DECRETO 255 DE 2022

Decretos 2022
admin14Deja un comentario en DECRETO 255 DE 2022

DECRETO 255 DE 2022     

(febrero 23)    

D.O. 51.957, febrero 23 de 2022    

por el cual se adiciona la  Sección 7 al Capítulo 25 del Título 2 de la Parte 2 del Libro 2 del Decreto 1074 de 2015,  Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, sobre  normas corporativas vinculantes para la certificación de buenas prácticas en  protección de datos personales y su transferencia a terceros países.    

El Presidente de la República  de Colombia, en uso de sus atribuciones constitucionales y legales, en  especial, las previstas en el numeral 11 del artículo 189 de la Constitución Política y  en el artículo 27 de la Ley 1581 de 2012, y    

CONSIDERANDO:    

Que mediante la Ley 1581 de 2012 se  expidió el Régimen General de Protección de Datos Personales, el cual tiene por  objeto: “(…) desarrollar el derecho constitucional que tienen todas las  personas a conocer, actualizar y rectificar las informaciones que se hayan  recogido sobre ellas en bases de datos o archivos, y los demás derechos,  libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así  como el derecho a la información consagrado en el artículo 20 de la misma”.    

Que, de acuerdo con el régimen  establecido en la Ley 1581 de 2012, el  Estado colombiano contempla una serie de prohibiciones para la transferencia de  datos personales cuando un determinado país no proporciona un nivel adecuado de  protección; sin embargo, existen algunas excepciones cuando subsisten  situaciones como las contempladas en el artículo 26 de la misma ley o cuando  hay la declaratoria de conformidad relativa para la transferencia de datos por  parte de la Superintendencia de Industria y Comercio.    

Que el artículo 27 de la Ley 1581 de 2012  dispuso que: “El Gobierno nacional expedirá la reglamentación  correspondiente sobre Normas Corporativas Vinculantes para la certificación de  buenas prácticas en protección de datos, personales y su transferencia a  terceros países”.    

Que las Normas Corporativas  Vinculantes constituyen una alternativa adicional, a las ya previstas en la  normativa colombiana, para facilitar la transferencia de datos entre responsables,  que para el caso particular sean parte de un mismo grupo empresarial y que se  encuentran ubicados en diferentes países. Las Normas Corporativas Vinculantes  se materializan a través de sistemas de autorregulación que confieren derechos  y garantías a los titulares de los datos, y deberes y obligaciones al grupo  empresarial derivados del cumplimiento de los principios previstos en la Ley de  protección de datos y la aprobación que corresponde hacer sobre estas, a la  Superintendencia de Industria y Comercio.    

Que, con el fin de facilitar la  implementación y cumplimiento de lo dispuesto en el artículo 27 de la Ley 1581 de 2012, se  deben reglamentar las condiciones mínimas que deben incorporar las Normas  Corporativas Vinculantes en materia de garantías y mecanismos de protección de  datos, así como los requisitos generales que deben contener.    

Que la Corte Constitucional, en  Sentencia C-748 de 2011, al  evaluar la constitucionalidad del artículo 27 de la Ley 1581 de 2012,  sobre Normas Corporativas Vinculantes, estableció que “(…) para que estas  normas cumplan su objetivo, una vez el Gobierno nacional las reglamente y las  organizaciones las implementen, deben ser revisadas por la autoridad de  protección (…)”.    

Que este proyecto de decreto  fue publicado en la página web del Ministerio de Comercio, Industria y Turismo,  atendiendo lo previsto en el numeral 8 del artículo 8° del Código de  Procedimiento Administrativo y de lo Contencioso-Administrativo y en el  artículo 2.1.2.1.14. del Decreto Único Reglamentario de la Presidencia de la  República, Decreto 1081 de 2015.    

En mérito de lo expuesto,    

DECRETA:    

Artículo 1°. Adiciónese la  Sección 7 al Capítulo 25 del Título 2 de la Parte 2 del Libro 2 del Decreto 1074 de 2015.  Adiciónese la Sección 7 al Capítulo 25 del Título 2 de la Parte 2 del Libro 2  del Decreto 1074 de 2015,  Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, en los  siguientes términos:    

“SECCIÓN 7    

Normas corporativas vinculantes    

Artículo 2.2.2.25.7.1. Objeto. El  presente decreto tiene como objeto establecer las condiciones mínimas de las  Normas Corporativas Vinculantes, entre ellas, las garantías y mecanismos de  protección de datos que deben ofrecerse, así como el procedimiento para  autorizarlas, para la obtención de la certificación de buenas prácticas.    

