La Transmisión de Datos Personales

Por Andrés Mauricio Molina

Abogado y Consultor Legal

@maomolina10

La comunicación de información personal con terceros, es una práctica que se da a diario entre personas como entre empresas,  bien sea por el avance tecnológico constante que se ha presentado desde hace unos años, por la proliferación de las redes sociales, o por el desarrollo de los diversos modelos de negocio de las organizaciones que tienen en su poder los datos personales de sus clientes, empleados y en algunos casos de sus proveedores, esta dinámica representa un riesgo para quienes en la práctica y de acuerdo a la Ley deben responder por el cumplimiento de la normatividad colombiana en materia de privacidad (Ley 1581 de 2012 Estatutaria sobre Protección Datos Personales) es decir los Encargados y Responsables del Tratamiento.

El Responsable del tratamiento, de acuerdo a la citada Ley 1581 de 2012, artículo 3 literal E, Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los mismos, mientras que por otro lado, el literal D) del mismo artículo define al Encargado del Tratamiento como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

Es necesario resaltar que el concepto de Tratamiento, también se encuentra definido en la mencionada norma, también en su artículo 3, que mediante el literal G) establece que el tratamiento es cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Para una mayor comprensión de estos conceptos se utilizará un ejemplo: “La Revista A”, recolecta la información personal de sus suscriptores con el fin de entregarles en sus direcciones de domicilio o donde ellos lo prefieran, el ejemplar mensual de su revista, para ello recoge y administra una serie de datos personales como, nombres, cedula, dirección y teléfono, en este momento ya es posible identificar a “la Revista A” como el Responsable del tratamiento ya que es quien decide y se puede reconocer como el propietario de la Base de Datos.

No se debe confundir la propiedad de la Base de Datos, con la propiedad de los datos personales que contiene, ya que para el ejemplo son los suscriptores de la revista, como titulares de la información personal, los únicos dueños de sus datos, quienes pueden ejercer los derechos a Conocer, Actualizar, Rectificar, Incluir, Excluir o Suprimir los mismos, mientras que la Base de datos que agrupa esta información sí es de propiedad de la “Revista A”.

Cabe aclarar que como Responsable del tratamiento, “la Revista A” está sujeta al régimen general de la Ley 1581 de 2012 y en especial a los requerimientos de su artículo 17, que establece los deberes para Responsables del Tratamiento.

Continuando con el ejemplo, “la Revista A” con el fin de entregar los ejemplares de la revista contrata con una Empresa de Envío de Mercancía, la “Empresa B”. Para la ejecución del contrato “la Revista A” entrega a la “Empresa B” una planilla (base de datos), con la información personal de los suscriptores, para realizar la entrega de los ejemplares de la revista, ejerciendo tratamiento (uso) sobre dicha información en virtud de la ejecución del contrato.

En ese orden de ideas, “la Empresa B” de mensajería, es el Encargado del Tratamiento, puesto que realiza un tratamiento sobre la información personal por cuenta del Responsable del Tratamiento en el marco de un contrato y deberá cumplir con las disposiciones del artículo 18 de la Ley 1581 de 2012, como los demás requerimientos que establece dicha Ley.

VÍNCULO JURÍDICO ENTRE RESPONSABLE Y ENCARGADO

Es necesario abordar  otro concepto importante que introduce la ley 1581 de 2012 para el tema de Encargados y Responsables del Tratamiento, que es la Transmisión nacional o internacional de información personal, pues es dicha Transmisión, la figura jurídica por la cual el Responsable del tratamiento comunica al Encargado los datos personales, para que este último ejerza el tratamiento correspondiente sobre ellos, siendo el vínculo jurídico que legitima dicha transmisión el contrato celebrado que da origen al tratamiento.

El artículo 3 numeral 5 del Decreto 1377 de 2013, el cual reglamenta parcialmente la Ley 1581 de 2012, define la transmisión de información, como el Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia, cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

En el ejemplo anterior se pudo observar que la información personal es en principio recolectada y administrada por una organización (“Revista A”), que es Responsable del Tratamiento, así mismo se observó que dicha información es comunicada a un tercero (“Empresa B”) quien accede a la información personal en calidad de Encargado del Tratamiento, en el marco de un contrato que para el ejemplo seria la prestación de un servicio de entrega de mercancía.

No obstante lo anterior, se aclara que el vínculo contractual que origine la transmisión de la información, puede ser cualquier tipo de contrato; De entrega de mercancía, de transporte, de cobranza, de corresponsal bancario y en general cualquier relación contractual, siempre y cuando para su ejecución se requiera la comunicación de información personal o permitir el acceso a ella por parte de un tercero que actúe como Encargado del Tratamiento.

TRANSMISION Y TRANSFERENCIA DE DATOS PERSONALES

Es necesario precisar los límites de la figura de la Transmisión de Información y no confundirla con la Transferencia de Información, que es un concepto con implicaciones jurídicas distintas, pues como se vio en la Transmisión de Información, se comunican datos para que un Encargado realice un tratamiento sobre ellos, en virtud de un contrato o por cuenta del Responsable, mientras que la Transferencia de Información, implica el envío de la información personal por parte del Responsable hacia un destinatario, que al recibir dicha información asumirá también la calidad de Responsable del Tratamiento, en consecuencia asumirá las obligaciones del Responsable del tratamiento sobre la información.

