Protección de Datos Personales
Normas Corporativas Vinculantes
Por medio de la Ley Estatutaria 1581 de 2012, el Estado Colombiano estableció una serie de prohibiciones para la transferencia de datos personales cuando un determinado país no proporciona un nivel adecuado de protección.
No obstante, existen algunas excepciones cuando subsisten situaciones como:
- Aquellas establecidas en el artículo 26 de la Ley Estatutaria 1581 de 2012.
- La existencia de una Declaratoria de Conformidad por parte de la Superintendencia de Industria y Comercio.
- Las Normas Corporativas Vinculantes.
Precisamente, el artículo 27 de la Ley Estatutaria 1581 de 2012, dispuso que: "El Gobierno Nacional expedirá la reglamentación correspondiente sobre Normas Corporativas Vinculantes para la certificación de buenas prácticas en protección de datos, persona/es y su transferencia a terceros países". De ahí que, por medio del Decreto 255 del 23 de febrero de 2022 que adicionó la Sección 7 al Capítulo 25 del Título 2 de la Parte 2 del Libro 2 del Decreto 1074 de 2015, se reglamentó dicha disposición.
De esta manera, en seguimiento de lo dispuesto en el artículo 2.2.2.25.7.6 del Decreto 1074 de 2015, se emiten las siguientes instrucciones sobre lo que deben contener las Normas Corporativas Vinculantes y la fecha desde la cual pueden presentarse las solicitudes de aprobación de dichas Normas ante esta entidad:
Las Normas Corporativas Vinculantes son las políticas, principios de buen gobierno o códigos de buenas prácticas empresariales de obligatorio cumplimiento asumidas por el responsable del tratamiento de datos, establecido en el territorio colombiano, para realizar transferencias o un conjunto de transferencias de datos personales a un responsable que se encuentre ubicado por fuera del territorio colombiano y que haga parte de un mismo grupo empresarial.
Las Normas Corporativas Vinculantes son de obligatorio cumplimiento para el grupo empresarial que recibió, previa solicitud, la certificación de dichas Normas por parte de la Superintendencia de Industria y Comercio, en particular, cuando realicen transferencias o conjunto de transferencias de datos personales desde Colombia, por parte de un Responsable de Tratamiento establecido en ese territorio, a un Responsable de dicho grupo ubicado fuera del territorio colombiano, salvo que el grupo empresarial aplique otros mecanismos de transferencia de datos establecidos en la legislación colombiana.
Según el artículo 28 de la Ley 222 de 1995: “Habrá grupo empresarial cuando además del vínculo de subordinación, exista entre las entidades unidad de propósito y dirección.
Se entenderá que existe unidad de propósito y dirección cuando la existencia y actividades de todas las entidades persigan la consecución de un objetivo determinado por la matriz o controlante en virtud de la dirección que ejerce sobre el conjunto, sin perjuicio del desarrollo individual del objeto social o actividad de cada una de ellas.
Corresponderá a la Superintendencia de Sociedades, o en su caso a la de Valores o Bancaria, determinar la existencia del grupo empresarial cuando exista discrepancia sobre los supuestos que lo originan”.
En concordancia con el artículo 2.2.2.25.7.5. del Decreto 1074 de 2015, las Normas Corporativas Vinculantes que adopte un grupo empresarial deberán contener como mínimo lo siguientes requisitos:
1. La estructura y los datos de contacto del grupo empresarial y de cada uno de sus miembros a los cuales les es de obligatorio cumplimiento las Normas Corporativas Vinculantes.
Se entiende por “datos de contacto”:
- Estado/provincia/departamento, entre otros.
- Ciudad
- Dirección física
- Correo electrónico
- Teléfono
- Representante legal
- Cualquier otro que considere relevante
2. Las transferencias o serie de transferencias de datos, incluidas las categorías de datos personales, el tipo de tratamiento y sus fines, el tipo de titulares afectados y el nombre del tercer o los terceros países.
3. Su carácter jurídicamente vinculante, para todas las entidades que conforman el grupo empresarial.
4. La aplicación de los principios generales en materia de protección de datos establecidos en la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias.
5. La referencia a los derechos de los titulares previstos en la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias, así como los medios efectivos para ejercerlos.