Artículo 2.2.2.25.7.2. Ámbito  de aplicación. Las Normas Corporativas Vinculantes son de obligatorio  cumplimiento para el grupo empresarial, en los términos definidos por el  artículo 28 de la Ley 222 de 1995, que  realicen transferencia o conjunto de transferencia de datos personales a un  responsable de dicho grupo, fuera del territorio colombiano, salvo que el grupo  empresarial aplique otros mecanismos de transferencia de datos establecidos en  la legislación colombiana.    

Artículo 2.2.2.25.7.3. Definición  de Normas Corporativas Vinculantes. Son Normas Corporativas  Vinculantes las políticas, principios de buen gobierno o códigos de buenas  prácticas empresariales de obligatorio cumplimiento asumidas por el responsable  del tratamiento de datos, establecido en el territorio colombiano, para  realizar transferencias o un conjunto de transferencias de datos personales a  un responsable que se encuentre ubicado por fuera del territorio colombiano y  que haga parte de un mismo grupo empresarial.    

Artículo 2.2.2.25.7.4. De la  garantía que frente a los principios deben proveer las Normas Corporativas  Vinculantes. Las Normas Corporativas Vinculantes que se adopten en un mismo  grupo empresarial deberán garantizar el cumplimiento de los principios para el  tratamiento de datos personales consagrado en el artículo 4° de la Ley 1581 de 2012 y  sus decretos reglamentarios, las reglas sobre las categorías especiales de  datos, previstas en el Título III de la Ley 1581 de 2012, los  derechos y condiciones de legalidad para el tratamiento de datos contenidos en  el Título IV de la Ley 1581 de 2012 y  los deberes de los responsables del tratamiento de que trata el Título VI de la  Ley 1581 de 2012.    

Para efectos de lo anterior,  las Normas Corporativas Vinculantes implementadas por un grupo empresarial  deben establecer mecanismos para asegurar que los datos sean:    

1. Tratados de manera lícita,  leal y transparente en relación con el titular del dato personal.    

2. Recogidos con fines  determinados, explícitos y legítimos, y no serán tratados posteriormente de  manera incompatible con dichos fines.    

3. Adecuados, pertinentes y  limitados al mínimo necesario en relación con los fines para los que se traten.    

4. Exactos y se mantendrán  actualizados; se habrán de adoptar todas las medidas razonables para que se  supriman o se rectifiquen sin demora los datos personales que sean inexactos.    

5. Conservados de manera que  permitan identificar al titular, durante un periodo no superior al necesario.    

6. Tratados bajo el control del  responsable del tratamiento, quien, para cada operación de tratamiento,  garantizará y demostrará el cumplimiento de las disposiciones del presente  decreto.    

Parágrafo. Las empresas del grupo empresarial y cada uno de sus  miembros serán solidariamente responsables del cumplimiento de las Normas  Corporativas Vinculantes. En consecuencia, la Superintendencia de Industria y  Comercio puede requerir, investigar y sancionar al responsable del tratamiento  de datos establecido en el territorio colombiano, por las infracciones que  cometa cualquiera de los miembros del grupo empresarial.    

Artículo 2.2.2.25.7.5. Requisitos generales de las Normas  Corporativas Vinculantes. Las Normas Corporativas Vinculantes que  adopte un mismo grupo empresarial deberán contener como mínimo lo siguientes  requisitos:    

1. La estructura y los datos de  contacto del grupo empresarial y de cada uno de sus miembros a los cuales les  son de obligatorio cumplimiento las Normas Corporativas Vinculantes.    

2. Las transferencias o serie  de transferencias de datos, incluidas las categorías de datos personales, el  tipo de tratamiento y sus fines, el tipo de titulares afectados y el nombre del  tercer o los terceros países.    

3. Su carácter jurídicamente  vinculante, para todas las entidades que conforman el grupo empresarial.    

4. La aplicación de los  principios generales en materia de protección de datos establecidos en la Ley 1581 de 2012 y  sus normas reglamentarias.    

5. La referencia a los derechos  de los titulares previstos en la Ley 1581 de 2012 y  sus normas reglamentarias, así como los medios efectivos para ejercerlos.    

6. Las medidas adoptadas para  impedir las transferencias a otras entidades que no pertenecen al grupo  empresarial. Lo anterior, sin perjuicio de lo consagrado en el artículo 26 de  la Ley 1581 de 2012.    