La Transferencia de Información Personal está regulada en el Decreto 1377 de 2013, artículo 3 numeral 4, el cual establece que la transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país, esta figura tiene diversas características y obstáculos para su aplicación en la práctica, los cuales analizarán en otro momento.

CONTRATO DE TRANSMISIÓN INTERNACIONAL DE DATOS PERSONALES

La Ley 1581 de 2012 se ocupó principalmente de regular la Transferencia de Información a terceros países, estableciendo la prohibición de transferir datos a países que no cuenten con un régimen adecuado en materia de protección de datos personales, introduciendo también algunas excepciones para dicha prohibición y regulando otros aspectos relativos a la Transferencia.

Por su parte la Transmisión de los Datos fue regulada mediante el Decreto 1377 de 2013, esta disposición estableció en su artículo 24 las reglas tanto para la Transferencia como para la Transmisión de información, el numeral 2 de este artículo establece:

“las transmisiones internacionales de datos personales que se efectúen entre un responsable y un encargado para permitir que el encargado realice el tratamiento por cuenta del responsable, no requerirán ser informadas al Titular ni contar con su consentimiento cuando exista un contrato en los términos del artículo 25 siguiente”.

De esta manera, se permite la transmisión de datos personales a nivel internacional sin la autorización del titular, cuando de por medio haya un contrato de Transmisión de datos, este contrato debe contemplar los mínimos del artículo 25 del decreto 1377, que son:

  • Los alcances del tratamiento a realizar por parte del Encargado.
  • Las actividades que el Encargado realizará por cuenta del Responsable para el tratamiento de los datos personales.
  • El compromiso del Encargado a cumplir con la Política de Protección de Datos del Responsable.
  • Dentro de las obligaciones del Encargado:
  •   Dar Tratamiento, a nombre del Responsable, a los datos personales conforme a los principios que los tutelan.
  •   Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.
  •   Guardar confidencialidad respecto del tratamiento de los datos personales.

En un buen Contrato de Transmisión de Datos Personales, deberán indicarse otros aspectos de gran importancia como:

  • Las medidas de seguridad tecnológicas o físicas que se implementaran sobre los canales a través de los cuales se realizará la transmisión de la información.
  • Las finalidades autorizadas por el titular de los datos al Responsable del Tratamiento, para que el Encargado solo ejerza tratamiento sobre los datos hasta donde dicha finalidad lo autorice.
  • Las medidas de seguridad a tomar por el Encargado sobre la información, para evitar su acceso, adulteración, destrucción no autorizados o fraudulentos, como para evitar la fuga de información.
  • Los canales para que los titulares ejerzan sus derechos frente al Encargado del Tratamiento.
  • Las medidas a tomar sobre la información objeto de comunicación, una vez se termine la ejecución del contrato, bien sea su destrucción o devolución al Responsable.
  • La responsabilidad por el incumplimiento del contrato frente al manejo de la información personal, teniendo en cuenta que la materialización de cualquier riesgo sobre los datos personales como fuga, alteración o acceso no autorizado, entre otros, puede traer sanciones de caracter económico, a nivel administrativo e incluso penal.

Es también de resaltar que los Responsables del tratamiento, al momento de hacer el registro de sus bases de datos, en el Registro Nacional de Bases de datos (RNBD), deberán declarar si actúa algún Encargado del tratamiento sobre dichas bases de datos y relacionar los datos de contacto del mismo, con el fin de que los titulares puedan también ejercer sus derechos frente a dicho Encargado.

Por último es importante tener en cuenta, que como se mencionó en varias ocasiones, tanto Responsables como Encargados del tratamiento de datos personales, deben cumplir además de los requerimientos para la transmisión de la información, con el régimen general de la Ley 1581 de 2012, esto es, contar con unas políticas de protección de datos aterrizadas a la realidad práctica de la organización, recoger la autorización del titular para el manejo de sus datos, implementar medidas de seguridad sobre la información automatizada como sobre los soportes físicos, definir canales para la atención de los derechos de los titulares de la información, realizar el registro de sus bases de datos en el RNBD  y en general dar cumplimiento a toda la legislación en materia de privacidad.

Puede pasar que las organizaciones estructuren un excelente contrato para la transmisión de información, delimitando bien la responsabilidad del Encargado, como contemplando los demás aspectos jurídicos, pero si alguna de las dos partes, carece de políticas, no cuentan con la autorización del titular para el manejo de sus datos o faltan en cualquiera de las exigencias de la Ley, en caso de tener problemas con la información, pueden ser objeto de investigación y sanción por parte de la autoridad competente, que como se sabe es la Superintedencia de Industria y Comercio a través de la Delegatura para la Protección de Datos Personales.

Sin duda alguna el tema de la transmisión y la transferencia de datos personales dará mucho mas de que hablar, debido a las nuevas tendencias de la tecnología para el manejo de información como el Cloud Computing, los modelos de negocio que se han desarrollado en torno a los datos, que consisten en la compra de los mismos a sus titulares, La masificación en el desarrollo y uso de aplicaciones móviles cuya materia prima son los datos personales de sus usuarios y el avance tecnológico constante que mencionamos al principio, harán de ésta una práctica mucho más común de lo que ya es en el mundo, que además representará un reto a nivel contractual para las organizaciones y los proveedores de servicios relacionados con tratamiento de información.

Publicaciones Similares