Protección de datos por transferencia o transmisión de datos a terceros en otros países

La ley de protección de datos es aplicable independiente de si la relación entre el responsable del tratamiento de datos y el receptor superan la frontera nacional. La Ley 1581 de 2012 prohíbe la transferencia a países que no proporcionen seguridad en el tratamiento de datos.

Los principios y disposiciones de la Ley 1581 de 2012 son aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento en territorio colombiano por entidades de naturaleza pública o privada o cuando al responsable del tratamiento o encargado del tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales. Veamos algunos puntos que aplican para este segundo ítem.

¿En qué consiste la transferencia y transmisión de datos personales?

La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

La transmisión de datos personales, por su parte, implica la comunicación de los mismos dentro o fuera del territorio nacional y tiene por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

¿Se pueden transferir datos personales a terceros en otros países?

La Ley 1581 de 2012 prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos.

Esta prohibición no regirá cuando se trate de:

• Información respecto de la cual el titular haya otorgado su autorización expresa e inequívoca para la transferencia.
• Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del titular por razones de salud o higiene pública.
• Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.
• Transferencias acordadas en el marco de tratados internacionales en los cuales Colombia sea parte, con fundamento en el principio de reciprocidad.
• Transferencias necesarias para la ejecución de un contrato entre el titular y el responsable del tratamiento, o para la ejecución de medidas precontractuales, siempre y cuando se cuente con la autorización del titular.
• Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

¿Qué se entiende por niveles adecuados de protección de datos?

Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumple con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios.

No obstante, es posible la transferencia internacional de datos a países que no proporcionen niveles adecuados de protección de datos y en los casos no exceptuados, solo cuando la Superintendencia de Industria y Comercio profiera la declaración de conformidad relativa a la transferencia internacional de datos personales. Para el efecto, el superintendente está facultado para requerir información y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.

¿Qué es el contrato de protección de datos personales?

Este lo suscribe el responsable con los encargados para el tratamiento de datos personales bajo su control y responsabilidad, el cual señalará los alcances del tratamiento, las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y las obligaciones del encargado para con el titular y el responsable. Mediante dicho contrato, el encargado se comprometerá a aplicar las obligaciones del responsable bajo la política de tratamiento de la información fijada por este y a realizar el tratamiento de datos según la finalidad que los titulares hayan autorizado y con las leyes aplicables.

Además de las obligaciones que impongan las normas aplicables dentro del citado contrato, el encargado deberá cumplir las siguientes obligaciones:

• Dar tratamiento, a nombre del responsable, a los datos personales conforme a los principios que los tutelan.
• Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.
• Guardar confidencialidad respecto del tratamiento de los datos personales.

Las transmisiones internacionales de datos personales que se efectúen entre un responsable y un encargado para permitir que el encargado realice el tratamiento por cuenta del responsable no requerirán ser informadas al titular, ni contar con su consentimiento cuando exista un contrato en los términos anteriores.

Material relacionado

• [Análisis] Circulación de datos personales en internet no los hace públicos
• [Análisis] Sanciones para empresas que incluyan personas en campañas publicitarias sin autorización
• [Entrevista] «Empresas deben designar una persona o área que asuma la función de protección de datos personales»