transferencia internacional de datos personales se puede formalizar la transferencia a un país no seguro, no obstante, primero establece una serie de pasos para llegar hasta este punto. Obviamente las empresas se van a saltar todos estos pasos, pues resulta más eficiente (desde ese pensamiento) realizar un contrato de transferencia internacional de datos personales. Algunos académicos han sido críticos de esta regulación, toda vez que deja en manos de las organizaciones la potestad de realizar la transferencia internacional de datos, sin atender la protección efectiva de los derechos de los titulares de los datos.

Por último:

1. La Superintendencia tiene una Guía para solicitar la Declaración de conformidad sobre las transferencias internacionales de datos que a mi juicio, debe actualizarse con la nueva reglamentación.

2. Además del listado de países seguros para la transferencia internacional de datos que incluyó la Circular 005 de 2017, también se encuentran dos nuevos países, como son: Japón (Circular 008 de 2017) y Australia (Circular 002 de 2018)