Buscar search
Índice developer_guide

CONCEPTO 297385 DE 2015

(enero 22)

<Fuente: Archivo interno entidad emisora>

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Señor

CARLOS ANDRES SALAZAR CAMPO

carlos.salazar.campo@co.pwc.com

Asunto: Radicación: 15-297385- -00001-0000
Trámite: 113
Evento: 0
Actuación: 440
Folios: 1

Estimado(a) Señor:

Con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, damos respuesta a su comunicación radicada en esta Entidad con el número que se indica en el asunto, respecto a los siguientes interrogantes:

1. OBJETO DE LA CONSULTA.

Respecto a la cesión o transferencia nacional de bases de datos consagrada en la Circular Externa 002 de 2015, pregunta lo siguiente: “(...) En la actividad desplegada por Call Centers, donde existe una trasmisión de Bases de Datos para el cumplimiento de la actividad, le sería aplicable este literal, debiendo realizar el registro de las Bases de Datos trasmitidas?”

A continuación nos permitimos suministrarle información relevante en relación con su consulta, con el fin de brindarle mayores elementos de juicio al respecto. Lo anterior, teniendo en cuenta que esta oficina mediante un concepto no puede solucionar situaciones particulares.

2. TRANSFERENCIA DE DATOS PERSONALES.

El artículo 2.2.2.25.1.3., del Decreto 1074 de 2015 distingue entre transferencia y transmisión al definirlos de la siguiente manera:

“4. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

(... )”

De acuerdo con lo anterior, la transferencia de datos es aquella comunicación de datos personales que ocurre entre un Responsable del Tratamiento ubicado en Colombia y otro Responsable del tratamiento que se encuentra dentro o fuera del país.

Ahora bien, es necesario traer a colación la definición de responsable y encargado del tratamiento del artículo 3 de la Ley 1581 de 2012 así:

“d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos”.

Respecto a las definiciones de responsables y encargados que trata el artículo 3 de la Ley 1581 de 2012, la Corte Constitucional mediante Sentencia C-748 de 2011 aclaró la diferencia entre ellos así:

“(...)

Constitucionalidad de los literales d) y e): definiciones de encargado y responsable de tratamiento del dato

En los literales d) y e) del artículo 3, se hace expresa mención al encargado y al responsable del dato, respectivamente. La Sala observa que la diferenciación de estos dos sujetos era determinante, por cuanto de ello depende el ámbito de sus deberes, enumerados en el título VI del proyecto, de modo que dichas definiciones están ligadas al principio de legalidad en materia sancionatoria y son una garantía para el titular del dato respecto de quién es obligado a cumplir diferentes prerrogativas que se desprenden del habeas data.

Sin embargo, se debe señalar desde ahora, al igual que se indicó en la sentencia C-1011 de 2008, que todos los principios de la administración de datos personales identificados en este proyecto -los cuales serán estudiados en otro acápite- son oponibles a todos los sujetos involucrados en el tratamiento del dato, entiéndase en la recolección, circulación, uso, almacenamiento, supresión, etc., sin importar la denominación que los sujetos adquieran, es decir, llámense fuente, responsable del tratamiento, operador, encargado del tratamiento o usuario, entre otros. Hechas estas aclaraciones, pasa la Sala a examinar la constitucionalidad de las definiciones.

El proyecto define al encargado del tratamiento como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de datos personales por cuenta del responsable del tratamiento. Por otro lado, el responsable del tratamiento es definido como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la base de datos y/o el tratamiento de los datos.

Estas definiciones parecen inspirarse en el derecho comunitario europeo, especialmente en la Directiva 95/46/CE y en el Dictamen 1/2010 del Grupo Consultivo sobre Protección de Datos, a las que vale la pena remitirnos por razones meramente ilustrativas y con el fin de acercamos al correcto entendimiento de uno y otro concepto, labor que a veces se torna difícil por el avance de las tecnologías de la información y otros retos que impone la globalización.

El Dictamen 1/2010 señala que lo que permite identificar al responsable de otros agentes que participan en el proceso, es que él es el que determina los fines y los medios esenciales del tratamiento de los datos. También indica en relación con los medios, que se hablará de responsable cuando el sujeto realice un control o determine elementos esenciales de los medios, tales como el tiempo que los datos deben permanecer almacenados, la forma cómo se hará su uso o se pondrán en circulación, el acceso a los mismos etc. Por su parte, precisa que el encargado es quien realiza el tratamiento por cuenta del responsable, es decir, por delegación y, por tanto, es natural y jurídicamente distinto del responsable.

Los criterios de (i) definición de los fines y medios del tratamiento del dato personal y (ii) existencia de delegación, también resultan útiles en nuestro caso para establecer la diferencia entre responsable y encargado. Ciertamente, el concepto “decidir sobre el tratamiento” empleado por el literal e) parece coincidir con la posibilidad de definir jurídica y materialmente- los fines y medios del tratamiento. Usualmente, como reconocen varias legislaciones, el responsable es el propietario de la base de datos; sin embargo, con el fin de no limitar la exigibilidad de las obligaciones que se desprenden del habeas data, la Sala observa que la definición del proyecto de ley es amplia y no se restringe a dicha hipótesis. Así, el concepto de responsable puede cobijar tanto a la fuente como al usuario, en los casos en los que dichos agentes tengan la posibilidad de decidir sobre las finalidades del tratamiento y los medios empleados para el efecto, por ejemplo, para ponerlo en circulación o usarlo de alguna manera.

