Normas Corporativas Vinculantes en Colombia
02 de marzo de 2022Contenido
En el marco del cumplimiento del Artículo 27 de la Ley 1581 de 2012, en el que se establece para el Gobierno Nacional la obligación de reglamentar lo atinente a las condiciones mínimas, garantías y mecanismos de aplicación que deben incorporar las normas corporativas vinculantes de buenas prácticas en protección de datos personales y su transferencia a terceros países, se expidió el pasado 23 de febrero de 2022 el Decreto 255, por medio del cual el Ministerio de Comercio, Industria y Turismo estableció las “normas corporativas vinculantes para la certificación de buenas prácticas en protección de datos personales a terceros países” en Colombia, en adelante, las “Normas Corporativas Vinculantes”.
Las Normas Corporativas Vinculantes se presentan como una obligación adicional a las regulaciones previamente existentes en la normatividad colombiana, cuya finalidad, además de regular las garantías, mecanismos y autorizaciones en materia de protección de datos para la obtención de la certificación de buenas prácticas, constituye una importante herramienta para facilitar el proceso de transferencia de datos entre responsables que sean parte de un mismo grupo empresarial y que se encuentren ubicados en diferentes países, por medio de un sistema de autorregulación que deberá ser definido por cada responsable, siguiendo los parámetros establecidos en el Decreto 255, la Ley 1581 de 2012 y las demás normas que modifiquen y/o reglamenten dichas disposiciones. Es importante recordar que, a la luz de la Ley 1581 de 2012, se considera responsable en el tratamiento de datos a toda “persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre las bases de datos y/o el tratamiento de los datos”.
En este orden de ideas, el Decreto 255 define expresamente como Normas Corporativas Vinculantes “las políticas, principios de buen gobierno o códigos de buenas prácticas empresariales de obligatorio cumplimiento asumidas por el responsable del tratamiento de datos, establecido en el territorio colombiano, para realizar transferencias o un conjunto de transferencias de datos personales a un responsable que se encuentre ubicado por fuera del territorio colombiano y que haga parte de un mismo grupo empresarial”.
Además, con el fin de garantizar un tratamiento adecuado de los datos que se transfieran de manera internacional dentro de un grupo empresarial, el Decreto 255 estableció una serie de principios que deben seguir los responsables del tratamiento de datos, a la hora de establecer sus mecanismos de autorregulación en dichas transferencias, dentro de los cuales se destacan la licitud, lealtad, transparencia, finalidad determinada y explícita, pertinencia, actualización permanente y control, tanto de los datos como de las transferencias realizadas, respetando siempre los derechos de los titulares de los datos personales objeto de transferencia.
Así las cosas, el mismo Decreto establece una serie de requisitos mínimos que las Normas Corporativas Vinculantes, que adopte un mismo grupo empresarial deben cumplir, entre los que se destacan:
i) La determinación clara y expresa de la estructura y los datos de contacto del grupo empresarial y de cada uno de los miembros del grupo para los que las Normas Corporativas Vinculantes son de obligatorio cumplimento;
ii) La estipulación de los derechos que le asisten a los titulares de los datos personales tratados y el objeto de cada transferencia, así como los mecanismos dispuestos para que los titulares puedan ejercer dichos derechos.
iii) Las medidas establecidas para impedir que se realicen transferencias de datos personales a entidades que no hacen parte del mismo grupo empresarial, sin perjuicio de las prohibiciones y excepciones consagradas en el artículo 26 de la ley 1581 de 2012.
iv) Los mecanismos establecidos para garantizar y monitorear el cumplimento de las Normas Corporativas Vinculantes que se adopten dentro del grupo empresarial.
v) Un plan estructurado y comprobable que garantice la formación y capacitación del personal que tenga acceso permanente o habitual a los datos personales almacenados y/o tratados dentro del grupo empresarial, en asuntos relativos a normatividad, obligaciones y buenas prácticas en materia de protección de datos personales.
Es importante resaltar que las Normas Corporativas Vinculantes fijadas dentro de cada grupo empresarial deben ser sometidas a la aprobación de la Superintendencia de Industria y Comercio, como autoridad competente en materia de datos personales en Colombia, una vez hayan sido aprobadas por el órgano corporativo correspondiente que haya sido definido en los estatutos de la sociedad responsable, o en los acuerdos válidos, vinculantes y legalmente estipulados dentro del grupo empresarial.
En líneas generales, esta reglamentación representa una ventaja para los grupos empresariales internacionales, en el entendido que facilita el proceso de transferencia de datos personales intragrupo, garantizando la creación de un sistema de autogestión funcional y adecuado, basado en el cumplimiento de las regulaciones existentes en materia de datos personales en Colombia.