Embed Size (px)
DESCRIPTION
El presente documento hace parte de los resultados de investigación alrededor de la PROTECCION DE DATOS PERSONALES desarrollados por la firma VELASCO & CALLE D´ALEMAN – ABOGADOS, que incluye algunas reflexiones de orden práctico para las organizaciones de carácter público y privado en relación con el tratamiento de los datos personales que hoy reposan en sus sistemas de información o en sus archivos físicos, a propósito de la enorme confusión que reina hoy en el medio sobre el tema, debido a la proliferación de avisos de privacidad que no obedecen a los propósitos de la ley ni tampoco cumplen con sus cometidos. Reflexiones que se comparten con la comunidad empresarial interesada en conocer de manera prudente y cuidadosa los riesgos que suponen decisiones indiscriminadas y sin un plan de cumplimiento acorde con el marco jurídico de la protección de datos en Colombia.
Citation preview
Reflexiones sobre el Decreto 1377
de 2013 reglamentario de la ley
1581 de 2012
1.
El presente documento hace parte de los resultados de investigación alrededor de la PROTECCION DE DATOS PERSONALES desarrollados por la firma VELASCO & CALLE D´ALEMAN – ABOGADOS, que incluye algunas reflexiones de orden práctico para las organizaciones de carácter público y privado en relación con el tratamiento de los datos personales que hoy reposan en sus sistemas de información o en sus archivos físicos, a propósito de la enorme
confusión que reina hoy en el medio sobre el tema, debido a la proliferación de avisos de privacidad que no obedecen a los propósitos de la ley ni tampoco cumplen con sus cometidos. Reflexiones que se comparten con la comunidad empresarial interesada en conocer de manera prudente y cuidadosa los riesgos que suponen decisiones indiscriminadas y sin un plan de cumplimiento acorde con el marco jurídico de la protección de datos en Colombia.
OBJETIVO
2.
PUNTO DE PARTIDA: MARCO
JURIDICO INVOLUCRADO
Lo primero que se debe tener presente al abordar este tema es que el marco jurídico actual de la protección de datos en Colombia tiene origen en el artículo 15 de la Constitución Política de Colombia que consagra entre otros derechos fundamentales, (i) la Intimidad personal y familiar; (ii) el Habeas Data y (iii) la Protección de Datos Personales.
Esta norma es de carácter fundamental y para su desarrollo requiere de normas estatutarias por la importancia de los derechos que trata, cuya regulación es competencia exclusiva del congreso, nos lo reitero la Corte Constitucional al declarar inexequible el artículo 27 de la Ley 1581.
3.
El primer desarrollo de la norma se dio con la expedición de la Ley estatutaria 1266 de 2008 por la cual se regula de manera parcial el derecho fundamental mencionado, pues reglamenta especialmente el ejercicio del Habeas Data en relación con información comercial, crediticia, de servicios y proveniente de terceros países en el ámbito financiero. La Corte declaró e interpretó esta norma a través de la sentencia C-1011 de 2008.
Posteriormente y de manera general, la Ley estatutaria 1581 de 2012 entró a regular el tratamiento de datos de manera general, esto es, todos los demás datos personales que tratan las entidades públicas y privadas, norma cuya plena vigencia inició el 17 de abril del año 2013.
4.
La Ley Estatutaria 1581 de 2012 incorpora en la legislación colombiana el régimen de protección de datos personales con el fin de dar cumplimiento a los tres derechos fundamentales antes citados, y por esa vía convertir a Colombia en un país seguro para el tratamiento de este tipo de información frente a terceros países, especialmente la Unión Europea.
Mediante sentencia C-748 de 2011, la Corte Constitucional declaro exequible la Ley 1581, realizando precisiones en cuanto a su alcance y debida interpretación, motivo por el cual la ley debe ser interpretada y aplicada con estricta sujeción de lo dispuesto en esta sentencia.
5.
