• Manuel Serrano Rey

sábado, 9 de abril de 2022

El pasado 23 de febrero de 2022, el Ministerio de Comercio Industria y Turismo emitió el Decreto 2555 de 2022, por medio del cual regula las Normas Corporativas Vinculantes en Colombia.

¿Qué son las Normas Corporativas Vinculantes?

Las Normas Corporativas Vinculantes son políticas, reglas, códigos y/o en general sistemas de autorregulación adoptados por un grupo empresarial, que son asumidos por el responsable del tratamiento de datos personales establecido en Colombia, para facilitar las transferencias de datos personales a otro(s) responsable(s) que se encuentren por fuera del territorio colombiano y que hagan parte del mismo grupo empresarial.

¿Las Normas Corporativas Vinculantes deben ser aprobadas por alguna autoridad local para que su aplicación como medida alternativa sea válida de cara a la normativa de protección de datos en Colombia?

Sí. Los grupos empresariales que quieran acogerse a Normas Corporativas Vinculantes deberán presentarlas ante la Superintendencia de Industria y Comercio (SIC) para su aprobación.

¿Es obligatorio adoptar Normas Corporativas Vinculantes para realizar transferencia de datos a otros responsables del mismo grupo empresarial?

No. Las Normas Corporativas Vinculantes constituyen una alternativa adicional a las medidas previstas por las normas de protección de datos en Colombia para facilitar las transferencias de datos entre responsables que hacen parte de un mismo grupo empresarial. No obstante, cuando se adoptan estas Normas, el cumplimiento de estas es obligatorio para todos los miembros del grupo empresarial.

¿Cuál es la ventaja de contar con Normas Corporativas Vinculantes?

Al adoptar Normas Corporativas Vinculantes, los miembros de un mismo grupo empresarial pueden hacer transferencias de datos sin necesidad de seguir los parámetros para realizar transferencias de datos indicados en la Ley 1581 de 2012. En este sentido, aplican sus propias políticas de obligatorio cumplimiento, simplificando y unificando trámites internos para realizar dichas transferencias a terceros países.

¿Cuáles son los requisitos principales que deben cumplir las Normas Corporativas Vinculantes para ser aprobadas?

Según establece el Decreto 2555 de 2022, la SIC aprobará las Normas Corporativas Vinculantes que cumplan con los siguientes requisitos:

1. Que sean jurídicamente vinculantes y se apliquen a todos los miembros que hacen parte del grupo empresarial, responsables de las transferencias y tratamiento de datos personales;

2. Que confieran expresamente a los titulares de los datos la facultad de ejercer los derechos previstos en la Ley 1581 de 2012;

3. Que cumplan con los requisitos generales establecidos por el Ministerio de Comercio, Industria y Turismo en el Decreto 2555 de 2022, dentro de los cuales se encuentran, por ejemplo:

(i) indicar las medidas adoptadas para impedir la transferencias a otras entidades que no pertenecen al grupo empresarial,

(ii) adoptar medidas de responsabilidad demostrada (accountability) y

(iii) las transferencias o serie de transferencias de datos que realiza el grupo empresarial.