Opinión

“Accountability”, protección de datos

La Circular Externa No. 5 sobre transferencias internacionales de datos personales, publicada por la SIC el 10 de agosto, generó un debate sobre “soberanía digital” con pocos antecedentes en los cortos años de vigencia de la Ley 1581/12. Mención especial merece la incorporación en la circular de EE.UU., como “país adecuado”, hecho que se convirtió en el florero de Llorente de este debate donde ya han despuntado críticos y defensores, en la academia, la sociedad civil y la comunidad empresarial.

Desde la expedición de la ley se previeron reglas sobre transferencias internacionales de datos para garantizar que, en cualquier operación que involucre el flujo transfronterizo de información, se proteja efectivamente a los titulares. Por ello, la norma prohibió dichas transferencias a menos que (i) se hagan a países con un nivel adecuado de protección de datos, (ii) se enmarquen en alguna excepción legal o (iii) la SIC, a solicitud de parte, profiera una declaración de conformidad que la autorice.

Por su parte, el Decreto 1377/13 introdujo criterios para distinguir las transferencias hechas a un responsable de aquellas hechas a un encargado, denominando a estas últimas transmisiones. Como novedad, introdujo una excepción a la necesidad de contar con la autorización, cuando las transmisiones estén soportadas en un contrato que obligue al encargado a llevar a cabo el tratamiento según los principios legales y los deberes de seguridad y confidencialidad.

La circular expedida por la SIC tiene como propósito principal establecer los criterios para considerar que un tercer país es adecuado y definir las condiciones para obtener las declaraciones de conformidad. Yendo más allá de la publicación de la “lista blanca” de países adecuados, se acierta al vincular el principio de responsabilidad demostrada (accountability) como una condición que los responsables no pueden eludir en cualquier transferencia.

Precisamente por esto último, la circular no es un “cheque en blanco” para transferir información internacionalmente. Muy por el contrario, esta se convertirá en un instrumento que facilitará las transacciones que involucran transferencias, pero manteniendo la efectiva protección del derecho de los titulares. Esto es especialmente claro al establecer que es deber de los responsables, en cualquier operación que involucre tratamiento, “implementar medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en el Régimen General de Protección de Datos Personales”. Los responsables, además, deben poder demostrar la implementación de dichas medidas, inclusive cuando las transferencias se realicen a países “adecuados”.

La protección de los titulares es mucho más efectiva cuando las normas y las autoridades de control centran sus esfuerzos en exigirles a los responsables que adopten un programa efectivo de protección de datos. Esto, en oposición a los enfoques excesivamente formalistas, que se centran en buscar equivalencias entre sistemas jurídicos y que podrían resultar en protecciones sobre el papel que en la práctica carecen de buenos elementos de gobernanza.

En cualquier caso, las empresas colombianas deberán seguir trabajando en afianzar sus buenas prácticas para beneficiarse de esta apertura de fronteras digitales. El mensaje es claro: hay un reconocimiento y una voluntad para facilitar las transferencias internacionales sin olvidar nunca que, para que esto sea posible, los responsables deben demostrar su adherencia a estándares de accountability que les aseguren a los ciudadanos que su información estará protegida con independencia del destino.