RESUMEN: ¿Cómo Gestionar Datos en la Nube? Este oficio de la Superintendencia de Industria y Comercio aborda la complejidad legal al manejar información confidencial de ciudadanos colombianos en proveedores de servicios en la nube con sede en EE. UU. Los titulares deben estar debidamente informados, y los responsables del tratamiento deben garantizar la seguridad y legalidad en la transmisión de datos a entornos de nube. Proporciona claridad sobre las leyes aplicables, convenios sobre datos personales y aspectos fundamentales.  

Algunas preguntas clave que puede responder en este oficio:

¿Qué implica la responsabilidad jurídica al alojar bases de datos en la nube de EE. UU.?

¿Cuáles son las responsabilidades del cliente al transmitir datos a proveedores de nube?

Ver a continuación concepto Superintendencia de Industria y Comercio sobre: ¿Cómo Gestionar Datos en la Nube?:

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Bogotá D.C, octubre de 2023

Asunto: Radicación:      23-394496

            Trámite:           113

            Evento: 0

            Actuación:        440

            Folios:  7

Reciba cordial saludo

De conformidad con lo previsto en el artículo 28 de la Ley 1755 de 2015, “por medio de la cual se regula el Derecho Fundamental de Petición y se sustituye un título del Código de Procedimiento Administrativo y de lo Contencioso Administrativo”, fundamento jurídico sobre el cual se soporta la consulta objeto de la solicitud, procede la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a emitir un pronunciamiento, en los términos que a continuación se pasan a exponer:

1.     OBJETO DE LA CONSULTA

Atendiendo a la solicitud radicada ante esta entidad en la que menciona lo siguiente:

“(…) quisiera por favor me informaran sobre la responsabilidad jurídica de tener bases de datos con información confidencial de ciudadanos colombianos en un proveedor de servicios en la nube que esta (sic) en USA QUE LEY ME APLICA? (sic) QUE CONVENIOS SOBRE DATOS PERSONALES EXISTEN Debo tener alguna

reglamentación adicional de USA los propietarios de la información deben saber que los datos tienen copias de respaldo en USA?”

Al respecto, nos permitimos realizar las siguientes precisiones:

2.     CUESTIÓN PREVIA

Reviste de gran importancia precisar en primer lugar que la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a través de su Oficina Asesora Jurídica no le asiste la facultad de dirimir situaciones de carácter particular, debido a que, una lectura en tal sentido, implicaría la flagrante vulneración del debido proceso como garantía constitucional.

Al respecto, la CORTE CONSTITUCIONAL ha establecido en la Sentencia C-542 de 2005:

“Los conceptos emitidos por las entidades en respuesta a un derecho de petición de consulta no constituyen interpretaciones autorizadas de la ley o de un acto administrativo. No pueden reemplazar un acto administrativo. Dada la naturaleza misma de los conceptos, ellos se equiparán a opiniones, a consejos, a pautas de acción, a puntos de vista, a recomendaciones que emite la administración pero que dejan al administrado en libertad para seguirlos o no”.

Ahora bien, una vez realizadas las anteriores precisiones, se suministrarán las herramientas de información y elementos conceptuales necesarios que le permitan absolver las inquietudes por usted manifestadas, como sigue:

3.     FACULTADES DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES

La Ley 1581 de 2012, en su artículo 21 señala, entre otras, las siguientes funciones para esta Superintendencia:

• Velar por el cumplimiento de la legislación en materia de protección de datospersonales;
  • Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;
  • Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos;
  • Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los responsables del tratamiento y encargados del tratamiento a las disposiciones previstas en la presente ley;
  • Solicitar a los responsables del tratamiento y encargados del tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.

4.     CONSIDERACIONES EN TORNO A LA CONSULTA PRESENTADA

Los datos personales permiten asociar a una persona natural determinada o determinable con las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación.

Los responsables del tratamiento de los datos personales deben obtener la autorización por parte del titular a más tardar al momento de su recolección informándole la finalidad específica del tratamiento de los mismos, y debe utilizar mecanismos que garanticen su consulta

posterior, con el fin de permitirle que se garantice que en todo momento y lugar pueda conocer en dónde está su información personal, para qué propósitos ha sido recolectada y qué mecanismos tiene a su disposición para su actualización y rectificación.

