“Por el cual se adiciona la Sección 7 al Capítulo 25 del Título 2 de la Parte 2 del Libro 2 del Decreto 1074 de 2015, Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, sobre normas corporativas vinculantes para la certificación de buenas prácticas en protección de datos personales y su transferencia a terceros países\”, de conformidad con la obligación señalada en el artículo 27 de la Ley 1581 de 2012, que establece que “El Gobierno Nacional expedirá la reglamentación correspondiente sobre Normas Corporativas Vinculantes para la certificación de buenas prácticas en protección de datos personales y su transferencia a terceros países.”
“las políticas, principios de buen gobierno o códigos de buenas prácticas empresariales de obligatorio cumplimiento asumidas por el responsable del tratamiento de datos, establecido en el territorio colombiano, para realizar transferencias o un conjunto de transferencias de datos personales a un responsable que se encuentre ubicado por fuera del territorio colombiano y que haga parte de un mismo grupo empresarial.”, las cuales deben establecer mecanismos que cumplan con lo establecido en la Ley de Protección de Datos y sus reglamentos y el mismo Decreto 255, para que la información transferida sea:
a) Tratados de manera lícita, leal y transparente.
b) Recogidos con fines conocidos, determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.
c) Adecuados, pertinentes y limitados al mínimo necesario en relación a los fines para los que se traten.
d) Exactos y actualizados.
e) Conservados durante un periodo no superior al necesario.
f) Tratados bajo el control del responsable del tratamiento, quien, para cada operación de tratamiento, garantizará y demostrará el cumplimiento de las disposiciones del Decreto.
Para todos los efectos, dichas normas corporativas vinculantes serán de obligatorio cumplimiento, pues, en caso contrario, las empresas del grupo empresarial y cada uno de sus miembros serán solidariamente responsables del incumplimiento, y la Superintendencia de Industria y Comercio podrá investigar y sancionar al responsable en el territorio colombiano, por las infracciones de cualquiera de los miembros del grupo.
Así las cosas, las normas corporativas vinculantes deben contener, por lo menos, la siguiente información:
- La estructura y los datos de contacto del grupo empresarial de los miembros que aplicarán las normas corporativas vinculantes.
- Las transferencias que se harán, el tipo de tratamiento de datos y sus fines, el tipo de titulares afectados y el nombre de los terceros países.
- El carácter jurídicamente vinculante, para todas las entidades que conforman el grupo empresarial.
- La aplicación de los principios en materia de protección de datos.
- Los derechos de los titulares y los mecanismos y procedimientos para ejercerlos.
- Las medidas adoptadas para impedir las transferencias a otras entidades que no pertenecen al grupo empresarial.
- La persona o área encargada del cumplimiento de las normas corporativas vinculantes, y de la supervisión de la formación y del trámite de las reclamaciones.
- Los mecanismos para garantizar que se verifique el cumplimiento de las normas corporativas vinculantes.
- Los mecanismos para comunicar y registrar las modificaciones introducidas en las políticas y para notificar esas modificaciones a la Superintendencia de Industria y Comercio.
- El plan de formación en protección de datos para el personal que tenga acceso permanente o habitual a datos personales.
Estas normas corporativas vinculantes están sujetas a la aceptación, en primera medida, del órgano corporativo correspondiente según los lineamientos y estatutos de la sociedad responsable o de los acuerdos dentro del grupo empresarial, y, posterior a ello, se deben someter a la aprobación de la Superintendencia de Industria y Comercio como autoridad encargada de garantizar la efectiva protección de los datos personales de los titulares.
Esperamos que la nueva norma beneficie tanto a las compañías y responsables miembros de grupos empresariales en la transferencia de datos entre ellos, y a los titulares en la garantía de su derecho fundamental al habeas data.
Autor: Angie Monroy Brito.
Contacto: amonroy@scolalegal.com , info@scolalegal.com
Fecha de publicación: abril 04 de 2022.
