Transferencia internacional de datos personales: impactos y beneficios

José Alejandro Bermúdez Durana, abogado, experto en protección de Datos Personales, socio y fundador de la firma Bermúdez Durana Asociados y exsuperintendente Delegado para la Protección de Datos Personales de la Superintendencia de Industria y Comercio, nos ayuda a entender el alcance del proyecto de circular propuesto por la SIC sobre la transferencia internacional de datos personales, que en la actualidad se encuentra en comentarios, y sus impactos y beneficios para la industria
Desde La Promulgación De La Ley 1581 De 2012, General De Protección De Datos, Se Previeron Unas Reglas especiales sobre transferencias internacionales de datos personales orientadas a garantizar que en cualquier operación que involucre el flujo transfronterizo de información, se proteja a los colombianos de igual manera a como se protegerían si esta se mantuviera bajo el control exclusivo de un responsable en Colombia. Entre otras cosas, la norma prohibió dichas transferencias a menos que (i) la transferencia se haga a un país con un nivel adecuado de protección de datos, (ii) la transferencia se encuentre cobijada en alguna de las excepciones que se prevén en el artículo 26 de la ley estatutaria o (iii) la SIC, a solicitud de parte, profiera una declaración de conformidad que autorice dicha transferencia, esto último cuando el responsable haya presentado documentación suficiente que permita concluir que la transferencia no lesionará los derechos de los titulares.
Además, de esta norma general para transferencias, el Decreto 1377 de 2013 introdujo criterios diferenciadores para distinguir las transferencias hechas a un responsable de aquellas hechas a un encargado, denominando a estas últimas transmisiones. Como novedad, se introdujo en el artículo 24 una excepción a la necesidad de contar con la autorización del titular, cuando las transmisiones estén soportadas en un contrato que cumpla con los requisitos mínimos establecidos en el artículo 25 y que esencialmente obligan al encargado a tratar los datos personales que recibe conforme a los principios legales y los deberes de seguridad y confidencialidad.
El proyecto de resolución publicado por la SIC tiene como propósito principal establecer los criterios de la entidad para considerar que un tercer país es adecuado en materia de protección de datos y definir las condiciones para obtener las declaraciones de conformidad. En términos generales, es muy bienvenido que la SIC establezca estos criterios, y la entidad acierta al vincular, dentro del proyecto, el principio de responsabilidad demostrada como una condición que los responsables no pueden eludir, en cualquier flujo internacional de datos.
Es importante resaltar que la circular no le otorga un ‘cheque en blanco’ a las compañías para transferir información por fuera de las fronteras nacionales. Muy por el contrario, de ser aprobado el proyecto, este se convertirá en un instrumento que facilitará las transacciones que involucran transferencias de información personal, eliminando trabas innecesarias, pero manteniendo la efectiva protección del derecho de los titulares. Se deja claro, eso sí, que es deber de los responsables, en cualquier operación que involucre tratamiento, “implementar medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en (el) Régimen General de Protección de Datos Personales”. Este deber resulta absolutamente claro en el parágrafo primero del numeral 3.2 del proyecto, cuando se resalta que los responsables deben estar en capacidad de demostrar la implementación de dichas medidas, inclusive en aquellos escenarios donde las transferencias se realicen a países incluidos en el listado de países “adecuados”.
Finalmente, resulta acertada la posición de la SIC en el sentido de aclarar que “el simple tránsito transfronterizo o redirección de datos no comporta una transferencia de datos a terceros países”. Este criterio, que necesariamente deberá ser desarrollado con doctrina de la Delegatura para determinar con mayor precisión su alcance, es un reconocimiento de que no existe un solo tipo de encargado del tratamiento y que en consecuencia, la evaluación de los tratamientos debe diferenciar entre aquellos donde se añade valor en el procesamiento de aquellos de mero tránsito que cumplen un propósito operativo.
¿Qué aspectos de los que se pretenden regular en dicho proyecto de circular, representan beneficios para el sector de BPO, Contact Center y la industria de la Cobranza?
El sector de BPO, Contact Center y Cobranza depende, quizá como pocos otros, del tratamiento de datos personales como parte del core de su negocio. Es de la esencia misma de la tercerización la entrega de bases de datos, con instrucciones precisas, para adelantar una labor por cuenta de un tercero, denominado responsable del tratamiento. Al fijar la entidad los criterios que determinan que una serie de países se consideren adecuados, se abre para la industria la posibilidad de gestionar información por fuera de las fronteras de manera más ágil, sin recurrir a procedimientos que podrían encarecer los costos de transacción. Esto, en principio, debería leerse como un elemento de competitividad para la industria. Ahora bien, la facilitación de los flujos de información también implicará, para la industria, una apertura competitiva, donde más jugadores extranjeros se verán beneficiados por los menores costos operativos asociados a las transferencias. Esto podría implicar, en el mediano plazo, el desplazamiento de servicios a terceros países con regímenes adecuados en protección de datos.
En cualquier caso, la industria deberá seguir trabajando en afianzar sus buenas prácticas para beneficiarse de esta apertura de fronteras digitales. El mensaje de la SIC es claro: hay un reconocimiento y una voluntad para facilitar las transferencias internacionales sin olvidar nunca que, para que esto sea posible, los responsables del tratamiento deben estar en capacidad de demostrar su adherencia a estándares de protección de datos que le aseguren a los ciudadanos que su información estará protegida con independencia del destino.
¿Y cuáles aspectos resultan inconvenientes para la competitividad o representan amenazas, o derivarán mayores costos, para el sector?
Dentro del proyecto de circular parece no ser muy claro si, a partir del mismo, se introduce una restricción mayor a las transmisiones de datos frente a las denominadas transferencias.
El Decreto 1377 de 2013, con buen criterio, diferenció entre unas y otras, entendiendo por transferencias aquellas hechas de responsable a responsable y por transmisiones (donde típicamente se ubican las operaciones del sector) las realizadas entre un responsable y un encargado. Esa diferenciación, en el decreto, opera cuando existe un contrato que cumpla con la totalidad de los requisitos antes mencionados.
En la medida en que el proyecto de circular no recoge la diferenciación del Decreto 1377 entre transferencias y transmisiones de datos personales, de no aclararse este concepto subsistirá la duda de si la misma introduce una carga más gravosa para las transferencias operativas entre responsables y encargados, frente a aquellas que se hacen entre dos responsables. Será muy bienvenido que la SIC, al estudiar los comentarios presentados, estudie la posibilidad de aclarar este punto en el texto del proyecto mismo o mediante doctrina.