Antecedentes de la Circular 5 de 2017 de la SIC: transferencias internacionales de datos personales

Por: Nelson Remolina Angarita (11/08/2017).

La Superintendencia de Industria y Comercio (SIC), autoridad colombiana de protección de datos, expidió la Circular Externa 5 del 10 de agosto de 2017  para, entre otros,  declarar a los Estados Unidos como un país que tiene nivel adecuado de protección de datos.

Colombia es el primer país en el mundo que toma esa decisión. La Unión Europea y otros países latinoamericanos (Uruguay), decidieron que sólo algunas empresas de los Estados Unidos tienen nivel adecuado, siempre y cuando cumplan unos requisitos. Pero no todo el territorio de los Estados Unidos.

La Circular 5 de 2017 es un retroceso en la protección de los derechos de los colombianos cuyos datos se envían a los Estados Unidos. Se trata de una decisión apresurada, errada, poco estudiada, innecesaria –en los términos que se adoptó- e inconsistente con la función que tiene la SIC como autoridad de protección de datos.

La Circular 5 de 2017  favorece a las empresas -lo  cual está muy bien-, pero desfavorece a los ciudadanos -lo cual está muy mal-. La SIC no quiso tomar una decisión equilibrada entre los derechos de los colombianos y los intereses de algunas empresas extranjeras. Ambos son legítimos pero es necesario llegar a un punto de equilibrio que no sacrifique los derechos humanos en pro de la protección de los modelos de negocios de ciertas organizaciones.

En suma, pese a solicitudes académicas en ese sentido, la SIC demostró su falta de voluntad para adoptar medidas equilibradas. Al contrario, la Circular 5 brilla por la ausencia de ponderación entre negocios y derechos humanos.

Adicionalmente, es una Circular cuestionable no sólo en la conclusión sino en el cómo se hizo. Destacamos que a pesar de la solicitud ciudadana del 19 de julio de 2017 en ese sentido, la SIC no quiso ampliar el plazo –hasta el 1 de septiembre de 2017- para presentar observaciones respecto del segundo proyecto de circular, cosa que sí hizo muy expeditamente cuando la misma solicitud la hicieron las empresas. Por ejemplo, el 7 de marzo de 2017 se difundió una nota sobre un supuesto muro digital que se crearía con la primera versión del proyecto de circular . Al día siguiente -8 de marzo- el  Superintendente de Industria y Comercio publicó un twitt manifestando que convocará a mesas de trabajo y la SIC difundio otro twitt afirmando que garantizará los derechos de las personas “sin importar donde se alojen sus datos”. (ver algunos twitts sobre muro digital, mesas de trabajo y objetivo de la SIC)

En síntesis, cuando la SIC dijo que USA no garantizaba nivel adecuado de proteccion de datos procedió de la siguiente manera: primero amplió plazos para presentar observaciones ciudadanas y segundo convocó a mesas de trabajo. Pero cuando la SIC concluyó que USA si garantiza nivel adecuado no hizo lo mismo ya que NO amplió plazos para presentar observaciones,  NI convocó a mesas de trabajo. Es más, la SIC el 11 de agosto manifestó que el 5 de septiembre se pronunciará sobre, entre otros, la solicitud de aplazamiento hasta el 1 de septiembre para presentar observaciones respecto de la circular 5 del 10 de agosto de 2017.

A continuación publicamos los principales antecedentes que conocemos para que saque sus propias conclusiones. El 19 de julio solicitamos a la SIC publicar todos los antecedentes de la decisión pero dicha entidad no lo hizo a pesar que debe hacerlo por mandato de la ley 1712 de 2014, la transparencia, el respeto de los colombianos, la política de buen gobierno y sobre todo, porque se trata de una información de evidente interés público. Una vez tomada la decisión contestó que responderá el 5 de septiembre (ver oficio) .

 

Primer proyecto de circular de la SIC en el que NO incluyó a los Estados Unidos dentro del listado de países con nivel adecuado de protección. (Febrero de 2017)

 

• Observaciones de nuestro observatorio (Marzo 8 de 2017)

•  Opinión nuestra titulada: ¿Debe Colombia incluir a los Estados Unidos dentro del listado de países que proporcionan niveles adecuados de protección de datos?. Decálogo de reflexiones académicas y ciudadanas?  (19 de abril de 2017)

 

Segundo proyecto de la SIC en el que SI incluyó a los Estados Unidos dentro del listado de países con nivel adecuado de protección. (Julio de 2017)

 

• Petición de publicación de todos los estudios , actas de mesas de trabajo de la SIC para concluir que Estados Unidos tiene nivel adecuado de protección y solicitud de ampliación de plazo para presentar observaciones. (Julio 19 de 2017) .

•  Carta de Martin Abrams, Director de The Information Accountability Foundation. (31 de julio de 2017)

•  Observaciones de nuestro observatorio respecto del segundo proyecto de la SIC (Agosto 2 de 2017)

•  Video de la intervención del 8 de agosto del Senado Jaime Amín ante la plenaria del Senado solicitando a la SIC que adopte medidas para que las transferencias internacionales de datos a Estados Unidos se realicen responsablemente y garantizando la efectividad de los derechos de los ciudadanos colombianos cuando sus datos son exportados a ese país.

•  “Datos de millones de colombianos en riesgo”: Senador Jaime Amín.  Publicado en Sala de Prensa del Senado de la República: (Agosto 10 de 2017)

 

Texto final de la Circular externa 5 del 10 de agosto 2017 de la SIC

•  Oficio del 11 de agosto de 2017 de la SIC informando que el 5 de septiembre responderá solicitud radicada el 19 de julio.
• Oficio de la SIC del 4 de septiembre, respondiendo derecho de petición del 19 de julio de 2017 (sin precisar fecha de publicación de documentos en la web de la SIC)