Fuente: https://www.asuntoslegales.com.co/consultorio/como-transferir-datos-personales-en-colombia-3881238
En la actualidad, los datos personales son uno de los activos más valiosos de las empresas, ya que les permiten tomar decisiones estratégicas, acceder a nuevos clientes y examinar las preferencias de sus usuarios, entre otros. Cabe recordar que un dato personal hace referencia a cualquier información vinculada o que pueda asociarse a una persona natural, lo cual cobija una gran cantidad de información que una empresa almacena en su día a día.
En muchas ocasiones resulta necesario que una compañía comparta sus bases de datos con terceros, con el fin de cumplir con sus obligaciones u ofrecerles nuevos servicios a sus usuarios. Esta situación puede darse, por ejemplo, cuando una empresa está obligada a reportarle ciertos datos a su casa matriz o cuando varias empresas de un mismo grupo empresarial desean contactar a un cliente para ofrecer sus servicios de forma coordinada.
La posibilidad de circular datos personales con terceros puede ser sumamente relevante para una empresa. Sin embargo, existen muchas dudas acerca de los requisitos que se deben cumplir cuando se transfieren datos a terceros.
¿En qué consiste la transferencia de datos personales?
El artículo 2.2.2.25.1.3. del Decreto 1074 de 2015 establece que “la transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país”.
Esto quiere decir que una transferencia de datos tiene lugar cuando una persona natural o jurídica, que ha sido autorizada por el titular para tratar sus datos personales, los envía a un tercero para que éste pueda utilizarlos para sus propias finalidades.
¿Está permitida la transferencia de datos personales en Colombia?
En principio, la Ley 1581 de 2012 (que establece el régimen de protección de datos personales) no reguló la transferencia nacional de datos, es decir, la comunicación de información entre dos personas ubicadas en Colombia. Sin embargo, el Decreto 1075 de 2015 y la Superintendencia de Industria y Comercio sí han establecido que es posible realizar transferencias de datos personales en Colombia bajo este régimen.
Así, en el Concepto 24-3783, la Superintendencia aclaró que es posible transferir datos a terceros ubicados en Colombia, para lo cual se “deberá contar con la autorización previa, expresa e informada del titular para ello, salvo que exista disposición legal que releve el consentimiento”. De esta forma, se evidencia que la autorización del titular es la fuente de legitimación que habilita el envío de sus datos personales a terceros.
¿Qué elementos debe tener la autorización para la transferencia de datos personales?
Una práctica común consiste en incluir en la autorización de tratamiento de datos una habilitación general para “transferir datos a terceros”. No obstante, si bien esta fórmula resulta muy práctica, puede ser problemática ya que la Corte Constitucional ha aclarado que la administración de datos personales debe ser un proceso transparente, en donde el titular pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación.
Por lo tanto, es recomendable que la autorización incluya los siguientes elementos para poder realizar una transferencia a terceros:
(i) identificar al tercero al cual se enviarán los datos,
(ii) detallar los datos personales que serán compartidos, y
(iii) especificar las finalidades para las cuales el tercero podrá utilizar los datos.