Posteriormente el Ministerio de Industria y Comercio promulgó el Decreto 1377 del 27 de junio de 2013 mediante el cual se pretende reglamentar de forma parcial algunos aspectos de la ley estatutaria 1581, decreto que desafortunadamente suscita múltiples inquietudes que pasan a exponerse a continuación, bajo el marco jurídico de entendimiento de la Ley 1581 de 2012 y la sentencia de constitucionalidad 748 de 2012.
6.
En resumen puede decirse que un correcto entendimiento de esta materia requiere de la interpretación armónica del marco jurídico hoy vigente en Colombia conformado por:
- Artículos 15 y 20 de la Constitución - Ley estatutaria 1266 de 2008 - Sentencia C-1011 de 2008 - Decreto 1727 de 2009 - Decreto 2952 de 2010 - Ley estatutaria 1581 de 2012 - Sentencia C-748 de 2012 - Decreto reglamentario 1377 de 2013 - Artículo 269 F del Código Penal
7.
Cabe agregar que el incumplimiento de este marco jurídico puede reportar sanciones personales e institucionales que lesionan el patrimonio de la entidad (multas hasta de 2.000 SMMLV), la operación del negocio (suspensión o cierre de la base de datos) y la imagen corporativa o buen nombre (se contempla en el Código Penal el delito de violación de datos personales). Las sanciones pueden ser aplicadas por el ente de control: Superintendencia de Industria y Comercio, Delegatura de Protección de Datos, o bien por vía de tutela ante jueces de la República, o bien por Fiscales cuando se inicie una acción penal.
Frente a estos riesgos, es un actuar prudente y diligente el que se exige a los administradores frente al cumplimiento de estas directrices jurídicas.
8.
CONSECUENCIA PRÁCTICA DE ESTE MARCO
NORMATIVO: NUEVAS REGLAS DEL
NEGOCIO
La aparición en Colombia de este marco normativo supone tanto para entidades públicas y privadas iniciar una labor juiciosa de cumplimiento del mismo que implica básicamente tener presentes los siguientes aspectos: - Determinar la existencia de datos personales tratados al interior de las organizaciones y verificar cual es el estado de cumplimiento en que se encuentran en relación con estas directrices jurídicas que se consagran hoy en Colombia. - Generar las políticas de tratamiento acorde con las finalidades determinadas en relación con el tratamiento de los diversos datos personales que trata la organización. - Generar los procedimientos técnicos que permitan el ejercicio del Habeas Data por parte de los titulares de datos, así como la seguridad de los datos.
9.
Estas acciones hacen parte de la injerencia que las normas tengan en cada proceso de la organización y por ello requerirán de equipos multidisciplinarios para implementarlas. Del marco jurídico expuesto es preciso resaltar la existencia de los principios del tratamiento o reglas que orientan toda acción que una organización realice sobre los datos que trata, de los cuales se destacan los siguientes:
• De la Autorización El literal a) del artículo 3 de la Ley 1581 define el concepto de autorización, así:
10.
“a) Autorización1: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.” El consentimiento de manera alguna puede ser tácito, ni susceptible de ser interpretado al antojo del interprete, pues al tener la característica de expreso, inequívocamente debe provenir de una acción del titular del dato personal que supone así mismo el ejercicio de su derecho de libertad, autorización que además debe ser previa e informada.
Por su parte el artículo 9 de la Ley 15812, en relación con la autorización del titular expresa que “Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.”
1 La Corte Constitucional en la sentencia C-748 expresó que “(…) el consentimiento es un aspecto medular del derecho al habeas data y que pese a las múltiples intervenciones que solicitan la inexequibilidad del vocablo “expreso”, la definición será declarara ajustada a la Constitución (…)”.
11.
Lo anterior reitera el sentir de la Corte Constitucional desde 1992, cuando ha expresado que el consentimiento es la columna medular del tratamiento de datos, y prohíbe el silencio como fuente legitima del tratamiento de datos personales.