De otro lado, el criterio de delegación coincide con el término “por cuenta de” utilizado por el literal e), lo que da a entender una relación de subordinación del encargado al responsable, sin que ello implique que se exima de su responsabilidad frente al titular del dato.

(...)

Ahora bien, vale la pena advertir que el encargado del tratamiento no puede ser el mismo responsable, pues se requiere que existan dos personas identificables e independientes, natural y jurídicamente, entre las cuales una -el responsable- le señala a la otra -el encargado- como quiere el procesamiento de unos determinados datos. En este orden, el encargado recibe unas instrucciones sobre la forma como los datos serán administrados. (... )

(...)

Establecida la diferencia entre responsable y encargado, la Sala observa, en primer lugar, que las definiciones de los literales d) y e) representan ejercicio legítimo de la libertad de configuración del legislador estatutario justificada en la forma cómo se desarrolla el tratamiento del dato, y en segunda lugar, que la clasificación tiene además utilidad desde el punto de vista constitucional, esta es, definir el régimen de responsabilidades y obligaciones de quienes participan en el tratamiento del dato personal.

En efecto, de acuerdo con las definiciones acogidas por el proyecto de ley, los responsables del tratamiento tienen mayores compromisos y deberes frente al titular del dato, pues son los llamados a garantizar en primer lugar el derecho fundamental al habeas data, así como las condiciones de seguridad para impedir cualquier tratamiento ilícito del dato. La calidad de responsable igualmente impone un haz de responsabilidades, específicamente en lo que se refiere a la seguridad y a la confidencial idad de los datos sujetos a tratamiento.

En la sentencia C-1011 de 2008, se señaló que en la administración de datos personales es posible identificar varias etapas, cuya diferenciación permite adscribir determinados niveles de responsabilidad a los sujetos que participan de él. Así, por ejemplo, sobre la calidad de la información, el encargado del tratamiento tendrá deberes de diligencia y cuidado en la medida en que como lo consagra el proyecto de ley, está obligado a realizar de forma oportuna, la actualización, rectificación o supresión del dato, según el caso, literal c) del artículo 18.

En esa línea, lo importante para una verdadera garantía del derecho al habeas data, es que se pueda establecer de manera clara la responsabilidad de cada sujeto o agente en el evento en que el titular del dato decida ejercer sus derechos. Cuando dicha determinación no exista o resulte difícil llegar a ella, las autoridades correspondientes habrán de presumir la responsabilidad solidaria de todos, aspecto éste sobre el que guarda silencio el proyecto de ley y que la Corte debe afirmar como una forma de hacer efectiva la protección a la que se refiere el artículo 15 de la Carta”.

Por lo anterior, el responsable del tratamiento de los datos personales es la persona natural o jurídica que decide sobre las finalidades del tratamiento y los medios empleados para el efecto, por ejemplo, para ponerlo en circulación o usarlo de alguna manera o su acceso y el encargado es la persona natural o jurídica que realiza el tratamiento de los datos personales por instrucción del responsable.

El literal f) del artículo 2.1. de la Circular Externa No. 002 de 2015 señala lo siguiente:

“Cesión o transferencia nacional de la base de datos. La información relacionada con la cesión o transferencia nacional de datos incluye la identificación del cesionario, quien se considerará Responsable del Tratamiento de la base de datos cedida a partir del momento en que se perfeccione la cesión. No es obligatorio para el cedente registrar la cesión de la base de datos. Sin embargo, el cesionario, como Responsable del Tratamiento, debe cumplir con el registro de la base de datos que le ha sido cedida”.

Para mayor claridad, nos permitimos traer a colación las siguientes definiciones:

“Cesión: 1. f. Renuncia de algo, posesión, acción o derecho, que alguien hace a favor de otra persona.

Cedente: 1. adj. Dicho de una persona o de una entidad: Que cede (&#8214; traspasa una cosa, acción o derecho).

Cesionario: 1. adj. Dicho de una persona o de una entidad: Que recibe una cesión hecha en su favor”.

En consecuencia, la obligación de registrar las bases de datos en el Registro Nacional de Bases de Datos, corresponde al Responsable y no al Encargado del tratamiento.

En el evento de cesión de bases de datos, es decir, de la entrega de la base de datos por parte de un responsable a otra persona natural o jurídica que adquiere la calidad de nuevo responsable la obligación de registro corresponde a este último. Tenga en cuenta que el responsable es la persona natural o jurídica que decide sobre las finalidades del tratamiento y los medios empleados para el efecto.

Si requiere mayor información sobre el desarrollo de nuestras funciones y sobre las normas objeto de aplicación por parte de esta entidad, puede consultar nuestra página de internet www.sic.gov.co

Atentamente,

WILLIAM ANTONIO BURGOS DURANGO

JEFE OFICINA ASESORA JURÍDICA

×
Volver arriba