Por. Nelson Remolina Angarita (12/X/2017)
La Circular Externa 5 del 10 de agosto de 2017 de la Superintendencia de Industria y Comercio (SIC) representa una de las principales políticas públicas en materia de protección de los derechos humanos de las personas. Como tal, debe analizarse detalladamente porque no sólo adoptó decisiones generadoras de graves riesgos a más de 49,5 millones de colombianos (as) sino que emitió órdenes cuyo cumplimiento real y efectivo será muy dificil sin las instrucciones concretas de esa entidad.
Como es sabido, la Corte Constitucional ha manifestado que “debido a la necesidad de circular internacionalmente datos personales se han dispuesto reglas que deben observarse con miras a que los esfuerzos internos de protección de cada país no sean inútiles al momento de su exportación a otros países.” y es necesario adoptar medidas con el “objetivo de no impedir el tratamiento de los datos pero evitando lesionar derechos de las personas con ocasión del mismo, derechos constitucionales como el derecho a la intimidad“. (Sentencia C248 de 2011. numeral 2.25.3.1). En otras palabras, de poco o nada sirve que en Colombia tengamos un sistema de protección de datos si enviamos esa información a países con un nivel de protección inferior al que ofrecen las regulaciones y las instituciones colombianas.
La SIC considera que 48 países del mundo –incluído los Estados Unidos- tiene nivel adecuado de protección de datos. Por eso, desde que se emitió dicha circular se pueden transferir datos de 49,5 millones de personas a esos Estados y sin autorizaciones de los colombianos.
Para la SIC, la responsabilidad demostrada es la medida que garantiza que los derechos de los colombianos no sean vulnerados con ocasión o como efecto de las transferencias internacionales. Por eso, en parágrafo primero del numeral 3.2 de la circular 5 de 2017 ordena lo siguiente: “Sin perjuicio de que las transferencias de datos personales se realicen a países que tienen un nivel adecuado de protección , los Responsables del Tratamiento, en virtud del principio de responsabilidad demostrada, debe ser capaces de demostrar que han implementado medidas apropiadas y efectivas para garantizar el adecuado tratamiento de los datos personales que transfieren a otros país y para otorgar seguridad a los registros al momento de efectuar dicha transferencia“.
Nos parece acertado pero insuficiente que sólo se recurra a la implementación de ese principio. Creemos que también debió acudirse a otras herramientas previstas para dicho efecto como, entre otras, las cláusulas contractuales, las normas corporativas vinculantes o las certificaciones de buenas prácticas.
La Guia de la SIC del 28 de mayo de 2015 sobre responsabilidad demostrada – accountability- no dice nada sobre las transferencias internacionales -sólo menciona las transmisiones que son sustancialmente diferentes-. Dado lo anterior, consideramos necesario que la SIC modifique dicha guía e incluya las instrucciones precisas, útiles y verificables que cualquier Responsable del Tratamiento debe adoptar antes de transferir los datos de los (as) colombianos (as) a otro país. Esto es necesario por las siguientes razones:
1. La SIC debe dar ejemplo y señalar el camino a seguir en materia de transferencias internacionales y protección efectiva de los derechos de los titulares de los datos . Si dicha entidad exige responsabilidad demostrada a los Responsables del Tratamiento, pues la SIC, como autoridad de protección de datos, debe dar a conocer las “medidas apropiadas y efectivas para garantizar el adecuado tratamiento de los datos personales que transfieren a otros país y para otorgar seguridad a los registros al momento de efectuar dicha transferencia“.
No nos parece responsable dejar este tema exclusivamente en manos de la Responsables del Tratamiento porque estamos hablando de la protección de derechos constitucionales fundamentales de mas de 49,5 millones de personas.
2. La transferencia internacional de datos vía responsabilidad demostrada es una cuestión novedosa sobre la cual existe mucho desconocimiento. Por eso, a la SIC, como autoridad de protección de datos, le corresponde suplir esas falencias para que no se ponga en riesgo la protección de los derechos de las personas cuyos datos son exportados a otros países.
Sin esas instrucciones de la SIC, cada Responsable del Tratamiento implementaría lo que considere conveniente pero ello no es suficiente porque lo que está en juego es la real y efectiva protección de los derechos de los colombianos. La SIC no puede dejar al arbitrio de cada Responsable del Tratamiento la protección de los derechos de las personas cuyos datos son exportados a los 48 países.
3. El principio de responsabilidad demostrada es una medida importada de otros sistemas jurídicos y poco conocida en el país a pesar de la existencia de la guía de la SIC. En la práctica, muchos Responsables del Tratamiento no saben que hacer concretamente. Algunos tienen recursos para acudir a los servicios de empresas especializadas en accountability, pero la mayoría carace de dinero para ese propósito. Así las cosas, la implementación real de la accountability dependerá, en muchos casos, de los recursos económicos de cada empresa, lo cual afectará la protección efectiva de los derechos de las personas cuyos datos son exportados por Responsables del Tratamiento que no tienen dinero.
4. Las instrucciones de la SIC sobre accountability y transferencias internacionales reducirían costos a las empresas -porque por lo menos saben lo que deben hacer- y establecerían unos mínimos para tratar de garantizar un cierto nivel de los derechos de las personas cuyos datos serán trasferidos a los 48 países que avaló la SIC mediante la circular precitada.
5. La SIC tiene el deber legal de impartir instrucciones “sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los responsables” a las exigencias de la regulación colombiana (Literal e del artículo 21 de la ley 1581 de 2012). Por eso, la SIC debería cumplir su función legal en esta materia y no trasladar su responsabilidad a cada Responsable del Tratamiento que va a exportar datos.