INICIO NOSOTROS PUBLICACIONES EVENTOS NOTICIAS

Contrato de Transferencia Internacional de Datos

El Contrato de Transferencia Internacional de Datos tiene por objeto establecer las condiciones mínimas que
garanticen un nivel adecuado de protección de datos personales, cuando éstos sean transferidos a un país que
no garantice un nivel adecuado de protección[1][2]. En otras palabras, es el contrato mediante el cual se
garantizan las condiciones para que los datos personales que estén en un país y deban ser trasladados a una
persona domiciliada en otro Estado, puedan transferirse. De lo anterior, se desprende que la principal obligación
del contrato es la transferencia de datos con condiciones mínimas de protección.

Ahora bien, son partes del Contrato de Transferencia Internacional de Datos los Responsables. El artículo 2º de
la Ley 1581 de 2012 de[ne Responsable como la “persona natural o jurídica, pública o privada, que por sí misma
o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos”. En este caso, tanto la
persona que “exporta” la información (base de datos) como aquella que está “importando” se le denomina
Responsable. A punto seguido, el artículo 3º de la Ley 1581 de 2012 de[ne dato personal como “cualquier
información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”.
Aquella información subsume aspectos del ser humano como lo son su familia, profesión y títulos universitarios,
así como su comportamiento sexual y transacciones [nancieras, etc.

Escrito por: Alejandro Londoño Congote
Ya claro qué es un Responsable y qué son los datos personales, es importante traer a colación un actor que si
bien no es parte del contrato en comento, sí se ve afectado por el mismo. Los Titulares son las personas
naturales cuyos datos personales son objeto de Tratamiento. Es decir, son las personas naturales a las que
puede asociarse la información (datos personales) contenida en la(s) base(s) de dato(s) que está(n) siendo
transferida(s) a otro Estado. En conclusión: 1) las partes del contrato no son dueñas de la información que
contienen las bases de datos y, por tanto, 2) existen riesgos para los Titulares a raíz del tratamiento que los
Responsables le den a sus datos, a saber, un tratamiento prohibido por el ordenamiento o incluso un uso para
actividades delictivas.

Uno de los tratamientos proscritos en la legislación nacional es precisamente la transferencia de datos personales a países que no proporcionen niveles adecuados de
protección de datos. El artículo 26 de la Ley 1581 del 2012 establece que “un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares
[jados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios”.
De esta manera, surge la necesidad de acudir a cláusulas contractuales para transferir datos a Estados que no cumplan con aquellos estándares [jados por la autoridad
nacional. Por ello, el contrato en comento tiene como objeto garantizar que el tratamiento por realizarse en el Estado importador tenga un grado de protección superior,
igual, similar o equivalente al del Estado exportador[3].

Así las cosas, el Contrato de Transferencia Internacional de Datos se vuelve una alternativa jurídica para facilitar la circulación internacional de datos personales. En adición,
impera recordar que no sólo en Colombia, sino también en legislaciones como la de la Unión Europea, se concibe la posibilidad para que mediante acuerdos contractuales
se establezcan las condiciones mínimas que garanticen un nivel adecuado de protección de datos personales cuando estos sean transferidos a un país que no garantice un
nivel adecuado de protección a la luz de la regulación[4].

En adición, es claro que la autonomía del contrato no está en discusión. Lo anterior, como todo contrato, requiere redactarse a la medida de la operación por realizase. No
obstante, también se habla de “cláusulas tipo”, esto es, cláusulas que se incorporan en el contrato de una operación que tendrá de por medio la exportación/importación de
datos.

A modo de ejemplo, se trae a colación la Decisión 2001/497/CE del 15 de junio del 2001, en donde se aprueban un primer conjunto de cláusulas contractuales tipo que
ofrecen garantías adecuadas. Entre otras, se encuentran las siguientes: de[niciones para efectos del contrato; el desarrollo de los pormenores de la transferencia (nombre
del exportador e importador de los datos, las categorías de interesados a que se re[eren los datos personales, la [nalidad especí[ca de la transferencia, la categoría de
datos personales objeto del iujo internacional destacando los datos sensibles cuando sea pertinente); la posibilidad de que los titulares de los datos puedan exigir el
cumplimiento de las cláusulas por parte del importador o exportador; obligaciones del exportador de los datos; obligaciones del importador; y la estipulación de la
responsabilidad solidaria en cabeza del exportador e importador de los datos por los daños que se causen a los titulares de los datos.

Por último, es importante enfatizar que el tratamiento de bases de datos es una actividad que diariamente realizan actores públicos y privados. Tanto el Estado como los
particulares desean información para tomar decisiones de diversa índole, a saber: económicas, estadísticas, política pública, seguridad nacional, entre otras. Al punto que,
los datos personales se han convertido en el principal activo de algunas compañías, siendo estos tildados como el nuevo petróleo de la internet y la nueva moneda del
mundo digital[5].

La importancia de los datos personales ha implicado la necesidad de celebrar este tipo de contratos. En el plano empresarial, los datos son requeridos para brindar atención
telefónica a los clientes a través de call centers internacionales, realizar acciones de marketing telefónico, administrar, proveer y dar soporte técnico a las bases de datos de
clientes y proveedores. En suma, el contrato en comento no sólo pretende la protección de un derecho humano, pero también, un activo mercantil.

En conclusión, el Contrato de Transferencia Internacional de Datos es celebrado por dos partes denominadas Responsables, en donde se pretenden establecer parámetros
que garanticen un nivel adecuado de protección de datos personales, cuando éstos sean transferidos a un país que no garantice un nivel adecuado de protección. Lo
anterior, pues la regulación nacional proscribe la transferencia de datos personales a Estados que no tengan un nivel de protección superior, igual, similar o equivalente al de
Colombia.

______________________________________________________

[1] Remolina Angarita, Nelson. Alvarez Zuluaga, Luisa Fernanda. (2018). Guía GECTI para la implementación del principio de responsabilidad demostrada –accountability–
en las transferencias internacionales de datos personales. Recomendaciones para los países latinoamericanos. Universidad de los Andes (Bogotá, Colombia). Facultad de
Derecho. GECTI, 1-58.

[2] Nelson Remolina Angarita. (2010). Cláusulas Contractuales y Transferencia Internacional de Datos Personales. En Obligaciones y Contratos Contemporáneos (357-419).
Bogotá, Colombia: Dike Biblioteca Jurídica.

[3] Nelson Remolina Angarita. (2010). Cláusulas Contractuales y Transferencia Internacional de Datos Personales. En Obligaciones y Contratos Contemporáneos (357-419).
Bogotá, Colombia: Dike Biblioteca Jurídica.

[4] Ibíd.

[5] Meglena Kuneva, European Consumer Comissioner. Roundtable: Keynote Speech. Bruselas, 31 de marzo, 2009.

CONTÁCTANOS REDES SOCIALES

Teléfono: Twitter
+(571) 339 49 49
Facebook
Correo:
semillerocontratos@uniandes.edu.co