7. La referencia al personal  encargado del cumplimiento de las normas corporativas vinculantes, así como la  supervisión de la formación y del trámite de las reclamaciones.    

8. Los mecanismos establecidos  dentro del grupo empresarial para garantizar que se verifique el cumplimiento  de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías  de protección de datos y métodos para garantizar acciones correctivas para  proteger los derechos del titular del dato.    

9. Los mecanismos establecidos  para comunicar y registrar las modificaciones introducidas en las políticas y  para notificar esas modificaciones a la Superintendencia de Industria y  Comercio.    

10. La formación en protección  de datos pertinente para el personal que tenga acceso permanente o habitual a  datos personales.    

11. Los procedimientos para que  los titulares presenten consultas o reclamos y estos sean atendidos  oportunamente de conformidad con lo previsto en la Ley 1581 de 2012.    

12. La adopción de medidas de  responsabilidad demostrada (accountability) para comprobar que se han  implementado medidas útiles, oportunas, pertinentes y eficientes para cumplir  las normas corporativas vinculantes y lo establecido en este decreto.    

13. Las especificaciones o  requisitos adicionales que haga la Superintendencia de Industria y Comercio con  base en los anteriores numerales.    

Artículo 2.2.2.25.7.6. Facultades  de la Superintendencia de Industria y Comercio para establecer las Normas  Corporativas Vinculantes. La Superintendencia de Industria y  Comercio establecerá las especificaciones aplicables a las Normas Corporativas  Vinculantes, al tenor de lo dispuesto en el presente decreto, para garantizar  la efectiva protección de los datos personales de los titulares.    

La Superintendencia de  Industria y Comercio publicará en su página web todas las especificaciones que  deberán contener las Normas Corporativas Vinculantes y, en dicha publicación,  establecerá la fecha a partir de la cual los interesados podrán presentar las  solicitudes para su revisión respectiva.    

Artículo 2.2.2.25.7.7. Aprobación  de la Superintendencia de Industria y Comercio. La  Superintendencia de Industria y Comercio aprobará las Normas Corporativas  Vinculantes que cumplan los siguientes requisitos:    

1. Sean jurídicamente  vinculantes y se apliquen a todos los miembros que hacen parte del mismo grupo  empresarial responsables de la transferencia y tratamiento de protección de los  datos personales de los titulares.    

2. Confieran expresamente a los  titulares de los datos la facultad de ejercer los derechos previstos en la Ley 1581 de 2012.    

3. Cumplan los requisitos  establecidos en el presente decreto.    

Las Normas Corporativas  Vinculantes solo podrán ser sometidas a la aprobación de la Superintendencia de  Industria y Comercio, como autoridad de datos colombiana, una vez hayan sido  aprobadas por el órgano correspondiente según los estatutos de la sociedad o  los acuerdos del grupo empresarial. Las normas que sean formalmente presentadas  ante la Superintendencia de Industria y Comercio solo estarán vigentes a partir  de la fecha en que la Superintendencia de Industria y Comercio, emita su  certificación y es, a partir de ese momento, que pueden iniciar a aplicarse.    

El grupo empresarial que cuente  con aprobación de las Normas Corporativas Vinculantes deberá informar tal  situación en su página web.    

En los casos en que las normas  no sean aprobadas, los ajustes requeridos por la Superintendencia de Industria  y Comercio, una vez realizados, deben contar con la aprobación del órgano  social o contractual correspondiente, antes de ser sometidas, nuevamente, a  aprobación.    

Artículo 2.2.2.25.7.8. Formatos  y modelos de Normas Corporativas Vinculantes. La  Superintendencia de Industria y Comercio podrá publicar y especificar en su  página web a títulos de guías o ayudas, formatos y modelos de documentos que  podrán ser utilizados como referentes por los grupos empresariales.”.    

Artículo 2°. Vigencia y  derogatorias. El presente decreto rige a partir de su publicación y adiciona la  Sección 7 al Capítulo 25 del Título 2 de la Parte 2 del Libro 2 del Decreto 1074 de 2015.    

Publíquese y cúmplase.    

Dado en Bogotá, D. C., a 23 de  febrero de 2022.    

IVÁN DUQUE MÁRQUEZ.    

La Ministra de Comercio,  Industria y Turismo,    

María Ximena Lombana Villalba.    

               

Related Posts

DECRETO 2658 DE 2022

admin14

DECRETO 2234 DE 2022

admin14

DECRETO 2643 DE 2022

admin14

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *