SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO
CIRCULAR EXTERNA 002
(marzo 23)
[Mostrar] |
Para: RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES
Asunto: Adicionar un Capítulo Tercero al Título V de la Circular Única
1. Objeto
Impartir instrucciones a las Responsables y Encargados del Tratamiento de datos personales respecto de la transferencia y transmisi6n de datos a terceros países.
2. Fundamento Legal
El artículo 19 de la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protecci6n de datos personales, atribuye a la Superintendencia de industria y Comercio la función de ejercer la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la ley.
Adicionalmente, el artículo 21 señala dentro de las funciones a cargo de esta Superintendencia "Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos" e "impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuaci6n de las operaciones de las responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley".
De otra parte, el artículo 26 de la Ley 1581 de 2012 regula la transferencia internacional de datos personales, para lo cual establece coma regla general la prohibici6n de transferir datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protecci6n de datos, salvo las excepciones que expresamente señala, y prevé que "Se entiende que un país ofrece un nivel adecuado de protecci6n de datos cuando cumpla con las estándares fijados para la Superintendencia de industria y Comercio sobre la materia, las cuales en ningún caso podrán ser inferiores a las que la presente ley exige a sus destinatarios".
Par lo anterior, es necesario establecer los estándares que permitan determinar que países cuentan con un nivel adecuado de protecci6n de datos personales, a las cuales se podrán transferir y transmitir datos personales en atenci6n a los mandatos de la ley.
3. Instructivo
Adicionar un Capítulo Tercero al Título V de la Circular Única, sobre transferencia internacional de datos personales, el cual quedara así:
"CAPITULO TERCERO: TRANSFERENCIA Y TRANSMISION DE DATOS PERSONALES A TERCEROS PAIS ES
3.1 Estándares de un nivel adecuado de protección en el país receptor de la inforrnaci6n personal
El análisis para establecer si un país ofrece un nivel adecuado de protección de datos personales, a efectos de realizar una transferencia internacional de datos, estará orientado a determinar si dicho país garantiza la protección de los mismos, con base en los siguientes estándares:
f) Existencia de autoridad (es) publica (s) encargada (s) de la supervisión del Tratamiento de datos personales, del cumplimiento de la legislación aplicable y de la protección de las derechos de las titulares.
3.2 Países que cuentan con un nivel adecuado de protección de datos personales
Teniendo en cuenta los estándares señalados en el numeral 3.1 anterior, a continuación se relacionan lo países que garantizan un nivel adecuado de protección:
a) | Albania |
b) | Alemania |
c) | Argentina |
d) | Austria |
e) | Belgica |
n | Bulgaria |
g) | Canada |
h) | Chip re |
i) | Costa Rica |
j) | Croacia |
k) | Dinamarca |
I) | Eslovaquia |
m) Eslovenia | |
n) | Estonia |
o) | España |
p) | Finlandia |
q) | Francia |
r) | Grecia |
s) | Hungria |
t) | lrlanda |
u) | Islandia |
v) | Italia |
aa) Mexico
bb) Noruega
cc) Nueva Zelanda
dd) Paises Bajos
ee) Peru
ff) Polonia
gg) Portugal
hh) Reino Unido
ii) Republica Checa
jj) Republica de Corea
kk) Rumania
II) Serbia
mm) Suecia
nn) Suiza
oo) Uruguay
Parágrafo: Cuando la Transferencia de datos personales se vaya a realizar a un país que no se encuentre en el listado presentado en este numeral, corresponderá al Responsable del tratamiento que realizara la transferencia verificar si ese país cumple con las estándares fijados en el numeral 3.1 anterior, caso en el cual podrá realizar la trasferencia, o, de no cumplirlos, solicitar la respectiva declaración de conformidad ante esta Superintendencia.
3.3 Transmisión Internacional de información Personal
La transmisión de datos que ocurre cuando el Responsable del tratamiento de datos personales ubicado en Colombia remite la información personal a un receptor fuera del territorio nacional, con el objeto de que este último realice un tratamiento par cuenta del Responsable, no requerirá ser informada al Titular ni contar con su consentimiento cuando exista un contrato de transmisión de datos personales en las términos del artículo 2.2.2.25.5.2 del Decreto 1074 de 2015.
Si no se tiene dicho contrato, deberá cumplirse con alguna de las siguientes reglas:
a) Informar al Titular la transmisión de datos y contar con su autorizaci6n para ello, o
b) Observar lo previsto en el artículo 26 de la Ley 1581 de 2012, a saber:
(i) Transmitir datos personales solo a países que proporcionen niveles adecuados de protecci6n de datos, para lo cual se deberá tener en cuenta lo establecido en las numerales 3.1 y 3.2 anteriores, o
(ii) Estar dentro de una de las excepciones establecidas en las literales contenidos en el artículo 26 de la Ley 1581 de 2012, o
(iii) Obtener una declaraci6n de conformidad emitida par esta Superintendencia".
4. Vigencia
La presente circular externa rige a partir de su publicaci6n en el Diario Oficial.
Atentamente,
PABLO FELIPE ROBLEDO DEL CASTILLO
Superintendente de industria y Comercio