Es la ley estatutaria la que expresa de manera excepcional cuales son aquellos casos en los que no se requiere de la autorización o consentimiento del titular. En efecto el artículo 103 de la ley establece que la autorización o consentimiento del titular no será necesaria cuando se trate de:
2 La Corte Constitucional por su parte, al pronunciarse sobre la constitucionalidad de este artículo concluyó: “(…) los datos personales sólo puede ser registrados y divulgados con el consentimiento libre, previo, expreso e informado del titular. Las únicas excepciones posibles serán las establecidas en el artículo 10 del proyecto de ley bajo examen. En consecuencia no está permitido el consentimiento tácito del Titular del dato. El consentimiento que brinde la persona debe ser definido como una indicación específica e informada, libremente emitida, de su acuerdo con el procesamiento de sus datos personales.”
12.
“a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. b) Datos de naturaleza pública. c) Casos de urgencia médica o sanitaria. d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos. e) Datos relacionados con el Registro Civil de las Personas. Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley.”
3 La Corte Constitucional respecto de la interpretación de este articulo precisó lo siguiente: “El consentimiento de la titular de la información es un presupuesto para la legitimidad constitucional de los procesos de administración de datos personales. En concordancia con los expuesto frente al “principio de libertad”, en el manejo de los datos no podrá existir una autorización tácita.”
13.
• De la Libertad En concordancia con el principio de autorización y consentimiento, el literal c) del artículo 4 de la Ley 1581 de 2012 establece como otro de los principios aplicables al tratamiento de datos personales el Principio de Libertad, cuyo texto es el siguiente:
“c). Principio de libertad4. El tratamiento solo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no pueden ser obtenidos o divulgados sin autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.”
4 Sobre este principio, la Corte Constitucional en la Sentencia C-748, para efecto de su entendimiento expresó: “En consecuencia, “la referida información se destinará a realizar los fines exclusivos para los cuales fue entregada por el titular, en relación con el objeto de la base de datos y con el contexto en el cual estos son suministrados”.7 Así, en sentencia T-552 de 1997, la Corte consideró como derivación del derecho a la autodeterminación informativa, la facultad de poder exigir "el adecuado manejo de la información que el individuo decide exhibir a los otros". Por lo tanto, según este principio “tanto el acopio, el procesamiento y la divulgación de los datos personales, debe obedecer a una finalidad7constitucionalmente legítima, definida de manera clara, suficiente y previa; de tal forma que queda prohibida la recopilación de datos sin la clara especificación acerca de la finalidad de los mismos, así como el uso o divulgación de datos para una finalidad diferente a la inicialmente prevista.”7 (subraya fuera de texto)
14.
De la lectura de la norma legal y del texto constitucional expuesto, es claro que en el régimen colombiano de protección de datos, el tratamiento de los mismos es legal cuando el titular, en ejercicio de su libertad, manifiesta su consentimiento libre de forma expresa y previa en relación con la finalidad del tratamiento que se le ha informado, autorización que puede surtirse en el marco de un contrato o bien porque el tratamiento debe hacerse como consecuencia de un mandato legal, caso en el que el tratamiento debe limitarse a la finalidad de ese mandato legal.
Son muchas otras las reglas que comprenden un tratamiento debido de los datos personales pero excede el objeto de estas reflexiones revisarlas una a una en detalle. Para el propósito planteado basta tener claridad sobre la directriz que ha sentado la Corte Constitucional y la misma Ley 1581 de 2012 sobre el consentimiento o autorización y la finalidad del tratamiento como asuntos inescindibles entre si.
15.
SEÑALES DE ALERTA PARA LAS
EMPRESAS: LAS CONFUSIONES DEL
DECRETO 1377 DE 2013
El Decreto reglamentario 1377 de 2013 pretendió reglamentar de manera parcial la Ley estatutaria, esto es, fijar reglas de acción más específicas para dar cumplimiento a la ley por parte de sus destinatarios.
