“© GOBIERNO DE COLONEL Industria y Comercio SUPERINTENOECTA CIRCULAR EXTERNANo. 60 2 BogotsD.c. 2 3 MAR 2018 Para: RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES Asunto: Modificar e! numeral 3.2 del Capitulo Tercero del Titulo V de la Circular Unica 1. Objeto Modificar el numeral 3.2 del Capitulo Tercero del Titulo V de la Circular Unica con el fn de incluir un pais dentro de la lista de paises contenida en dicho numeral, ls cuales cuentan con un nivel adecuado de proteccién de datos personales de acuerdo con los estandares fiiados por la Superintendencia de Industria y Comercio. 2. Fundamento Legal El articulo 26 de la Ley Estatutaria 1581 de 2012 (Régimen General de Proteccién de Datos Personales), establece las condiciones para realizar la transferencia internacional de datos personales “Articulo 26. Prohibicién. Se prohibe la transferencia de datos personales de ‘cualquier tipo a paises que no proporcionen niveles adecuados de proteccién de datos. Se entiende que un pais offece un nivel adecuado de proteccién de datos ‘cuando cumpla con los esténdares fjados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningdn caso podrén ser inferiores a los que la presente ley exige a sus destinatarios. Esta prohibicion no regiré cuando se trate de: a) Informacion respecto de la cual el Titular haya otorgado su autorizacién expresa e inequivoca para la transferencia. ) Intercambio de datos de carécter médico, cuando asi fo exija el Tratamiento del Titular por razones de salud o higiene publica. 6) Transferencias bencorias 0 bursétiles,conforme a la leislaciin que les resulle aplicable. 4) Transferencias acordadas en el marco de tratados infemacionales en los cuales la Repiiblica de Colombia sea parte, con fundamento en el principio de reciprocidad. ‘efor cudadana para hacer Seguin au ltd Is enida a cacao sigdenescanales, vwriegeven ~Tlfonoen Segoe 5920400 non gat srl nate WOODS ‘ws apr andar ‘tcc ca 15 877-00 peas 5.6 7910. Goger4OC- Colonia ~ Yhna 575276000 ~ emalcntctenegulegance el aeraratios @ GOBIERNO DE COLOMBI. Industriay Comercio =) 2 i 23 MAR 2018 ¢) Transferencias necesarias para la ejecucin de un contrato entre el Titular y el Responsable del Tratamiento, o para fa ejecucién de medidas precontractuales ‘siempre y cuando se cuente con la autorizacién del Titular. 1) Transferencias legalmente exigidas para la salvaguardia del interés piiblico, 0 para el reconocimiento, ejerccio 0 defensa de un derecho en un proceso judicial Parégrafo 1. En los casos no coniemplados como excepcién en el presente articulo, conesponderd a la Superintendenoia de Industria y Comercio, proferir la declaracién de conformidad relativa a la transferencia intemacional de datos personales. Para el efecto, e! Superintendente queda facuitedo para requerir informacién y adelantar las dligencias tenaientes a establecer el cumplimiento de {os presupuestos que requiere la viabilidad de la operacion. Parégrafo 2. Las disposiciones contenidas en el presente articulo seran aplicables para todos los datos personales, incluyendo aquellos contemplados en fa Ley 1266 de 2008. La Corte Constitucional, en Sentencia C-748 de 2011, precisé tas condiciones que la Superintendencia de Industria y Comercio debe considerar para fijar los estandares del nivel adecuado de proteccién de un pais receptor de datos personales transferidos desde Colombia, alos que hace referencia el parrafo primer 0 de articulo 26 antes citado. Al respecto, dicha Corte sefialé lo siguiente: “(..) [Se entender que un pais cuenta con los elementos o esténdares de garantia necesarios para garantizar un nive! adecuado de proteccién de datos personales, si su legislacién cuenta; con unos principios, que abarquen las obligaciones y derechos de las partes (titular de! dato, autoridades puibiicas, empresas, agencias u otros organismos que efectien tratamientos de datos personales), y de los datos (calidad del dato, seguridad técnica) y; con un rocedimiento de proteccién de datos que involucre mecanismos y autoridades {que