La Superintendencia de Industria y Comercio (SIC) de Colombia publicó el mes de agosto la Circular Externa No. 005, mediante la cual se busca regular la transferencia a terceros países de datos personales cobijados por la legislación colombiana. La Circular fija como estándares para la protección de los datos, entre otros:

• Normas aplicables al tratamiento de datos personales y sobre principios rectores del tratamiento de datos personales, derechos de sus titulares, y deberes de Responsables y Encargados.
• Vías judiciales y administrativas para la garantía en la protección de los derechos de los titulares.
• Autoridad pública de supervisión de tratamiento de datos.

Contiene además un listado de países que garantizan un nivel adecuado de protección de datos, que podrá ser modificado por la SIC, de acuerdo con los lineamientos fijados en la ley.

Además, será requisito para la transferencia internacional de datos personales, la obtención, por parte de los Responsables del Tratamiento, de una Declaración de Conformidad emitida por la SIC. Así, en caso de mediar contrato o instrumento suscrito entre el Responsable del Tratamiento emisor y el Responsable destinatario que contemple los principios y obligaciones para el tratamiento de datos, se presumirá que la operación es viable y que cuenta con tal Declaración de Conformidad del órgano supervisor.

En la misma línea, tal y como adelantamos en el número 5 de Progreso, el Congreso de la República de Colombia ha publicado el Proyecto de Ley Nº 089-2017 por el cual se modifica la Ley Estatutaria 1581 de 2012 que establece las disposiciones generales para la protección de datos personales.

De acuerdo a lo establecido en la exposición de motivos del Proyecto, la norma pretende dotar a las autoridades colombianas de herramientas legales para proteger los derechos fundamentales de los ciudadanos respecto a la recopilación y tratamiento de datos personales realizados en internet.

La iniciativa surge de la necesidad de dar respuesta a los desafíos que internet representa para el tratamiento de datos personales. El Proyecto recoge los principios establecidos en documentos internacionales como (i) los “Estándares de protección de datos personales para los estados Iberoamericanos” de la Red Iberoamericana de Protección de datos y (ii) el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.

Entre las modificaciones propuestas por el Proyecto debemos destacar:

Ampliación del ámbito de aplicación

De igual manera que el Reglamento (UE) 2016/679 amplió su ámbito de aplicación al tratamiento de datos de personas comunitarias fuera de la Unión Europea, el Proyecto igualmente amplia la aplicación de la norma extendiéndola hacia aquellos responsables o encargados de realizar el tratamiento de datos que no residan ni estén domiciliados en Colombia, pero que a través de internet o cualquier medio, recolecten, almacenen, usen, circulen o realicen cualquier operación sobre datos personales de personas que residan, estén domiciliadas o ubicadas en territorio Colombiano. Define además las funciones de la autoridad de protección de datos frente a los responsables o encargados internacionales del tratamiento de datos de ciudadanos colombianos residentes en el territorio.

Inclusión de principios

El Proyecto adiciona principios recogidos por la Red Iberoamericana de Protección de Datos, entre los que podemos citar: el principio de protección de datos desde el diseño y por defecto; el principio de responsabilidad demostrada y el principio de proporcionalidad. Estos principios sostienen principalmente que, la privacidad, el debido tratamiento de datos personales y la seguridad deben formar parte del diseño, arquitectura y configuración predeterminada de cualquier tecnología o proceso de tratamiento de información. Establecen también las medidas efectivas que el responsable o encargado de tratamiento de datos personales debe adoptar para cumplir con sus obligaciones legales y las limitaciones que éste tiene en la recolección o tratamiento de datos según la finalidad para la que se realiza.

Subcontratación de servicios

Respecto a los deberes de los encargados del tratamiento, el Proyecto recoge la posibilidad de subcontratar los servicios que impliquen el tratamiento de datos personales, estableciendo las pautas de la subcontratación y las responsabilidades que asume el subcontratado.

Medidas proactivas

El Proyecto añade un nuevo Título a la Ley referente a medidas proactivas en el tratamiento de datos personales, incorporando artículos de privacidad por diseño y privacidad por defecto, así como mecanismos de autorregulación para la correcta aplicación de la ley.

Asimismo, contempla la realización de evaluaciones sobre el impacto a la protección de datos cuando el tratamiento, por su naturaleza o finalidad, implique un alto riesgo de afectación del derecho de protección de datos del titular, regulación que proviene del Reglamento (UE) 2016/679 que establece la misma disposición, pero que añade los supuestos o casos en los que se requerirá la realización de la evaluación de impacto.

Por último, incluye la figura del delegado de protección de datos, ya introducida por el Reglamento (UE) 2016/679, existiendo claras diferencias entre ambos documentos. Por su parte, el Proyecto colombiano faculta al responsable y encargado del tratamiento a realizar la designación del delegado de protección de datos debiendo contar previamente con la decisión de la autoridad de protección de datos; mientras que el Reglamento (UE) 2016/679 no requiere de la decisión previa para la designación del delegado, pero sí establece los supuestos en que deberá realizarse dicha designación. Además, el Proyecto colombiano no recoge la posibilidad de que un grupo empresarial pueda nombrar a un único de delegado de protección de datos, ni recoge el principio de confidencialidad en lo que respecta al desempeño de sus funciones.