Sin embargo el derecho contiene contradicciones e imprecisiones que pueden generar: - Toma de decisiones de administradores societarios erradas, en contravía de la Constitución y por ende que pueden comprometer la responsabilidad de los administradores frente a sus grupos de interés.
16.
- Erogaciones económicas que pueden resultar inútiles si se continúa haciendo un tratamiento indebido de los datos personales a futuro. - Riesgos frente a tutelas por violación de estos derechos que pueden presentarse por los ciudadanos de manera directa ante los jueces y acciones penales en territorio Colombiano. - Riesgos frente a los cibercriminales u otros criminales que pueden encontrar la forma de vulnerar sistemas de información que contienen datos personales para hacer uso fraudulento de los mismos, por el desconocimiento de las empresas frente a este tema y considerar que basta el aviso de privacidad que hoy se observa en todos los medios para legitimar el uso de datos recabados con anterioridad de la Ley.
17.
Acorde con la situación expuesta y en la debida interpretación de un actuar diligente, a continuación se presentan las alertas que deberían tener en cuenta las organizaciones al momento de abordar y dar cumplimiento a este Decreto.
• Competencia del Presidente para expedir este Decreto. La primera cuestión problemática se suscita con el tema de la competencia del Presidente para expedir el Decreto 1377 que busca reglamentar parcialmente una Ley estatutaria.
18.
La Corte Constitucional en la sentencia de constitucionalidad 748 arriba mencionada, expresó que la facultad reglamentaria de la ley, dado su carácter estatutario, se radica en cabeza del Presidente de la Republica que por lo demás debe ceñirse a lo dispuesto en ella, y en ningún caso puede exceder competencias que son exclusivas del Congreso, por tanto, no puede el ejecutivo modificar el alcance legal de la norma, reglar datos especiales, así como tampoco incluir nuevos asuntos o definiciones no mencionadas en la Ley pues el decreto es una norma de inferior jerarquía frente a la Ley estatutaria.
19.
De acuerdo con lo anterior el decreto queda cuestionado cuando se observa la inclusión de otras directrices y conceptos no mencionados en la Ley estatutaria 1581 como lo son: conducta inequívoca del titular, silencio habilitante del tratamiento pasados 30 días después del aviso, conceptos de transmisión y transferencia, definiciones de datos público, semi-privado y privado, entre otros asuntos, lo que permitiría suponer falta de competencia y extralimitación de funciones al incluir aspectos no mencionados en la Ley 1581 y que resultan medulares en el tratamiento especialmente frente al consentimiento que orienta todo tratamiento de datos; temas que seguramente serán objeto de discusión judicial sobre su constitucionalidad.
20.
• Los datos recabados con anterioridad a la vigencia de la Ley1581 de 2012. Uno de los aspectos más importantes del decreto tiene que ver con la legitimación del tratamiento por parte de responsables y encargados, sobre datos recolectados con anterioridad a la vigencia de la ley. Se precisa entonces verificar cuales son los escenarios previstos por el decreto para legitimar el tratamiento que se viene haciendo de los datos.
21.
1. Datos nuevos. Lo primero que se debe decir es que las organizaciones deben implementar la ley 1581 de cara a las recolecciones y/o tratamientos de datos que se hagan a partir de la vigencia plena de la ley, esto es, a partir del 17 de abril de 2013. Todo dato recolectado a partir de esta fecha, tiene que estar adecuado a las directrices del marco normativo antes señalado. Esto con independencia de considerar si los recolectados antes ya se encuentran o no legitimados bajo la vigencia del Decreto 1377 de 2013. Este es un aspecto de vital importancia especialmente para las áreas y procesos de mercadeo que actualizan sus bases de datos y cada vez enriquecen más las finalidades para tales efectos comerciales.
22.
