The objective of this Accountability Guide on Cross-border Transfers of Personal Data: Recommendations for Latin American Countries  is to give some recommendations to those who transfer personal data to other countries. As such, we give some orientations on how the cross-border circulation of personal data should be made in order to respect the rights of the data subjects and at the same time protect the interests of the data controller.

Although the Guide is meant to be used in Latin American countries as it seeks to develop aspects that have not been expressly included in the Colombian Accountability Guide, which is the only one in Latin America, this document is also useful for those processing and transferring personal data in non-Latin American countries.

We hope this document is considered by organizations and governmental authorities in the future elaboration of Accountability Guides, mainly in Latin American countries. However, this Guide is in no way a legal concept nor does it constitute a legal consultancy. Adopting the recommendations written in this Guidelines, entails tailoring the measures to meet the specific data handling practices of the implementing organization that intends to use them.

*** Suggested Citation: Remolina Angarita, Nelson. Alvarez Zuluaga, Luisa Fernanda. (2019). Accountability Guide on Cross-border Transfers of Personal Data: Recommendations for Latin American Countries. Los Andes University (Bogotá, Colombia). School of Law. GECTI, 1-52

Promueva un enfoque proactivo y preventivo para hacer bien  las cosas  y evitar vulnerar los derechos humanos, afectar su reputación o perder la confianza que han depositado en su organización. No olvide que usted es responsable de garantizar el debido tratamiento de los datos personales. Sea profesional, diligente y ético.

Para iniciar, lea y use las guías de la autoridad colombiana de protección de datos personales :  https://sic.gov.co/tema/proteccion-de-datos-personales (Delegatura para la protección de datos personales de la Superintendencia de Industria y Comercio).

*** Consulte las guías acá 

El libro fue escrito por los siguientes miembros del GECTI -Grupo de Estudios en internet, Comercio electrónico, Telecomunicaciones e Informática- de la Universidad de los Andes: Nelson Remolina Angarita, Manuel Miguel Tenorio Adame y Gustavo Arnulfo Quintero Navas.

La obra está divida en los siguientes capítulos:

I. La ingeniería constitucional de la Registraduría Nacional del Estado Civil y el tratamiento de datos personales

II. Aspectos medulares del tratamiento de datos personales en documentos internacionales y su regulación en algunos países latinoamericanos y España

III. Buenas prácticas y responsabilidad demostrada sobre tratamiento de datos personales en el contexto internacional

IV. Guías de responsabilidad demostrada (accountability) y programas integrales de gestión de datos personales

El texto completo del libro puede leerlo acá.

Esta publicación se suma a la guía de accountability para transferencias internacionales de datos personales, escrita por Nelson Remolina Angarita y Luisa Fernanda Alvarez Zuluaga, investigadores del GECTI.

Por: Nelson Remolina Angarita (05/VI/2018)

Los (as) invitamos a leer la “Guía GECTI para la implementación del principio de responsabilidad demostrada -accountability- en las transferencias internacionales de datos personales. Recomendaciones para los países latinoamericanos”, cuya estructura es la siguiente:

¿QUIÉNES SOMOS?        

INTRODUCCIÓN   

OBJETIVO DE ESTA GUÍA          

ANTECEDENTES E IMPORTANCIA

• El tratamiento de datos personales como un asunto global y una actividad cotidiana en el ciberespacio
• Relevancia constitucional de la protección de datos en los países latinoamericanos
• Buen gobierno de datos personales, responsabilidad digital empresarial y responsabilidad jurídica de los directivos de una organización.
• “Paraísos informáticos” en el tratamiento de datos personales e “internet de las empresas” –Internet of Corporations-.
• Transferencias internacionales de datos personales
• Transmisiones internacionales de datos
• Riesgos que genera la transferencia internacional de datos a las empresas, organizaciones o entidades públicas
• Riesgos que crea la transferencia internacional de datos a las personas (titulares de los datos) y sus derechos humanos
• Objetivos de las reglas sobre transferencias internacionales de datos personales
• El principio de accountability
• Necesidad de contar con una guía sobre accountability para las transferencias internacionales de datos

RECOMENDACIONES PARA IMPLEMENTAR EL PRINCIPIO DE ACCOUNTABILITY EN LAS TRANSFERENCIAS INTERNACIONALES DE DATOS PERSONALES

• Verificar que está facultado para transferir o transmitir los datos personales a otro país.
• Determinar el mecanismo adecuado que utilizará para transferir o transmitir internacionalmente los datos personales.
• Establecer cómo se probarán las medidas de accountability para transferir los datos personales.
• Tener en cuenta los objetivos que se deben cumplir según la regulación de su país para transferir datos internacionalmente
• Asegurar el cumplimiento de las finalidades que se deben alcanzar con las medidas de accountability.
• Crear estrategias para proteger los intereses de su organización
• Adoptar medidas para no defraudar la confianza de sus clientes o de los titulares de los datos
• Prever las transferencias ulteriores de datos personales
• Incrustar la privacidad desde el diseño y por defecto en las transferencias internacionales de datos personales
• Replicar medidas proactivas del tratamiento de datos personales a las transferencias internacionales de dicha información
• Articular las herramientas de accountability en un contrato ajustado a las particularidades de cada transferencia.
• No olvidar que estas estas recomendaciones deben articularse con la guía de accountability de la autoridad de protección de datos

GLOSARIO  

BIBLIOGRAFÍA      

EQUIPO DE TRABAJO

** Cómo citar: Remolina Angarita, Nelson. Álvarez Zuluaga, Luisa Fernanda. (2018). Guía GECTI para la implementación del principiode responsabilidad demostrada –accountability– en las transferencias internacionales de datos personales. Recomendaciones para los países latinoamericanos. Universidad de los Andes (Bogotá, Colombia). Facultad de Derecho. GECTI, 1-58.

Los (as)  invitamos a nuestro próximo foro académico que contará con la participación de representantes de la Unión Europea, la Agencia Española de Protección de Datos, la Universidad de Valencia (España) y el GECTI de la Universidad de los Andes.

TEMAS

• Protección de datos en la Unión Europea: hacia un cambio de paradigma

• Novedades del Reglamento (UE) 2016/679 -del Parlamento Europeo y del Consejo- y su incidencia en Colombia.

• Reglas de transferencias internacionales de datos en el Reglamento 2016/679.

• Accountability y transferencias internacionales de datos personales desde Colombia

• Accountability y programas integrales de gestión de datos personales (PIGDP) en las entidades públicas y privadas.

• Recomendaciones para el cumplimiento de diferentes regulaciones en materia de protección de datos a nivel mundial.

CONFERENCISTAS

•  Antonio García Roger. Consejero político en la Delegación de la Unión Europea en Colombia

• Lorenzo Cotino Hueso. Profesor de la Universidad de Valencia, España (videoconferencia)

• Julián Prieto Hergueta. Subdirector General del Registro General de Protección de Datos de la Agencia Española de Protección de Datos (videoconferencia)

• Nelson Remolina Angarita. GECTI

• Luis Alberto Montezuma  GECTI

• Luisa Fernanda Álvarez Zuluaga. GECTI

 RESUMEN HOJA DE VIDA DE LOS CONFERENCISTAS

•  Antonio García Roger es diplomático, ha estado destinado con el Servicio Exterior de España en Colombia, Filipinas y Panamá. Ha ejercido cargos diplomáticos como Cónsul, Segunda Jefatura, Consejero Político y Consejero Cultural, con especial énfasis en asuntos relacionados con Derechos Humanos, Derecho Internacional Público y Privado, gestión cultural y relaciones internacionales. También ha realizado labores de observación electoral participando en misiones de observación en Kirguizistán y Yemen. Desde principios de 2016 forma parte del Servicio Europeo de Acción Exterior trabajando como Consejero Político en la Delegación de la Unión Europea en Colombia. Licenciado en Derecho por la Universidad Autónoma de Madrid y MBA por IE Business School.

• Lorenzo Cotino Hueso, www.cotino.es, Catedrático de Derecho constitucional de la Universidad de Valencia (2017), acreditado a catedrático ANECA 2012, Profesor titular desde 2002. Magistrado suplente del Tribunal Superior de Justicia de la Comunidad Valenciana (contencioso-administrativo) desde 2000.  Vocal Consejo Transparencia C. Valenciana (2015). Doctor y licenciado en Derecho (UVEG), Máster en la especialidad de derechos fundamentales en Barcelona (ESADE), Licenciado y Diplomado de Estudios Avanzados de Ciencias políticas (UNED). Ha recibido premios de investigación nacionales así como Premio Extraordinario de Doctorado. Ha sido profesor invitado en Konstanz (Alemania) y de diversas universidades colombianas, con estancias de investigación también en Utrech (Países Bajos) y Virginia (Estados Unidos). Dirige la Red www.derechotics.com, y sus últimos años destaca por la publicación y coordinación de monografías y artículos sobre el Derecho de las TICs. Profesor de la Universidad de Alcalá desde 2005 y consultor de la Universitat Oberta de Cataluña desde 2012.

