En cumplimiento del Artículo 27 de la Ley 1581 de 2012, el pasado 23 de febrero, el Gobierno Nacional, a través del Ministerio de Comercio, Industria y Turismo expidió el Decreto 255 de 2022, por medio del cual estableció las normas corporativas vinculantes para la certificación de buenas prácticas en protección de datos personales y su transferencia a terceros países.
Este Decreto tiene por objeto establecer las condiciones mínimas de las normas corporativas vinculantes ("NCV"), entre ellas, las garantías y mecanismos mínimos que, en materia de protección de datos debe ofrecer el responsable de los datos personales, establecido en el territorio colombiano, así como el procedimiento para autorizarlas y para la obtención de la certificación de buenas prácticas.
El Decreto 255 se estableció que se entiende por normas corporativas vinculantes aquellas "políticas y principios de buen gobierno o códigos de buenas prácticas empresariales de obligatorio cumplimiento asumidas por el responsable del tratamiento de datos, establecido en el territorio colombiano, para realizar transferencias o un conjunto de transferencias de datos personales a un responsable que se encuentre ubicado por fuera del territorio colombiano y que haga parte de un mismo grupo empresarial"
Así pues, el Decreto 255 presentó las NCV como una obligación adicional a las regulaciones previamente existentes en la legislación colombiana en materia de transferencia de datos personales entre responsables del mismo grupo empresarial que se encuentren ubicados por fuera del territorio colombiano que regulan las garantías, mecanismos y autorizaciones en materia de protección de datos y que facilitan el proceso de transferencia de datos personales entre responsables que hagan parte de un mismo grupo empresarial y se encuentren en países diferentes a Colombia.
De conformidad con el Decreto, la garantía respecto del adecuado tratamiento de los datos objeto de transferencia, se materializará con la adopción de sistemas de autorregulación que deben cumplir con una serie de principios tales como la licitud, lealtad, transparencia, finalidad determinada y explícita, pertinencia, actualización permanente y control, tanto de los datos como de las transferencias realizadas, respetando siempre los derechos de los titulares de los datos personales objeto de transferencia. Adicionalmente, el Decreto establece el contenido mínimo de las NCV.
Además de cumplir con los requisitos antes mencionados, las NCV adoptadas por cada grupo empresarial deben ser aprobadas por la Superintendencia de Industria y Comercio previa aprobación de los órganos corporativos correspondientes.
Ver aqui Decreto 255 de 2022 del MINCIT.
Noticia elaborada por:
Fabian Osorio
PwC Servicios Legales y Tributarios | Legal