CENTRO DE REDACCIÓN

¡Sólo tardarás tres minutos en leerlo!

Se entiende por dato personal cualquier información vinculada o que pueda asociarse a una o varias personas naturales que, dependiendo de su grado de utilización y acercamiento con la intimidad de las personas podrá ser catalogada como pública, semiprivada o privada.

El artículo 26 de la Ley 181 de 2012 sobre protección de datos personales establece una prohibición general para la transferencia de datos personales a países que no proporcionen niveles adecuados de protección. Entendiendo como nivel adecuado el cumplimiento de estándares fijados por la Superintendencia de Industria y Comercio.

Sin embargo, el mismo artículo establece unas excepciones a la prohibición, ya que ésta no regirá cuando se trate de:

1. Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia;
    
2. Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública;
    
3. Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable;
    
4. Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad;
    
5. Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular; y
    
6. Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial

En ese sentido, la transferencia internacional de datos personales, cuando no haya una excepción de las mencionadas en la Ley, procederá siempre y cuando el país receptor ofrezca un nivel adecuado de protección. Es así como deberá entenderse como nivel adecuado cuando el país receptor cuente con principios que abarquen las obligaciones y derechos de las partes y de los datos así como un procedimiento de protección de datos que involucre mecanismos y autoridades que efectivicen la protección de la información.

En consecuencia, la Superintendencia de Industria y Comercio estableció en su Circular Única la lista de países que reúnen los estándares que garantizan un nivel adecuado de protección a saber: i) Alemania; ii) Austria; iii) Bulgaria; iv) Chipre; v) Costa Rica; vi) Croacia; vi) Dinamarca; vii) Eslovaquia; ix) Eslovenia; x) Estonia; xi) España; xii) Estados Unidos de América; xiii) Finlandia; xiv) Francia; xv) Grecia; xvi) Hungría; xvii) Irlanda; xviii)Islandia; xix) Italia; xx) Letonia; xxi) Lituania; xxii) Luxemburgo; xxiii) Malta; xxiv xxv) México; xxvi) Noruega; xxvii) Países Bajos; xxviii) Perú; xxix) Polonia; xxx) Portugal; xxxi) Reino Unido; xxxii) República Checa; xxxiii) República de Corea; xxxiv) Rumania; xxxv) Serbia; xxxvi) Suecia; y los países que han sido declarados con nivel adecuado de protección por la Comisión Europea.

Entonces, cuando se realice una transferencia internacional de datos personales a países que tienen un nivel adecuado de protección, el responsable deberá, en todo caso y en virtud del principio de responsabilidad, demostrar que ha implementado las medidas apropiadas y efectivas para garantizar el adecuado tratamiento de los datos personales que se transfieren y deberá otorgar la seguridad y medios de comunicación necesarios.

Finalmente, Si la trasferencia internacional de datos personales se pretende hacer a un país que no se encuentre dentro de la lista emitida por esta Superintendencia, el responsable deberá:

1. Verificar si la operación está comprendida dentro de una de las causales de excepción establecidas en el artículo 26 de la Ley 1581 de 2012.
    
2. Verificar si ese país cumple con los siguientes estándares: i) Existencia de normas aplicables al tratamiento de datos personales, ii) Consagración normativa de principios aplicables al Tratamiento de datos, en otros: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad. iii) Consagración normativa de derechos de los Titulares. iv) Consagración normativa de deberes de los Responsables y Encargados. v) Existencia de medios y vías judiciales y administrativas para garantizar la tutela efectiva de los derechos de los Titulares y exigir el cumplimiento de la ley. vi) Existencia de autoridad (es) pública (s) encargada (s) de la supervisión del Tratamiento de datos personales, del cumplimiento de la legislación aplicable y de la protección de los derechos de los titulares, que ejerza (n) de manera efectiva sus funciones.
    
3. Solicitar la respectiva declaración de conformidad ante esta Superintendencia.

Esta parte del sitio es sólo para fines informativos. El contenido no constituye una asesoría legal.