Bogotá, D.C., 24 de octubre de 2025. La Superintendencia de Industria y Comercio (SIC), en su rol de autoridad nacional de protección de datos personales, emitió la Circular Externa No. 002 de 2025, en la que emite instrucciones a sus vigilados para afinar el cumplimiento del régimen de protección de datos personales en los procesos de transferencia de tecnología.

Las instrucciones responden al creciente uso de tecnologías que, en ciertas ocasiones, involucran el tratamiento de datos personales, especialmente en contextos de innovación, investigación científica y desarrollo tecnológico, y apunta a garantizar que estos procesos se realicen bajo el marco legal vigente, y tengan en cuenta el deber de respetar el derecho fundamental a la protección de datos personales. 

La SIC recuerda que toda transferencia de tecnología que involucre datos personales debe cumplir con la Ley 1581 de 2012, el Decreto 1074 de 2015 y demás normas aplicables. Esto incluye la adopción de medidas preventivas, el respeto por los principios de tratamiento de datos personales y la implementación de mecanismos de responsabilidad demostrada.

Instrucciones clave para los sujetos vigilados

La circular establece cuatro instrucciones que deben ser adoptadas por proveedores y receptores de tecnologías:

1. Verificación preliminar del cumplimiento normativo: Los sujetos vigilados deben identificar si la tecnología transferida implica tratamiento de datos personales, y evaluar el cumplimiento de la normativa vigente, incluso cuando la transferencia de datos sea de carácter internacional.

2. Responsabilidad demostrada: Los sujetos vigilados deben implementar sistemas de gestión de riesgos, orientados a garantizar el derecho fundamental a la protección de datos personales, documentar las decisiones adoptadas y ejercer medidas correctivas antes de la implementación definitiva de la tecnología transferida.

3. Protección de datos personales desde el diseño y por defecto: En los procesos de transferencia de tecnología, los sujetos vigilados deben procurar que la arquitectura tecnológica integre o se acompase con los principios de tratamiento de datos personales (libertad, necesidad, seguridad y confidencialidad). Asimismo, deben adoptar medidas proporcionales al tipo de tratamiento y contexto, limitar la recolección de datos a lo estrictamente necesario y promover técnicas de anonimización o seudonimización cuando ello sea viable.

4. Incorporación de garantías contractuales: Se sugiere que los contratos que formalicen la transferencia de tecnología incluyan cláusulas específicas que definan las responsabilidades de las partes frente al tratamiento de datos personales, establezcan medidas técnicas y administrativas para su protección, regulen las condiciones de transmisiones internacionales de datos personales y contemplen mecanismos de supervisión y auditoría que permitan verificar el cumplimiento de las obligaciones legales en este tratamiento.

    

Un llamado a la innovación responsable

La SIC destaca que estas instrucciones no buscan limitar la innovación a través de la transferencia de tecnología, sino potenciarla de forma segura, sostenible y responsable, promoviendo el respeto por los derechos fundamentales. 

Además, la Superintendencia recuerda que entre sus funciones está velar por el cumplimiento de la legislación en materia de protección de datos personales, impartiendo instrucciones y procedimientos para que las entidades adecuen sus operaciones a la Constitución y a la Ley.

Con esta circular, la SIC refuerza su compromiso con la protección de los datos personales en un entorno cada vez más digitalizado, en el que las transferencias de tecnología son clave. La entidad invita a todos los actores del ecosistema de innovación (sector público, privado y académico) a adoptar un enfoque preventivo y colaborativo que garantice la confianza ciudadana en el uso de las tecnologías digitales.