Brechas de seguridad de datos personales. Comparativa RGPD- Colombia
marzo 18, 2021Actores relevantes en la legislación en protección de datos. Comparativo RGPD- Colombia
abril 8, 2021En el caso colombiano, para la “Transferencia” Internacional (Controller to Controller) se requiere, de manera concurrente:
- Autorización/consentimiento del Titular (en los términos del art. 9, Ley 1581/12).
- Transferencia a países con un Nivel Adecuado de Protección de Datos (whitelisted countries). El listado se encuentra en el numeral 3.2 del Capítulo 3 del Titulo V de la Circular Única de la Superintendencia de Industria y Comercio -en adelante SIC-
Existen excepciones para el segundo requisito. Para enviar a un país excluido de la lista:
- Excepciones art. 26, Ley 1581/2012. De configurarse cualquiera de estas, ello no exime del deber de obtener el consentimiento del Titular (Sentencia C-748-2011, Corte Constitucional).
- Si el país no esta dentro de la lista, y la transferencia no se encuentra dentro de las excepciones, se debe solicitar Declaración de Conformidad, ante la SIC. Se debe radicar una petición y suministrar información que se encuentra relacionada en la Guía de para solicitar Declaraciones de Conformidad (numeral 3.3 del Capítulo 3 del Titulo V de la Circular Única de la SIC)
- Se presume que dicha transferencia es viable y cuenta con Declaración de Conformidad si los responsables han firmado contrato o cualquier otro instrumento jurídico con los elementos que se encuentran enlistados en la Guía de para solicitar Declaraciones de Conformidad (Parágrafo del numeral 3.3 del Capítulo 3 del Titulo V de la Circular Única de la SIC)
- La transferencia Internacional de Datos Personales debe registrarse en el Registro Nacional de Bases de Datos (RNBD) (Literal d) del numeral 2.1 del Capítulo 2 de la Circular Única de la SIC).
- La Transferencia de datos a un país con un Nivel Adecuado de Protección no exonera al Responsable (Controller) que transfiere los datos del cumplimiento del Principio de Accountability (desarrollado en los arts. 26 y 27 del D.1377/2013) Se debe realizar un Contrato entre los Controladores, así el controlador se encuentre en la lista de países seguros. (whitelisted countries)
En cuanto a la “Transmisión” Internacional (Controller to Processor) no requieren ser informadas al titular, ni contar con el consentimiento del titular, siempre y cuando cuente con un contrato de transmisión de datos personales con los requisitos establecidos en la ley (Artículo 24 y 25 del D. 1377/13 de 2013- Data Processing Agreement
De no celebrarse dicho contrato, debe obtenerse el consentimiento de los Titulares para la Transmisión (art. 24, numeral 2, D. 1377/2013), o realizarse bajo los parámetros que rigen las transferencias de datos personales. (Parágrafo cuarto del numeral 3.2 del Capítulo 3 del Titulo V de la Circular Única de la SIC)
La transmisión Internacional de Datos Personales debe registrarse en el Registro Nacional de Bases de Datos (RNBD) (Literal e) del numeral 2.1 del Capítulo 2 de la Circular Única de la SIC).
No hay norma expresa que refiera el deber de informar al titular respecto a la intención de transferir datos a terceros países (como sí lo hace el art. 13, 1, f del RGPD (UE)).
Sin embargo, dado que la autorización/consentimiento del Titular debe ser informada (art. 9, Ley 1581), el Responsable está en la obligación de poner en conocimiento del Titular sus Políticas Internas, las cuales deben precisar el tratamiento que se dará a los datos (art. 13, numeral 2, D. 1377/13, congruente con el art. 12, numeral 1, Ley 1581), cuando ello no se haya incluido ya en el Aviso de Privacidad (art. 14, D. 1377). Este último, dándose a conocer a más tardar justo antes de la recolección de los datos del titular.
RGPD
En el caso Europeo, las transferencias son permitidas a países o parte de territorios o un sector en específico, que han sido declarados por la Comisión Europea con un nivel adecuado de protección de datos personales, incluyendo los paises que hacen parte de la Unión Europea, permitiendo el libre flujo transfronterizo de datos personales. En caso de no existir una decisión de nivel adecuado de protección al país donde se ralizará la transferencia, el responsable y/o encargado debe aportar garantias adecuadas, y el interesado debe contar con garantias suficientes y efectivas para ejercer sus derechos. No obstante, existe una serie de excepciones a las reglas anteriores, esto se manifiesta en las siguientes situaciones:
- Cuando concurra alguna de las bases de legitimación del tratamiento de datos personales.
- Cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
- Cuando la transferencia se realice desde un registro público.
- Si las transferencias no son repetitivas, y afectan solo a un número limitado de interesados.
- Son necesarias a los fines de intereses legítimos.