efectivicen la protecciéin dela informacién. De lo anterior se deriva que el pais al quo se transfiera los datos, no podré proporcionar un nivel de proteccién inferior al conlemplado en este cuerpo normativo que es objeto de estudio". (Subrayado fuera de texto) Mediante la Circular Externa 005 de 2017, incorporada al Capitulo Tercero del Titulo V de la Circular Unica de la Superintendencia de Industria y Comercio, esta entidad sefiald los estandares que permiten determinar qué paises cuentan con un nivel adecuado de protecci6n de datos personales y elaboro un lstado de palses que, acorde con tales estandares y con el andlsis particular realizado por esta entidad, cuentan con un nivel adecuado de proteccién de datos personales En adicion alos paises incluidos en el mencionadb listado, la Superintendencia analizé el cunplimiento de los estindares referidos por parte de Australia, en respuesta a una solcitud formulada por dicho pals, para lo cual remitié a esta entidad informacion relevante para adelantar tal andisis y que permite ‘efor cudadono para car sequimiant assailed Inenidd leone os sient caren ‘veclnCa 5427-00 pnt. 5 4 5.6.79". Saget OC- Colombe» Telono G7NEE7CO00 - era consctemegulegerce armen pet002 23 MAR 2018 concluir que garantiza un nivel adecuado de proteccion de datos personales. Por lo anterior, se adicionara al istado de paises contenido en el numeral 3.2 citado. BUPERINTENDENCIA 3. Instructivo Modificar el numeral 3.2 de! Capitulo Tercero del Titulo V de la Circular Unica, sobre transferencia de datos personales, el cual quedara asi: “3.2 Paises que cuentan con un nivel adecuado de proteccion de datos personales Teniendo en cuenta los esténdares seftalados en el numeral 3.1 anterior y el analisis efectuado por esta Superintendencia, garantizan un nivel adecuado de pproteccién los siguientes paises: Alemania; Australia; Austria; Bélgica; Bulgaria; Chipre; Costa Rica; Croacia; Dinamarca; Eslovaquia; Eslovenia; Estonia; Espafia; Estados Unidos de América; Finlandia; Francia; Grecia; Hungria;irlanda; Islandia; Italia; Japon; Letonia; Litvania; Luxemburgo; Malta; México; Noruega; Paises Bajos; Pert; Polonia; Portugal: Reino Unido; Reptblica Checa; Repiblica de Corea; Rumania; Serbia; Suecia; y os paises que han sido deciarados con ef nivel adecuado de protecci6n por la Comision Europea, La Superintendencia de Industria y Comercio ejercerd, en cualquier tiempo, su ‘capacidad regulatoria para revisar ia lista anterior y proceder a incluir a quienes no ‘hacen parte de la misma o para excluir a quien se considere conveniente, de acuerdo con los lineamiontos establecidos en la ley. Paragrafo Primero: Sin perjuicio de que las transferencias de datos personales se realicen a paises que tienen un nivel adecuado de proteccién, los Responsables del Tratamiento, en virtud de! principio de responsabilidad demostrada, deben ser ccapaces de demostrar que han implementado medidas apropiadas y efectivas para .garantizar el adecuado tratamiento de los datos personales que transfieren a otro pals y para otorgar seguridad a los registros al momento de efectuar dicha transferencia, Pardgrafo Segundo: Cuando la Transferencia de datos personales se vaya a realizar a un pais que no se encuentre dentro de los relacionados en el presente numeral, corresponderé al Responsable del tratamiento que efectuaré la transferencia verticar si la operacién esté comprendida dentro de una de las causales de excepci6n establecidas en of articulo 26 de fa Ley 1581 de 2012, o, si ese pais cumple con los esténdares fjados en el numeral 3.1 anterior, casos en ‘os cuales podré realizar la trasferencia, 0, de no cumplirse ninguna de las condiciones anteriores, solictar la respectiva declaracion de conformidad ante esta Superintendencia, Stor cudadana par acer sequins sso I ended a fecele sguertcanale: piostajeasannervny wmcsegovco tena Soper so400 ~ nea ats ite nase it 7 nates ‘rectn C1 27-00 ites1 5.45.6.7¥ 10. BogoWaD- Colombe - Fone B7SETGDND - em contcrane@elegorc> icicbaeorecenae