• Julián Prieto Hergueta, Subdirector General del Registro General de Protección de Datos de la Agencia Española de Protección de Datos, previamente ocupó el puesto de Coordinador de Relaciones Internacionales (2010-2012). Dentro de sus labores esta a su cargo las  transferencias internacionales de datos. Licenciado en Derecho por la Universidad Complutense de Madrid. Funcionario de la Escala Superior de Técnicos de Tráfico y del Cuerpo de Gestión de la Administración Civil del Estado.

•  Nelson Remolina Angarita . Doctor (Ph. D.) Summa Cum Laude en Ciencias Jurídicas de la Pontificia Universidad Javeriana (Bogotá). Master of Laws, The London School of Economics and Political Sciences (Londres). Especialista en Derecho Comercial y abogado egresado de la Universidad de los Andes. Director del Grupo de Estudios en Internet, Comercio Electrónico, Telecomunicaciones e Informática (GECTI) de la Universidad de los Andes y del Observatorio Ciro Angarita Barón sobre protección de datos personales. Ganador del Premio Protección de Datos Personales de Investigación 2014, conferido por la Agencia Española de Protección de Datos (AEPD) sobre trabajos originales e inéditos que traten acerca del derecho a la protección de datos en países iberoamericanos. Profesor asociado y director de la Especialización en Derecho Comercial de la Universidad de los Andes. Autor de varios libros y artículos sobre tratamiento de datos personales. Su tesis doctoral se centró en el estudio de las transferencias y la recolección internacional de datos personales.

•  Luis Alberto Montezuma Chavez. Miembro GECTI. Máster en Derecho Privado de la Universidad de los Andes. Magíster en Protección de Datos, Transparencia y Acceso a la Información de la Universidad San Pablo CEU (España). Especialista en Legislación Financiera de la Universidad de los Andes. Abogado de la Universidad Libre. Miembro y columnista de la International Association of Privacy Professionals (IAPP). Ha obtenido las siguientes certificaciones: Certified Information Privacy Professional/Europe (CIPP/E); Certified Information Privacy Professional/United States (CIPP/US); (Certified Information Privacy Manager (CIPM).

•  Luisa Fernanda Álvarez Zuluaga. Abogada egresada de la Universidad de los Andes. Cuenta con experiencia en investigación internacional sobre el principio de accountability, los programas integrales de gestión de datos y las guías de accountability.

FECHA: Martes, 5 de Junio de 2018 desde las 8:00 AM hasta la 1:00 PM

LUGAR Y DIRECCIÓN: Universidad de los Andes, Auditorio Lleras.  Edificio Lleras Universidad de Los Andes, Calle 19a #1-37, Bogotá, Colombia

********** Entrada gratuita, previa inscripción. CUPOS LIMITADOS. Inscripciones  acá.

La Superintendencia de Industria y Comercio (SIC) publicó en su página web la cartilla titulada “Formatos modelo para el cumplimiento de obligaciones establecidas en la ley 1581 de 2012 y sus decretos reglamentarios“

En la página 16 de dicho documento se manifiesta lo siguiente en el modelo de autorización (Anexo 2): “Advertencia: Cada finalidad que usted incluya en este formato debe contar con un mecanismo que le permita al Titular seleccionar por separado si acepta o no que se efectúe ese tratamiento particular.” Dado que la ley 1518 de 2012 no ordena lo que dice la cartilla en ese punto, elevamos el siguiente derecho de petición a la SIC:

