Heidy Balanta
Docente y consultora en protección de datos personales

El régimen de transferencias internacionales de datos personales suele generar dudas en Colombia. Existen elementos particulares que han contribuido a esa confusión, especialmente la referencia al concepto de transmisión de datos personales y la equivocada tendencia a hablar de transferencias nacionales, entre otros. (temas que abordaré en otra columna). A continuación, presento un mapeo de cómo opera este régimen y por qué es relevante.

La premisa básica del régimen de transferencias internacionales de datos consiste en que, cuando los datos personales salen del país, deben mantener  el mismo nivel de protección que  tendría en su lugar de origen. A partir de ese principio, se construye un marco regulatorio que articula obligaciones, excepciones y garantías adicionales.

Para cumplir dicha premisa, los países establecen como primera medida qué Estados receptores de la información se consideran seguros para permitir la transferencia. Esto se hace mediante un análisis y estudios para verificar si el país de destino cuenta con una legislación robusta o equivalente a la del país de origen. Normalmente se tienen en cuenta aspectos como el reconocimiento de derechos, las obligaciones y garantías exigibles, los mecanismos para el ejercicio de los derechos, la existencia de autoridades competentes y otros criterios relevantes.

A partir de esa definición, ya sea que los países adopten una lista de países seguros, como ocurre en Colombia, o una decisión de adecuación, como en la Unión Europea, se configura un primer criterio: si el país receptor está en esa lista o cuenta con dicha decisión, la transferencia puede realizarse. La lista de países seguros se encuentra definida en el capítulo 3 del Título V de la Circular Única de la Superintendencia de Industria y Comercio (SIC). Por ejemplo, los únicos países que cuentan con decisión de adecuación por parte de la Comisión Europea en América Latina para efectos de transferencias internacionales de datos personales son Uruguay y Argentina.

Sin embargo, los países no siempre cuentan con leyes o estándares convergentes en materia de protección de datos personales, por lo que esas listas de países seguros o decisiones de adecuación suelen ser bastante limitadas. En consecuencia, se deben establecer mecanismos que permitan realizar transferencias de datos personales hacia países que no alcanzan ese nivel de protección, garantizando medidas adecuadas, especialmente cuando existe relación comercial o intercambio de servicios entre las organizaciones involucradas.

Conforme a lo anterior, en el caso colombiano, cuando el país receptor no se encuentra en la lista de países seguros, la transferencia solo puede realizarse bajo las excepciones previstas en el artículo 26 de la Ley 1581 de 2012. Esto incluye escenarios como: cuando el titular ha otorgado autorización expresa; cuando se trata de información médica requerida por razones de salud pública; en operaciones bancarias o bursátiles reguladas; en el marco de tratados internacionales suscritos por Colombia; cuando es indispensable para ejecutar un contrato o medidas precontractuales con autorización del titular; o cuando existe una exigencia legal para proteger el interés público o para el reconocimiento, ejercicio o defensa de derechos en procesos judiciales.

Si la transferencia tampoco se enmarca en las excepciones anteriores, el responsable del tratamiento debe solicitar una declaración de conformidad ante la SIC para poder realizarla. En esencia, se trata de un estudio previo que el responsable debe efectuar para justificar por qué resulta viable transferir los datos al país que no se encuentra incluido en la lista de países seguros establecida por la SIC.

Adicionalmente, la legislación ha incorporado una figura aplicable a grupos empresariales para las transferencias internacionales de datos, conocida como Normas Corporativas Vinculantes (BCR, por su sigla en inglés). Este instrumento está limitado exclusivamente a empresas que formen parte de un mismo grupo empresarial y cuenten con estructuras y procesos corporativos comunes que garanticen el cumplimiento interno de los estándares de protección de datos personales en todos los países donde operan.

En otros modelos regulatorios existen las cláusulas contractuales modelo, un mecanismo que permite incorporar obligaciones específicas de protección de datos en los contratos entre responsables, o entre responsables y encargados, cuando la transferencia se realiza hacia un país que no es considerado seguro. En el caso colombiano, esta figura no está reconocida expresamente en la legislación. No obstante, actualmente la SIC cuenta con un proyecto de circular en el que recomienda su uso como garantía adicional, es decir, cumplidos los requisitos aplicables para transferir datos a un país no seguro, el responsable puede incorporar estas cláusulas. En dicha recomendación, la SIC sugiere considerar las cláusulas modelo de la Red Iberoamericana de Protección de Datos Personales.

Existen otro tipo de medidas o garantías adicionales para realizar transferencias a países que no garantizan un nivel adecuado de protección. Estas alternativas no se encuentran desarrolladas ni reconocidas en Colombia, pero sí se observan en otros modelos regulatorios. Entre ellas se incluyen, por ejemplo, instrumentos jurídicamente vinculantes y exigibles entre autoridades u organismos públicos; códigos de conducta acompañados de compromisos vinculantes y exigibles del responsable o encargado del tratamiento en el tercer país para aplicar garantías adecuadas, y mecanismos de certificación, también con compromisos vinculantes y exigibles del responsable o encargado en el tercer país para garantizar dichas medidas, incluidos los derechos de los titulares.

Finalmente, en un entorno digital interconectado como el actual, los flujos de información no reconocen fronteras. Servicios en la nube, plataformas tecnológicas, tercerización, cooperación internacional y operaciones comerciales dependen del intercambio transfronterizo de datos personales. Un régimen sólido de gobernanza de datos no solo protege los derechos de las personas, sino que también brinda seguridad jurídica, fortalece la competitividad y facilita la integración de Colombia en ecosistemas globales de servicios y tecnología. Comprender estas reglas no es únicamente un asunto de cumplimiento,  es una condición para participar de manera responsable y estratégica en la economía digital contemporánea.  

Siga nuestro canal de WhatsApp

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.