La transmisión de datos es aquella que involucra la comunicación de datos personales fuera o dentro del territorio nacional entre un responsable del tratamiento y un encargado, para que este último realice el tratamiento de esos datos por cuenta del primero.

Así mismo, a la transmisión de datos se le aplica las normas colombianas en materia de protección de datos, en las cuales, entre otras, se establece que los responsables y encargados deberán suscribir contratos por la prestación de servicios celebrados con terceros, con el fin de garantizar una adecuada protección de datos personales en dicha relación, y en el que se establezcan de manera clara las obligaciones especiales y los deberes legales, mencionados en los artículos 17 y 18 de la Ley 1581 de 2012, y que incluyan por lo menos: (i) los alcances del tratamiento; (ii) las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y (iii) las obligaciones del encargado para con el titular y el responsable.

Por lo anterior, la normativa colombiana es aplicable tanto al responsable como al encargado frente al trámite que debe surtirse en materia de transmisión de datos, razón por la cual no se cuenta con tratados internacionales.

A continuación, procedemos a mencionar las consideraciones de orden constitucional, legal, jurisprudencial y doctrinal, en el marco del interrogante planteado en su solicitud.

5.  SERVICIOS DE COMPUTACIÓN EN LA NUBE (CLOUD COMPUTING)

De acuerdo con el Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology – NIST), la computación en nube es: “Un modelo que permite el acceso ubicuo, adaptable, y por demanda en red a un conjunto compartido de recursos computacionales configurables (por ejemplo: redes, servidores, almacenamiento, aplicaciones y servicios) que se pueden aprovisionar y liberar rápidamente con un mínimo de esfuerzo de gestión o interacción del proveedor de servicios.”2

Así mismo, la Superintendencia de Industria y Comercio ha definido la computación en la nube en los siguientes términos:

“La computación en la nube es la tecnología que permite gestionar servicios informáticos de manera remota, de tal forma que cualquier servicio o procesamiento de datos, que antes se realizaba localmente, puede ejecutarse a través de la red de Internet, tal como el uso de aplicaciones, almacenamiento, gestión de datos, entre otros, haciendo un uso eficiente y

económico de recursos al compartir hardware y software como plataformas, licencias, capacidad de almacenamiento y servicios con muchos usuarios, con un alto nivel de disponibilidad, flexibles y por demanda; características que reducen tiempos de acceso y costos, pero se debe incrementar la seguridad en las operaciones, especialmente en la de tipo público, donde la infraestructura y demás recursos son compartidos públicamente en internet.”1

Respecto a las partes en el contrato de Cloud Computing, por un lado, está el cliente que contrata el servicio, quien, para efectos de las normas sobre protección de datos personales, es el Responsable del Tratamiento, es decir, la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros decide sobre la base datos y/o el tratamiento de datos. El cliente es el que determina el objetivo último del tratamiento, decide sobre la externalización y delega parte o todo el tratamiento a un tercero. Por otro lado, está el proveedor, que de acuerdo con el régimen general de protección de datos personales es el Encargado del Tratamiento, esto es, la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros realiza el tratamiento de datos personales por cuenta del Responsable. El proveedor es quien presta los servicios de computación en la nube. Cuando suministra los medios y la plataforma, se considera Encargado.

En consecuencia, con el objeto de garantizar el derecho constitucional que tienen los titulares a conocer, actualizar y rectificar los datos personales que se hayan recolectados sobre ellos en cualquier base de datos susceptible de tratamiento por entidades públicas o privadas, los Responsables o Clientes, al momento de contratar servicios de computación en la nube, no solo deben propender por escoger al proveedor que mejores garantías les ofrezca para proteger la información que le entregan y, amparar los derechos de los titulares; sino que además deben ser transparentes con los mismos en el entendido de suministrarles información respecto a la identificación de los administradores de los datos y el tratamiento que se realizará mediante computación en la nube.

6.  TRANSMISIÓN DE DATOS PERSONALES

El artículo 2.2.2.25.1.3., del Decreto 1074 de 2015 define la transmisión de datos personales, de la siguiente manera:

“5. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable”. (Subrayas y negrillas fuera de texto)

1 SIC, “Protección de los datos personales en los servicios de Computación en la Nube (Cloud Computing)”, Disponibleen:https://www.sic.gov.co/sites/default/files/files/Nuestra_Entidad/Publicaciones/Cartilla_Proteccion_datos.pdf Consultado el: 13 de noviembre de 2020.

