Para abordar este interrogante, primero debemos diferenciar dos conceptos, transferencia y transmisión, de acuerdo al artículo 2.2.2.25.1.3., del Decreto 1074 de 2015, la transferencia se define como el evento que tiene lugar, cuando “el Responsable y/o Encargado de tratamiento de datos, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país”.
La transmisión “implica la comunicación de datos personales, dentro o fuera del territorio de la República de Colombia, cuando tenga por objeto la realización de un tratamiento[1] por el encargado por cuenta del responsable[2]”.
En resumen, la transferencia de datos, es el envío de datos de un responsable a otro, mientras que la transmisión es cuando un encargado recibe información por cuenta de un responsable. La diferenciación es importante porque dependiendo del movimiento de datos al que nos refiramos las responsabilidades de los implicados difieren.
Según el artículo 3 de la ley 1581 de 2012 un Encargado es una persona natural o jurídica, pública o privada, que realiza el tratamiento de bases de datos con información personal, por cuenta de un Responsable, a su vez un responsable es una persona natural o jurídica, privada o pública, que tienen injerencia o decisión sobre la base de datos y/o el tratamiento de datos.
Luego la transferencia es la que se realiza entre dos responsables, es decir, dos entidades con decisión o injerencia sobre la base de datos. Definido esto y contestando la pregunta título de este artículo, la ley 1581 de 2012, dispone lo siguiente:
“ARTÍCULO 26. Prohibición. Se prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios.”
El mismo artículo determina un listado de casos en los que no rige la prohibición, entre las que encontramos casos como: a) en los que el titular haya dado autorización expresa para la transmisión, b) transferencia de información necesaria para realización de un contrato entre el responsable y el titular de la información, c) transferencias bancarias o bursátiles según la legislación aplicable, d) transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.
Además cuando se realiza la transmisión internacional de datos es necesario tener en cuenta lo dispuesto en el artículo 2.2.2.25.5.1., de Decreto 1074 de 2015, prevé que cuando se realizan una transmisión entre el responsable de los datos personales y un encargado del tratamiento, no es necesaria la autorización del dueño de los datos personales.
En todo caso si es su deseo conocer de primera mano la opinión de la Superintendencia de Industria y Comercio, puede consultar un concepto relacionado aquí:
http://serviciosweb.sic.gov.co/servilinea/ServiLinea/ConceptosJuridicos/documentos/16/16466228.PDF
Elaborado por: Jaime Alberto Rueda Vega
[1] https://colombiatributa.com/conceptos-basicos-los-datos-personales-tratamiento-informacion/