• ¿Qué ley o decreto de la regulación colombiana establece como obligatorio que respecto de las finalidades de la autorización se debe “contar con un mecanismo que le permita al Titular seleccionar por separado si acepta o no que se efectúe ese tratamiento particular”.?
• ¿Son ilegales todas las autorizaciones de tratamiento de datos personales que se obtuvieron antes de la expedición de la citada cartilla y que no cuentan con el  “mecanismo que le permita al Titular seleccionar por separado si acepta o no que se efectúe ese tratamiento particular”?
• ¿Lo dispuesto en la Cartilla “Formatos modelo para el cumplimiento de obligaciones establecidas en la ley 1581 de 2012 y sus decretos reglamentarios” debe entenderse como una instrucción que emite la SIC en virtud del literal e) del artículo 21 de la ley 1581 de 2012?
• ¿Lo dispuesto en la Cartilla “Formatos modelo para el cumplimiento de obligaciones establecidas en la ley 1581 de 2012 y sus decretos reglamentarios” es de obligatorio cumplimiento por parte de los Responsables y Encargados del tratamiento de datos teniendo en cuenta que lo ordenado en los literales o) y l) de los artículos 17 y 18 de la 1581 de 2012?
• ¿La SIC puede multar a un Responsable o Encargado del Tratamiento por no cumplir lo que dice la Cartilla “Formatos modelo para el cumplimiento de obligaciones establecidas en la ley 1581 de 2012 y sus decretos reglamentarios”?
•  Cuál fué la fecha de expedición de la citada cartilla y de su publicación en internet? (Esa información no aparece en la cartilla ni en la página web de la SIC. Por lo menos en la versión consultada el 16 de mayo de 2018 a las 2:00 PM)

A continuación publicamos la respuesta emitida por la SIC mediante oficio 18-143675 del 30 de mayo de 2018, el cual lo dejamos a disposición del público para que evalúe la calidad de la respuesta de la SIC.

The Cambridge Analytica & Facebook case reveals numerous flaws in the way some companies treat personal data and how their actions affect millions of people from all over the world.

It has become public knowledge as has been registered by the world press, that “The founder of the technological giant Facebook, Mark Zuckerberg, accepted today full responsibility before the United State Senate for the abuse of the company Cambridge Analytica, that used the data of millions of users of the social network”. Additionally, Facebook has recognized some weak aspects of its security measures: See: “Facebook founder Mark Zuckerberg acknowledged his responsibility for the security flaws that allowed the unauthorized use of personal data of millions of users.”

Facebook is responsible for the treatment of personal data of approximately 2.2 billion people from all over the world.

Looking to prevent future violations of the rights of these people, data protection authorities around the world should investigate Facebook for the purpose of demanding more and better security measures regarding the information of those 2.2 billion users and the correct application of the Principle of Accountability.

Note that the Principle of Accountability emerged as a practical measure –not theoretical– that requires the adoption of specific and useful tools to guarantee the right to data protection. The purpose of this is to move from the theoretical protection of the rules and policies of the companies to the real and effective protection in the daily management of the organizations, which demands the use of pertinent and efficient data tools and processes. In sum, data protection must move from rhetoric to practice.

Facebook has acknowledged part of the responsibility but it is necessary that the authorities make pronunciations regarding this incident and demand that the aforementioned company complies with the law and guarantees a proper treatment of the data of its users. Additionally, the authorities should create a special surveillance group for digital social networks because, as it can be seen in this case, the rights of millions of people are at stake.

Es de conocimiento público y ha sido registrado por la prensa mundial que “El fundador del gigante tecnológico Facebook, Mark Zuckerberg, asumió hoy toda la culpa ante el Senado de Estados Unidos del abuso de la compañía Cambridge Analytica, que utilizó los datos de millones de usuarios de la red social “. Adicionalmente, Facebook ha reconocido algunos aspectos endebles de sus medidas de seguridad: Véase: “El fundador de Facebook Mark Zuckerberg reconoció su responsabilidad por las fallas de seguridad que permitieron el uso no autorizado de datos personales de millones de usuarios“.

Facebook es el Responsable del tratamiento de los datos personales de aproximadamente 2,2 billones de personas de todas partes del mundo.

Con miras a evitar futuras violaciones a los derechos de estas personas, las autoridades de protección de datos de todas partes del mundo deberían investigar a Facebook con miras a exigirle mas y mejores medidas de seguridad de la información de 2,2 billones de personas y que aplique correctamente el principio de accountability o responsabilida demostrada.

Nótese  que el  principio de responsabilidad surgió como una medida práctica -no teórica- que demanda adoptar herramientas específicas y útiles para garantizar el derecho a la protección de los datos. Con esto se quiere pasar de la protección teórica de las normas y de las políticas de las empresas a la protección real y efectiva en la gestión diaria de las organizaciones, lo cual demanda la utilización de instrumentos y procesos pertinentes y eficientes de los datos. En suma, la protección de datos debe pasar de la retórica a la práctica.