De acuerdo con lo anterior, la transmisión de datos es aquella que involucra la comunicación de datos personales fuera o dentro del territorio nacional entre un responsable del tratamiento y un encargado, para que este último realice el tratamiento de esos datos por cuenta del primero.

Así pues, los encargados obran por cuenta del responsable, y es este último, quien responde frente a los titulares de los datos y las autoridades por los errores o negligencia de los encargados. Adicionalmente, los responsables del tratamiento deben desarrollar sus políticas para el tratamiento de los datos personales y velar porque los encargados del tratamiento den cabal cumplimiento a las mismas.

Así mismo, el artículo 17 de la Ley 1581 de 2012 señala las siguientes obligaciones de los responsables frente a los encargados:

“Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

(…)

• Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
• Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;
• Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
• Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley;
• Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;

(…)

l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo; (…) “

Por su parte, el encargado del tratamiento de datos personales deberá dar cumplimiento a las obligaciones consagradas en el artículo 18 de la Ley 1581 de 2012, en los siguientes términos:

“Deberes de los Encargados del Tratamiento. Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

1. Garantizar al Titular, en todo tiempo el pleno y efectivo ejercicio del derecho de hábeas data.
2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

• Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.

• Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.

• Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley.
• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.

• Registrar en la base de datos las leyenda «reclamo en trámite» en la forma en que se regula en la presente ley.
• Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

1. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
2. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

• Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.”

Por lo anterior, cuando se pretenda realizar una transmisión de datos personales, es decir, la comunicación de los mismos dentro o fuera del territorio de la República de Colombia, entre el responsable y encargado del tratamiento, se recomienda que suscriban contratos por la prestación de servicios celebrados con terceros con el fin de garantizar una adecuada protección de datos personales en dicha relación, y en el que se establezcan de manera clara las obligaciones especiales y los deberes legales, mencionados en los artículos 17 y 18 de la Ley 1581 de 2012, y que incluyan por lo menos: (i) los alcances del tratamiento; (ii) las

actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y (iii) las obligaciones del encargado para con el titular y el responsable. Los términos de los contratos de transmisión reglamentados garantizan el cumplimiento de la ley colombiana.

Así mismo, es fundamental que, entre otras, se pacten cláusulas contractuales en las que los encargados se obliguen a:

• Cumplir las políticas de tratamiento de información del responsable del tratamiento.
• Garantizar seguridad y confidencialidad de los datos personales.
• No usar los datos personales para fines diferentes a los autorizados por el titular
• No apropiarse de los datos personales (copias de planillas, formularios, grabaciones, archivos electrónicos) luego de culminado el contrato de prestación de servicios.
• Devolver al responsable todos los datos que trató durante la prestación de sus servicios.

En ese orden de ideas, esperamos haber atendido satisfactoriamente su consulta, reiterándole que la misma se expone bajo los parámetros del artículo 28 de la Ley 1437 de 2011, esto es, bajo el entendido que la misma no compromete la responsabilidad de esta Superintendencia ni resulta de obligatorio cumplimiento ni ejecución.

En la Oficina Asesora Jurídica de la Superintendencia de Industria y Comercio estamos comprometidos con nuestros usuarios para hacer de la atención una experiencia de calidad. Por tal razón le invitamos a evaluar nuestra gestión a través del siguiente link http://www.encuestar.com.co/index.php/2100?lang=esQ

Finalmente le informamos que algunos conceptos de interés general emitidos por la Oficina Jurídica, los puede consultar en nuestra página web http://www.sic.gov.co/drupal/Doctrina-1

Atentamente,

MARIA ISABEL

SALAZAR ROJAS

MARIA ISABEL SALAZAR ROJAS

JEFE OFICINA ASESORA JURÍDICA

Elaboró: Jhon Canizalez

Revisó: Carolina García / Ximena Pantoja Aprobó: María Isabel Salazar Rojas

Puedes encontrar más información sobre: ¿Cómo Gestionar Datos en la Nube?, en https://www.sic.gov.co/

Además del tema relacionado con: ¿Cómo Gestionar Datos en la Nube?, quizás te interese leer: Exclusión del impuesto sobre las ventas. Servicio de testigo silencioso. Oficio Dian 802