CIRCULAR EXTERNA0022018201803 script var date = new Date(23/03/2018); document.write(date.getDate()); script falsefalseSUPERINTENDENCIA DE INDUSTRIA Y COMERCIOSuperintendencia de Industria y ComerciofalsefalseComercio, Industria y Turismotruefalsefalse23/03/2018

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

CIRCULAR EXTERNA 002

(marzo 23)

[Mostrar]

  

Para: RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES  

  

Asunto: Adicionar un Capítulo Tercero al Título V de la Circular Única  

  

  

1. Objeto  

  

Impartir instrucciones a las Responsables y Encargados del Tratamiento de datos personales respecto de la transferencia y transmisi6n de datos a terceros países. 

  

2. Fundamento Legal  

  

El artículo 19 de la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protecci6n de datos personales, atribuye a la Superintendencia de industria y Comercio la función de ejercer la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la ley. 

  

Adicionalmente, el artículo 21 señala dentro de las funciones a cargo de esta Superintendencia "Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos" e "impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuaci6n de las operaciones de las responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley".  

  

De otra parte, el artículo 26 de la Ley 1581 de 2012 regula la transferencia internacional de datos personales, para lo cual establece coma regla general la prohibici6n de transferir datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protecci6n de datos, salvo las excepciones que expresamente señala, y prevé que "Se entiende que un país ofrece un nivel adecuado de protecci6n de datos cuando cumpla con las estándares fijados para la Superintendencia de industria y Comercio sobre la materia, las cuales en ningún caso podrán ser inferiores a las que la presente ley exige a sus destinatarios".  

  

Par lo anterior, es necesario establecer los estándares que permitan determinar que países cuentan con un nivel adecuado de protecci6n de datos personales, a las cuales se podrán transferir y transmitir datos personales en atenci6n a los mandatos de la ley. 

  

3. Instructivo  

  

Adicionar un Capítulo Tercero al Título V de la Circular Única, sobre transferencia internacional de datos personales, el cual quedara así: 

  

"CAPITULO TERCERO: TRANSFERENCIA Y TRANSMISION DE DATOS PERSONALES A TERCEROS PAIS ES  

  

3.1 Estándares de un nivel adecuado de protección en el país receptor de la inforrnaci6n personal  

  

El análisis para establecer si un país ofrece un nivel adecuado de protección de datos personales, a efectos de realizar una transferencia internacional de datos, estará orientado a determinar si dicho país garantiza la protección de los mismos, con base en los siguientes estándares: 

  

  1. Existencia de normas aplicables al tratamiento de datos personales.
  2. Consagración normativa de principios aplicables al Tratamiento de datos, en otros: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulaci6n restringida, seguridad y confidencialidad.

  

  1. Consagración normativa de derechos de las Titulares.

  

  1. Consagración normativa de deberes de las Responsables y Encargados.

  

  1. Existencia de medias y vías judiciales y/o administrativas para garantizar la tutela de los derechos de las Titulares y exigir el cumplimiento de la ley.

  

f) Existencia de autoridad (es) publica (s) encargada (s) de la supervisión del Tratamiento de datos personales, del cumplimiento de la legislación aplicable y de la protección de las derechos de las titulares. 

  

3.2 Países que cuentan con un nivel adecuado de protección de datos personales  

  

Teniendo en cuenta los estándares señalados en el numeral 3.1 anterior, a continuación se relacionan lo países que garantizan un nivel adecuado de protección: 

  

a) 

Albania 

b) 

Alemania 

c) 

Argentina 

d) 

Austria 

e) 

Belgica 

Bulgaria 

g) 

Canada 

h) 

Chip re 

i) 

Costa Rica 

j) 

Croacia 

k) 

Dinamarca 

I) 

Eslovaquia 

m) Eslovenia 

n) 

Estonia 

o) 

España 

p) 

Finlandia 

q) 

Francia 

r) 

Grecia 

s) 

Hungria 

t) 

lrlanda 

u) 

Islandia 

v) 

Italia 

  1. Lituania
  2. Luxemburgo
  3. Malta

aa) Mexico 

bb) Noruega 

cc) Nueva Zelanda 

dd) Paises Bajos 

ee) Peru 

ff) Polonia 

gg) Portugal 

hh) Reino Unido 

ii) Republica Checa 

jj) Republica de Corea 

kk) Rumania 

II) Serbia 

mm) Suecia 

nn) Suiza 

oo) Uruguay 

  

Parágrafo: Cuando la Transferencia de datos personales se vaya a realizar a un país que no se encuentre en el listado presentado en este numeral, corresponderá al Responsable del tratamiento que realizara la transferencia verificar si ese país cumple con las estándares fijados en el numeral 3.1 anterior, caso en el cual podrá realizar la trasferencia, o, de no cumplirlos, solicitar la respectiva declaración de conformidad ante esta Superintendencia. 

  

3.3 Transmisión Internacional de información Personal  

  

La transmisión de datos que ocurre cuando el Responsable del tratamiento de datos personales ubicado en Colombia remite la información personal a un receptor fuera del territorio nacional, con el objeto de que este último realice un tratamiento par cuenta del Responsable, no requerirá ser informada al Titular ni contar con su consentimiento cuando exista un contrato de transmisión de datos personales en las términos del artículo 2.2.2.25.5.2 del Decreto 1074 de 2015. 

  

Si no se tiene dicho contrato, deberá cumplirse con alguna de las siguientes reglas: 

  

a) Informar al Titular la transmisión de datos y contar con su autorizaci6n para ello, o 

  

b) Observar lo previsto en el artículo 26 de la Ley 1581 de 2012, a saber: 

  

(i) Transmitir datos personales solo a países que proporcionen niveles adecuados de protecci6n de datos, para lo cual se deberá tener en cuenta lo establecido en las numerales 3.1 y 3.2 anteriores, o 

  

(ii) Estar dentro de una de las excepciones establecidas en las literales contenidos en el artículo 26 de la Ley 1581 de 2012, o 

  

(iii) Obtener una declaraci6n de conformidad emitida par esta Superintendencia". 

  

4. Vigencia  

  

La presente circular externa rige a partir de su publicaci6n en el Diario Oficial. 

  

Atentamente, 

  

PABLO FELIPE ROBLEDO DEL CASTILLO  

Superintendente de industria y Comercio