Facebook ha reconocido parte de la responsibilidad pero es necesario que la autoridades se pronuncien y le exijan a dicha empresa cumplir la ley y garantizar un verdadero debido tratamiento de los datos de personas de todas partes del mundo. Adicionalmente, las autoridades debería crear un grupo especial de vigilancia a las redes sociales digitales porque allí están en juego derechos de millones de personas.

Ayer publicó el siguiente tweet Pablo Felipe Robledo del Castillo, Superintendente de Industria y Comercio (Autoridad colombiana de protección de datos personales): “Instruí al Super Delegado para la protección al consumidor q, en investigaciones vs operadores turísticos (agencias viajes, hoteles, etc..) también imponga sanción de suspensión Registro Nal de Turismo RNT, ante3 el hecho de que por ley, las multas son irrisorias (hasta 15 millones).”

Desde nuestra cuenta en Twitter preguntamos lo siguiente al mencionado servidor público:  “Dr @Pfrobledo: cuando va a instruir al Superintendente de Industria y Comercio para que corrija los notorios errores circular 5/17? Por qué usted no hace lo necesario para proteger el derecho de protección de datos de los colombianos cuyos datos se exportan a EEUU?

Hoy encontramos que el Superintendente de Industria y Comercio decidió “bloquearnos” en Twitter.

Nos preocupa el manejo institucional que, la autoridad colombiana de protección de datos, da a quienes presentan observaciones serias, de fondo y respetuosas.  Los problemas de interés público NO se solucionan con el “bloqueo” en Twitter. El  país requiere respuestas útiles, apropiadas y eficaces que no sólo permitan establecer el grado de protección de los derechos de los colombianos, sino demostrar que las autoridades públicas están actuando correcta y diligentemente.

Este es un tema jurídico y muy serio para los derechos humanos de mas de 49,5 millones de colombianos. Por eso, merece ser tratado con alto nivel intelectual, reflexión serena, madurez, objetividad, imparcialidad y responsabilidad demostrada por parte del citado servidor público.

Los asuntos de interés público no deben manejarse caprichosamente como si se trataran de cuestiones personales.  Estos deben trabajarse muy profesionalmente y conforme a la Constitución y la ley que prometieron cumplirlos los  servidores públicos el día que se posesionaron en el cargo.

Acá pueden leer nuestras opiniones sobre las decisiones de Pablo Felipe Robledo del Castillo y las peticiones que le hemos formulado:

• Por qué razón Estados Unidos de América no cumple los requisitos jurídicos de la regulación colombiana para ser considerado como un país con “nivel adecuado de protección de datos personales”?

•  Autoridad colombiana de protección de datos debe modificar guía de accountability e incluir medidas útiles, apropiadas, efectivas y verificables para proteger los derechos de los colombianos cuando sus datos son exportados a otros países.

•  Senado de la República cita a la SIC a control político por incluir a USA dentro del listado de países con nivel adecuado de protección de datos personales

• Antecedentes de la Circular 5 de 2017 de la SIC: transferencias internacionales de datos personales

La Circular Externa 5 del 10 de agosto de 2017 de la Superintendencia de Industria y Comercio (SIC) representa una de las principales políticas públicas en materia de protección de los derechos humanos de las personas. Como tal, debe analizarse detalladamente porque no sólo adoptó decisiones generadoras de graves riesgos a más de 49,5 millones de colombianos (as) sino que emitió órdenes cuyo cumplimiento real y efectivo será muy dificil sin las instrucciones concretas de esa entidad.

Como es sabido, la Corte Constitucional ha manifestado que “debido a la necesidad de circular internacionalmente datos personales se han dispuesto reglas que deben observarse con miras a que los esfuerzos internos de protección de cada país no sean inútiles al momento de su exportación a otros países.” y es necesario adoptar medidas con el “objetivo de no impedir el tratamiento de los datos pero evitando lesionar derechos de las personas con ocasión del mismo, derechos constitucionales como el derecho a la intimidad“. (Sentencia C248 de 2011. numeral 2.25.3.1). En otras palabras, de poco o nada sirve que en Colombia tengamos un sistema de protección de datos si enviamos esa información a países con un nivel de protección inferior al que ofrecen las regulaciones y las instituciones colombianas.