2. Datos anteriores a la vigencia de la Ley. El Decreto 1377 de 2012 parte de la regla general: se deberá conseguir la autorización de los titulares de los datos, esto es, legitimar el tratamiento que se viene haciendo de los datos solicitando el consentimiento e informando a los titulares sobre sus políticas de tratamiento y la forma en que aquellos pueden ejercer su derecho de habeas data (conocer, actualizar, solicitar la supresión y rectificar sus datos, así como oponerse al tratamiento).
23.
3. Formas de obtener el consentimiento. El artículo 7 del Decreto determina como se puede obtener ese consentimiento: de forma escrita, de forma oral, por conductas inequívocas del titular del dato. Al respecto incluye en el parágrafo de este artículo, una regla importante: el silencio en ningún caso podrá considerarse conducta concluyente del titular que habilite el tratamiento del dato. Esta regla es perfectamente armónica con lo dicho por la Corte desde el año 2008 sobre el consentimiento y lo dispuesto por la Ley estatutaria 1581 de 2012.
24.
4. Situaciones excepcionales. Pero la norma consagra dos situaciones excepcionales bajo el entendido de que las empresas no puedan obtener el consentimiento de los titulares en la forma antes indicada. En tales situaciones se autoriza a que se acuda a mecanismos alternos tales como avisos en periódico de amplia circulación, revistas, portales entre otros. A continuación se analizan las dos situaciones excepcionales.
25.
5. Primera situación excepcional. Esta primera situación excepcional tiene que ver con la carga desproporcionada que supone para la empresa proceder a conseguir la autorización de los titulares. El mismo decreto indica cuando debe entenderse que hay una carga desproporcionada:
“Con el fin de establecer cuando existe una carga desproporcionada para el responsable se tendrá en cuenta su capacidad económica, el número de titulares, la antigüedad de los datos, el ámbito territorial y sectorial de operación del responsable y el mecanismo alterno de comunicación a utilizar, de manera que el hecho de solicitar el consentimiento a cada uno de los Titulares implique un costo excesivo y que ello comprometa la estabilidad financiera del responsable, la realización de actividades propias de su negocio o la viabilidad del presupuesto asignado” (Subraya fuera de texto).
26.
Como se trata de una situación excepcional, el decreto obliga a la empresa que acudió a este mecanismo alterno a notificar de tal hecho a la Superintendencia de Industria y Comercio. ¿Qué supone esta primera situación excepcional? Determinar con veracidad y certeza que el presupuesto de la empresa se verá seriamente afectado así como su estabilidad económica como consecuencia del deber de conseguir el consentimiento de los titulares de datos que trata con anterioridad a la Ley, posiblemente a través de estudios financieros, cotizaciones o reportes del área contable que indiquen o demuestren esta situación.
27.
6. Segunda situación excepcional. La segunda situación excepcional que consagra el Decreto 1377 consiste en la imposibilidad para la empresa de lograr el consentimiento de los titulares de los datos. Para el efecto expresa:
“Se considerará que existe la imposibilidad de solicitar a cada titular el consentimiento para el tratamiento de sus datos personales y poner en su conocimiento sus políticas de tratamiento de la información y el modo de ejercer sus derechos cuando el responsable no cuente con datos de contacto de los Titulares, ya sea porque los mismos no obran en sus archivos, registros o bases de datos, o bien por que estos se encuentren desactualizados, incorrectos, incompletos o inexactos.”
28.
Se refiere a la imposibilidad proveniente de no contar con datos de contacto exactos, actualizados, incorrectos o incompletos, situación que sucede en casi todas las organizaciones normalmente. Lo que hay que entender es que el aviso en prensa como mecanismo alterno sólo servirá para aquellos datos de contacto inexactos, incorrectos, imprecisos, porque frente a los datos actualizados se deberá conseguir el consentimiento en los términos arriba expresados.
Ahora bien, el uso del mecanismo alterno, como el aviso en prensa, cuando una empresa se considera inmersa en esta situación excepcional, trae otro problema adicional: ¿Significa que se pueden seguir tratando datos personales inexactos obviando el principio de calidad y veracidad del dato? O ¿Por tratarse de datos personales desactualizados resulta más eficiente para una empresa implementar el mecanismo de supresión?
