Published and draft legislation - Colombia

Modificaciones al régimen de protección de datos en Colombia

Decreto 255 de 2022 – Ministerio de Comercio Industria y Comercio

El Ministerio de Comercio Industria y Comercio de Colombia expidió el pasado 23 de febrero de 2022 el Decreto 255[1] que regula las "Normas Corporativas Vinculantes" para viabilizar el tratamiento de datos personales entre dos empresas pertenecientes a un mismo grupo empresarial que estén radicadas en países diferentes, estando al menos una de ellas domiciliada en Colombia).

Entre los aspectos más relevantes que se encuentran contemplados en esta modificación, destacan los siguientes:

Definición de normas Corporativas Vinculantes

Según establece el Decreto, las Normas Corporativas Vinculantes son políticas, principios de buen gobierno o códigos de buenas prácticas empresariales de obligatorio cumplimiento, que han de ser asumidas por los responsables de los datos en el caso de transferencia de datos personales fuera del territorio nacional y del mismo grupo empresarial. Estas normas, tienen como fin principal, asegurar:

  1.     La transparencia en el tratamiento del dato.
  2.     El cumplimiento de la finalidad del dato.
  3.     La exactitud del dato, es decir, asegurar que estén actualizados.
  4.     La conservación según la finalidad de la autorización.
  5.     El control del tratamiento, por parte del responsable del dato.

Requisitos de las normas Corporativas Vinculantes

El Decreto prevé un contenido mínimo de las Normas Corporativas Vinculantes entre el que destacan, entre otros, los siguientes requisitos:

  1.  Incluir datos de contactos de los grupos empresariales participantes.
  2.  Mencionar las categorías de los datos personales transferidos, tipo de tratamiento y sus fines
  3.  Indicar su carácter jurídicamente vinculante.
  4.  Identificar los roles de las partes, es decir, encargado o responsable.
  5.  Mencionar expresamente el cumplimiento de la Ley 1581 de 2012, así como sus normas reglamentarias y/o complementarias.
  6. Contener las medidas adoptadas para impedir una transferencia de datos a otras entidades diferentes al grupo empresarial.
  7.  Referenciar el canal para recepcionar reclamaciones.
  8.  Expresar los mecanismos para mantener actualizadas las políticas del tratamiento, las seguridades y directrices que en cualquier momento pueda expedir la Superintendencia de Industria y Comercio en Colombia.

Con esta modificación al régimen de datos personales, Colombia se une a una de las últimas tendencias internacionales en materia de protección de datos personales, la regulación de este tipo de cláusulas tal y como comentamos en Progreso 26 respecto a las cláusulas contractuales tipo aplicables a las transferencias de datos a terceros países.

 

[1] adiciona la Sección 7 al Capítulo 25 del Título 2 de la Parte 2 del Libro 2 del Decreto 1074 de 2015, Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, sobre normas corporativas vinculantes para la certificación de buenas prácticas en protección de datos personales y su transferencia a terceros países