6. Las medidas adoptadas para impedir las transferencias a otras entidades que no pertenecen al grupo empresarial. Lo anterior, sin perjuicio de lo consagrado en el artículo 26 de la Ley Estatutaria 1581 de 2012.
7. La referencia al personal encargado del cumplimiento de las normas corporativas vinculantes, así como la supervisión de la formación y del trámite de las reclamaciones.
8. Los mecanismos establecidos dentro del grupo empresarial para garantizar que se verifique el cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del titular del dato.
9. Los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las políticas y para notificar esas modificaciones a la Superintendencia de Industria y Comercio.
10. La formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales.
11. Los procedimientos para que los titulares presenten consultas o reclamos y estos sean atendidos oportunamente de conformidad con lo previsto en la Ley Estatutaria 1581 de 2012.
12. La adopción de medidas de responsabilidad demostrada (accountability) para comprobar que se han implementado medidas útiles, oportunas, pertinentes y eficientes para cumplir las normas corporativas vinculantes y lo establecido en este decreto.
Se recomienda consultar la “Guía para la implementación del Principio de Responsabilidad Demostrada en las Transferencias Internacionales de Datos Personales”, 2021.
13. El tiempo de vigencia establecido para las Normas Corporativas Vinculantes por parte del órgano correspondiente, según los estatutos de la sociedad o los acuerdos del grupo empresarial.
En adición, deberán contener las especificaciones o requisitos adicionales que haga la Superintendencia de Industria y Comercio con base en los anteriores numerales.
La Superintendencia de Industria y Comercio, en su rol de Autoridad Nacional de Protección de Datos Personales, aprobará las Normas Corporativas Vinculantes que cumplan los siguientes requisitos.
1. Sean jurídicamente vinculantes y se apliquen a todos los miembros que hacen parte del mismo grupo empresarial responsables de la transferencia y tratamiento de protección de los datos personales de los titulares.
2. Confieran expresamente a los titulares de los datos la facultad de ejercer los derechos previstos en la Ley Estatutaria 1581 de 2012.
3. Cumplan los requisitos establecidos en el Decreto 255 del 23 de febrero de 2022.
Las Normas Corporativas Vinculantes solo podrán ser sometidas a la aprobación de la Superintendencia de Industria y Comercio, por parte de un miembro del grupo empresarial ubicado en el territorio de la República de Colombia, una vez hayan sido aprobadas por el órgano correspondiente según los estatutos de la sociedad o los acuerdos del grupo empresarial.
En los casos en que las Normas Corporativas Vinculantes no sean aprobadas por la Superintendencia de Industria y Comercio, los ajustes requeridos por la autoridad, una vez realizados, deben contar con la aprobación del órgano social o contractual correspondiente, antes de ser sometidas, nuevamente, a aprobación.
En caso de existir cambios sustanciales a las Normas Corporativas Vinculantes previamente aprobadas, referidos a los requisitos generales mínimos señalados en este documento, en concordancia con el artículo 2.2.2.25.7.5. del Decreto 1074 de 2015, estas deberán ser notificadas y debidamente justificadas a la Superintendencia de Industria y Comercio.
La transferencia no se podrá realizar a un nuevo miembro de las Normas Corporativas Vinculantes que haga parte del grupo empresarial hasta que éste no esté efectivamente obligado por aquellas y esté en capacidad de cumplirlas.
Cuando una modificación pueda o llegue a afectar el nivel de protección ofrecido por las Normas Corporativas Vinculantes, la Superintendencia de Industria y Comercio podrá, en atención al literal e) del artículo 21 de la Ley 1581 de 2012, impartir instrucciones sobre las medidas y procedimientos necesarios para garantizar el nivel de protección ofrecido por las Normas Corporativas Vinculantes.
Las normas que sean formalmente presentadas ante la Superintendencia de Industria y Comercio solo estarán vigentes a partir de la fecha en que la Superintendencia de Industria y Comercio, emita su certificación y es, a partir de ese momento, que pueden iniciar a aplicarse.
Las empresas del grupo empresarial y cada uno de sus miembros serán solidariamente responsables del cumplimiento de las Normas Corporativas Vinculantes. En consecuencia, la Superintendencia de Industria y Comercio puede requerir, investigar y sancionar al Responsable del Tratamiento de Datos establecido en el territorio colombiano, por las infracciones que cometa cualquiera de los miembros del grupo empresarial.