29.
También en esta segunda situación excepcional la organización debe notificar a la Superintendencia de Industria y Comercio sobre esta situación. ¿Cómo podría probarlo en caso de que la SIC o un titular del dato solicite prueba de esta situación? Estas son cuestiones que no resuelve el decreto pero que sin duda generan más cargas operativas para una empresa, debiéndose tener en cuenta las obligaciones de máxima prudencia, diligencia y cuidado de los administradores en virtud de la ley 222 de 1995.
30.
7. El plazo para implementar mecanismos alternos. El parágrafo del artículo 10 del Decreto 1377 de 2013 estableció que sólo cuando se acuda a estos mecanismos alternos como el aviso de prensa, esto es, en los dos casos o situaciones excepcionales, la organización debe proceder a la implementación de dichos mecanismos en los 30 días después de la publicación del decreto, esto es, del 27 de junio al 27 de julio de 2013. Por el contrario, si una organización considera que no esta inmersa en ninguna de las situaciones excepcionales mencionadas, no le aplica el plazo antes dicho y deberá continuar con la implementación de los mecanismos para obtener el consentimiento.
31.
8. El Silencio como circunstancia que legitima el tratamiento de los datos. Finalmente y posiblemente la regla más polémica del decreto está determinada por el numeral 4 del artículo 10 del Decreto 1377 de 2012 que indica lo siguiente: una vez la organización elija la forma de obtener el consentimiento e informar al titular de sus políticas, derechos y ejercicio del habeas data, y la implemente (por escrito, en forma oral, por conducta concluyente o por mecanismo alterno como aviso de prensa en las 2 situaciones excepcionales), pasados 30 días si el titular del dato no da ninguna respuesta, la organización, trátese de responsable o encargado5, queda legitimado para continuar tratando los datos acorde con la finalidad que inicialmente tenía la base de datos.
5 El responsable del tratamiento es la persona natural o jurídica que recolecta los datos y le otorga una finalidad al tratamiento, que de manera previa comunica al titular para obtener su consentimiento. El encargado del tratamiento es la persona que trata los datos por cuenta y riesgo del responsable.
32.
La norma presenta problemas: Si en otra norma del mismo Decreto se dice que el silencio no se puede entender como conducta concluyente del titular y por ende no legitima el tratamiento, y en esta se contradice y habilita el tratamiento bajo el supuesto del silencio ¿Cuál de las dos debe primar? Frente a esta evidente contradicción y siguiendo la directriz de la Corte Constitucional ¿Debe entenderse que el silencio no faculta el tratamiento? Si el titular de un dato en ejercicio de su derecho de solicitar prueba del consentimiento o de la veracidad de sus datos, solicita la prueba de tales circunstancias al responsable, ¿Cómo puede la empresa probar esta circunstancia? 6
6 El artículo 8 de la Ley 1581 establece en el literal b) la facultad de solicitar prueba de la autorización otorgada al responsable del tratamiento, salvo en los casos expresamente exceptuados en el artículo 10 de la citada ley. Sobre este derecho, la Corte Constitucional en la Sentencia C-748 manifestó: “En razón de la finalidad, el Titular tiene el derecho a ejercer un control constante sobre el dato, con el fin de determinar si el mismo está siendo utilizado para los fines frente a los cuales prestó su autorización y solicitar al Responsable o al Encargado informaciones sobre el uso que ha dado de sus datos personales (ordinales b, c y e). En razón del principio de libertad, el Titular tiene la garantía de comprobar que los datos que circulen sobre él, han sido previamente autorizados, solicitar prueba de ello y también puede revocar su autorización (ordinales a, b, c y e).” (subraya fuera de texto).
33.