La SIC considera que 48 países del mundo –incluído los Estados Unidos- tiene nivel adecuado de protección de datos. Por eso, desde que se emitió dicha circular se pueden transferir datos de 49,5 millones de personas a esos Estados y sin autorizaciones de los colombianos.

Para la SIC, la responsabilidad demostrada es la medida que garantiza que los derechos de los colombianos no sean vulnerados con ocasión o como efecto de las transferencias internacionales. Por eso, en parágrafo primero del numeral 3.2 de la circular 5 de 2017 ordena lo siguiente: “Sin perjuicio de que las transferencias de datos personales se realicen a países que tienen un nivel adecuado de protección , los Responsables del Tratamiento, en virtud del principio de responsabilidad demostrada, debe ser capaces de demostrar que han implementado medidas apropiadas y efectivas para garantizar el adecuado tratamiento de los datos personales que transfieren a otros país y para otorgar seguridad a los registros al momento de efectuar dicha transferencia“.

Nos parece acertado pero insuficiente que sólo se recurra a la implementación de ese principio. Creemos que también debió acudirse a otras herramientas previstas para dicho efecto como, entre otras, las cláusulas contractuales, las normas corporativas vinculantes o las certificaciones de buenas prácticas.

La Guia de la SIC del 28 de mayo de 2015 sobre responsabilidad demostrada – accountability- no dice nada sobre las transferencias internacionales -sólo menciona las transmisiones que son sustancialmente diferentes-. Dado lo anterior, consideramos necesario que la SIC modifique dicha guía e incluya las instrucciones precisas, útiles y verificables que cualquier  Responsable del Tratamiento debe adoptar antes de transferir los datos de los (as)  colombianos (as)  a otro país. Esto es necesario por las siguientes razones:

1. La SIC debe dar ejemplo y señalar el camino a seguir en materia de transferencias internacionales y protección efectiva de los derechos de los titulares de los datos . Si dicha entidad exige responsabilidad demostrada a los Responsables del Tratamiento, pues la SIC, como autoridad de protección de datos, debe dar a conocer las  “medidas apropiadas y efectivas para garantizar el adecuado tratamiento de los datos personales que transfieren a otros país y para otorgar seguridad a los registros al momento de efectuar dicha transferencia“.

No nos parece responsable dejar este tema exclusivamente en manos de la Responsables del Tratamiento porque estamos hablando de la protección de derechos constitucionales fundamentales de mas de 49,5 millones de personas.

2. La transferencia internacional de datos vía responsabilidad demostrada es una cuestión novedosa sobre la cual existe mucho desconocimiento. Por eso, a la SIC, como autoridad de protección de datos, le corresponde suplir esas falencias para que no se ponga en riesgo la protección de los derechos de las personas cuyos datos son exportados a otros países.

Sin esas instrucciones de la SIC, cada Responsable del Tratamiento implementaría lo que considere conveniente pero ello no es suficiente porque lo que está en juego es la real y efectiva protección de los derechos de los colombianos. La SIC no puede dejar al arbitrio de cada Responsable del Tratamiento la protección de los derechos de las personas cuyos datos son exportados a los 48 países.

3. El principio de responsabilidad demostrada es una medida importada de otros sistemas jurídicos y poco conocida en el país a pesar de la existencia de la guía de la SIC. En la práctica, muchos Responsables del Tratamiento no saben que hacer concretamente. Algunos tienen recursos para acudir a los servicios de empresas especializadas en accountability, pero la mayoría carace de dinero para ese propósito. Así las cosas, la implementación real de la accountability dependerá, en muchos casos,  de los recursos económicos de cada empresa, lo cual afectará la protección efectiva de los derechos de las personas cuyos datos son exportados por Responsables del Tratamiento que no tienen dinero.

4. Las instrucciones de la SIC sobre accountability y transferencias internacionales reducirían costos a las empresas -porque por lo menos saben lo que deben hacer- y establecerían unos mínimos para tratar de garantizar un cierto nivel de los derechos de las personas cuyos datos serán trasferidos a los 48 países que avaló la SIC mediante la circular precitada.

5. La SIC tiene el deber legal de impartir instrucciones “sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los responsables” a las exigencias de la regulación colombiana (Literal e del artículo 21 de la ley 1581 de 2012). Por eso, la SIC debería cumplir su función legal en esta materia y no trasladar su responsabilidad a cada Responsable del Tratamiento que va a exportar datos.