Bogotá. 30/06/2017.
Artículo escrito por el Dr. Emilio José Archila
Al momento de escribir esta columna no se ha decidido la extensión del plazo, previsto para el 30 de junio, para la inscripción de bases de datos personales en el Registro Nacional de Bases de Datos (Rnbd) administrado por la Superintendencia de Industria y Comercio.
Este ha sido un tema de especial interés durante el último año en vista de los plazos impuestos para cumplir con el deber de llevar a cabo el correspondiente registro.
Dicho deber, como es de esperarse, recae en cabeza de casi cualquier empresa o entidad pues, para el desarrollo corriente de su actividad, naturalmente, reciben y almacenan datos personales de, entre otros, clientes, empleados o proveedores.
En vista de la actualidad del asunto, en esta ocasión me permito mencionar lo expresado por la Superintendencia en un concepto emitido a mediados de este mes (Radicación: 114771 del 2017, emitido el 16 de junio de 2017), en relación con la transferencia nacional de datos personales y, en particular, la situación y deberes surgidos con motivo de la cesión de las bases de datos.
La consulta versaba sobre el procedimiento adecuado y el alcance de la facultad para eventuales solicitudes de modificación, sustracción, o acceso a los datos personales, en vista de que la empresa del solicitante era responsable de los datos manejados por una empresa en la actualidad liquidada.
Con motivo de lo anterior, la SIC procedió a realizar las siguientes precisiones, resaltando algunas disposiciones pertinentes en la materia, incluidas la ley 1581 de 2012, el decreto 1074 de 2015, la Circular Externa No. 002 de 2015:
1. La transferencia de datos es aquella comunicación, envío de información, de datos personales que ocurre entre un Responsable del Tratamiento ubicado en Colombia y otro Responsable del tratamiento que se encuentra dentro o fuera del país.
2. El cesionario de la base de datos se considerará Responsable del Tratamiento de la base de datos cedida a partir del momento en que se perfeccione la cesión. De acuerdo con la ley, el Responsable del Tratamiento, se recuerda, es toda persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
3. Como consecuencia de lo anterior, y repasando los deberes en cabeza del Responsable del Tratamiento de Datos, se concluye que el cesionario tiene el deber de actualizar, rectificar o suprimir los datos personales que se encuentren en sus bases de datos o permitir el acceso de la información a las personas autorizadas por la ley.
4. Si se trata de la delegación por parte del responsable a un encargado para realizar un tratamiento por cuenta del responsable, este último tiene los mismos deberes mencionados en el numeral anterior.
5. Por último, reitera la entidad citando el artículo 13 de la Ley 1581 de 2012 y la sentencia C-748 de 2011 de la Corte Constitucional, que los datos personales solo pueden suministrarse a: (i) el titular, sus causahabientes o representante legal, con el fin de garantizar el derecho fundamental de conocer donde se encuentra la información; (ii) a las entidades públicas o administrativas en ejercicio de sus funciones, y (iii) a un tercero previa autorización del titular o por la ley.
*Acá también puedes leer el artículo en el diario La República.