El otro problema que se presenta está relacionado con las finalidades: no todo tratamiento de datos está sujeto a autorización (por ejemplo cuando se encuentra enmarcado en un mandato legal), los tratamientos obedecen a diversas finalidades, ¿Cómo entonces un solo mecanismo con multiplicidad de finalidades puede conducir a un tratamiento basado en el silencio del titular? Se corre el riesgo de que los titulares se den de baja de bases de datos de las cuales no puede hacerlo. ¿Cómo distinguir estos casos operativamente? Y también puede presentarse el caso contrario:
¿Cómo sabe la organización que en las bases de datos que pretende legalizar con el silencio de los titulares no hay datos de niños, niñas, adolescentes, o datos sensibles? Y esto es importante porque este tipo de datos están especialmente protegidos por la ley y se prohíbe su tratamiento sin consentimiento expreso. Y finalmente, ¿Cómo sabe la organización si los encargados de datos por cuenta suya quedan también legitimados si no han implementado procedimientos, o no tienen políticas para el tratamiento?
34.
Las situaciones expuestas conllevan sin duda a lo que vemos hoy: una enorme confusión que no beneficia a las organizaciones porque precisamente se está dando la oportunidad de perder datos cuando posiblemente ello no es procedente o bien violar derechos fundamentales sobre los cuales prima la Constitución y los desarrollos legales estatutarios.
35.
• La diferencia entre transmisión y transferencia de datos. El Decreto 1377 de 2013 creó dos nuevas definiciones que no se encuentran en la Ley 1581 y que entienden textualmente estos dos términos así:
“Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.”
36.
Con base en esta diferencia conceptual, ajena por completo a la Ley Estatutaria 1581 de 2012, se consagra por el Decreto 1377 de 2013 que: las transferencias internacionales de datos deberán regirse por lo dispuesto en la Ley, esto es, se prohíben a países no seguros y se permiten con expreso consentimiento del titular y en los casos excepcionales allí consagrados. Pero tratándose de transmisión de datos entre un responsable y un encargado, no se requiere del consentimiento del titular siempre que en el contrato que se celebre entre ellos se consagren expresas obligaciones al encargado.
37.
De lo anterior surgen nuevamente las dudas frente a la posibilidad de tratar datos sin consentimiento: ¿Podía el decreto incluir nuevas definiciones y crear situaciones nuevas de tratamiento otra vez sin consentimiento del titular? ¿Significa ello que el tratamiento lo legítima el contrato que se celebre entre responsables y encargados? ¿Acaso el Decreto está reglamentando con la inclusión de estas dos definiciones, el principio de CIRCULACION RESTRINGIDA DEL DATO? Si los datos migran a la nube a un país no seguro porque carece de normas de protección de datos ¿Qué mecanismos deberá adoptar la empresa para garantizar el control de los datos que se tratan sin consentimiento?
38.
El cumplimiento e implementación del nuevo régimen de protección de datos en Colombia es una oportunidad, y no debe verse como una carga. Una oportunidad de encontrar en la información un activo valioso para los procesos de Inteligencia de Negocios (BI) que permitan encontrar mayores factores de competitividad a las empresas con base en análisis de la información personal que tratan y que debe ser adecuada a la norma. A todas las personas físicas debe
interesarles el cuidado y seguridad de sus datos porque finalmente la cibercriminalidad se nutre de las indebidas prácticas que se tienen actualmente sobre las bases de datos personales y que vienen a reemplazarse por buenas reglas de cumplimiento que fomenten en los consumidores confianza, mayor seguridad y transparencia al momento de tratar su información personal.
A MANERA DE CONCLUSIÓN
![???E E?C?? C????E‚رار... · 2018-02-28 · 16 2009...3 1377 (448) I 1375 . 1371 a,] (15) - 1377 (318) J 3 - .0., 1377 / 07 / 27 .0., 1377 1371 (15) uS , 1428 (386) . -1±2/21](https://img.pdfslide.net/doc/110x75/5e5fa4198e44c6615913743f/e-ec-ce-2018-02-28-16-20093-1377-448-i-1375-1371.jpg)
