Servicios de outsourcing | Contable | Tributario | Legal | Auditoria

Normas Corporativas Vinculantes – Concepto Superintendencia de Industria y Comercio N° 23-68971

24 de septiembre de 2023

Categorias

SIC | Sin categorizar

Etiquetas

Concepto

RESUMEN: Normas Corporativas Vinculantes. El Concepto proporciona información fundamental sobre las Normas Corporativas Vinculantes en relación con la protección de datos personales. Estas normas son esenciales para grupos empresariales que deseen realizar transferencias de datos fuera de Colombia, y el documento detalla los requisitos y procedimientos para su aprobación

Ver a continuación concepto Superintendencia de Industria y Comercio sobre: Normas Corporativas Vinculantes:

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

NORMAS CORPORATIVAS VINCULANTES

Bogotá D.C.,    abril de 2023

Reciba cordial saludo.

De conformidad con lo previsto en el artículo 28 de la Ley 1437 de 2011, sustituido por el artículo 1 de la Ley 1755 de 2015, “por medio de la cual se regula el Derecho Fundamental de Petición y se sustituye un título del Código de Procedimiento Administrativo y de lo Contencioso Administrativo”, fundamento jurídico sobre el cual se funda la consulta objeto de la solicitud, procede la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a emitir un pronunciamiento, en los términos que a continuación se pasan a exponer:

1.    OBJETO DE LA CONSULTA

Atendiendo a la solicitud por usted radicada ante esta Entidad en la cual señala lo siguiente:

Me he comunicado con la SIC por diversos medios y en diferentes ocasiones al respecto del tema de las normas corporativas vinculantes, pero aún tengo ciertas dudad que no han sido resueltas. Quisiera saber si existe un plazo para que las empresas realicen la presentación del manual que incluya las normas corporativas vinculantes y de ser así, de cuánto tiempo es el plazo. En caso de que la respuesta a la duda anterior sea positiva, qué consecuencias tiene el retraso en la presentación del manual? Cómo se debe llevar a cabo esta presentación, a través de qué medio se debe hacer el envío del manual, en qué consiste este procedimiento de radicación? Es posible suplir la aplicación de estas normas con contratos de transferencia de datos celebrados con las otras compañías?”.

Nos permitimos realizar las siguientes precisiones:

2.    CUESTIÓN PREVIA

Reviste de gran importancia precisar en primer lugar que la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO a través de su Oficina Asesora Jurídica no le asiste la facultad de dirimir situaciones de carácter particular, debido a que, una lectura en tal sentido, implicaría la flagrante vulneración del debido proceso como garantía constitucional.

Al respecto, la CORTE CONSTITUCIONAL ha establecido en la Sentencia C-542 de 2005:

Los conceptos emitidos por las entidades en respuesta a un derecho de petición de consulta no constituyen interpretaciones autorizadas de la ley o de un acto administrativo. No pueden reemplazar un acto administrativo. Dada la naturaleza misma de los conceptos, ellos se equiparan a opiniones, a consejos, a pautas de acción, a puntos de vista, a recomendaciones que emite la administración pero que dejan al administrado en libertad para seguirlos o no.

Ahora bien, una vez realizadas las anteriores precisiones, se suministrarán las herramientas de información y elementos conceptuales necesarios que le permitan absolver las inquietudes por usted manifestadas, como sigue:

3.    FACULTADES DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES

La Ley 1581 de 2012, en su artículo 21 señala las siguientes funciones para esta Superintendencia:

a) Velar por el cumplimiento de la legislación en materia de protección de datos personales;

  • Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;
    • Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva.
    • Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos.
    • Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley.

2

  • Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.
    • Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.
    • Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento.
    • Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional.
    • Requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras, de la recolección internacional de datos personales.
    • Las demás que le sean asignadas por ley.

3.1.   NORMAS CORPORATIVAS VINCULANTES

El artículo 2.2.2.25.1.3., del Decreto 1074 de 2015 define transferencia de datos personales de la siguiente manera:

“4. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país”.

(Negrillas y Subrayas fuera de texto original)

De acuerdo con lo anterior, la transferencia de datos personales se refiere al envío de la información por parte de un responsable o encargado del tratamiento ubicado en Colombia a otro responsable del tratamiento que se encuentra fuera o dentro del país.

La Ley Estatutaria 1581 de 2012, estableció una serie de prohibiciones para la transferencia de datos personales cuando un determinado país no proporciona un nivel adecuado de protección. No obstante, existen algunas excepciones cuando subsisten situaciones como:

  • Aquellas establecidas en el artículo 26 de la Ley Estatutaria 1581 de 2012.
    • La existencia de una Declaratoria de Conformidad por parte de la Superintendencia de Industria y Comercio.
    • Las Normas Corporativas Vinculantes.

Ahora bien, el artículo 2.2.2.25.7. 2., del Decreto 255 de 2022, señala el ámbito de aplicación de las Normas Corporativas Vinculantes así:

Ámbito de aplicación. Las Normas Corporativas Vinculantes son de obligatorio cumplimiento para el grupo empresarial, en los términos definidos por el artículo 28 de la Ley 222 de 1995, que realicen transferencia o conjunto de transferencia de datos personales a un responsable de dicho grupo, fuera del territorio colombiano, 3

salvo que el grupo empresarial aplique otros mecanismos de transferencia de datos establecidos en la legislación colombiana.

(Negrillas y subrayas fuera de texto original)

En consecuencia, las Normas Coporativas Vinculantes y sus requisitos, solo aplican para las transferencias de datos personales, es decir, la remisión o envío de información a un responsable que se encuentre fuera del territorio colombiano y que haga parte del grupo empresarial 1 . Lo anterior, no es impedimento para que el grupo empresarial cuente con principios de buen gobierno o códigos de buenas prácticas en el tratamiento de datos personales cuando se requiera la recepción de la información en territorio colombiano, con el fin de garantizar el derecho de hábeas data del titular.

Las Normas Corporativas Vinculantes son una alternativa adicional, a las ya previstas en la Ley 1581 de 2012, sus decretos reglamentarios y las instrucciones emitidas por esta Superintendencia; con el fin de facilitar la transferencia de datos entre responsables, que sean parte de un mismo grupo empresarial y que se encuentran ubicados en diferentes países. Las Normas Corporativas Vinculantes se materializan a través de sistemas de autoregulación que confieren derechos y garantías a los titulares de los datos personales, y deberes y obligaciones al grupo empresarial, en calidad de responsables del tratamiento para dar cumplimiento a los principios y disposiciones previstos en la ley de protección de datos y a la aprobación por parte de esta Superintendencia.

El artículo 2.2.2.25.7.3., define las Normas Corporativas Vinculantes en los siguientes términos:

Son Normas Corporativas Vinculantes las políticas, principios de buen gobierno o códigos de buenas prácticas empresariales de obligatorio cumplimiento asumidas por el responsable del tratamiento de datos, establecido en el territorio colombiano, para realizar transferencias o un conjunto de transferencias de datos personales a un responsable que se encuentre ubicado por fuera del territorio colombiano y que haga parte de un mismo grupo empresarial”.

En consecuencia, las Normas Corporativas Vinculantes son las políticas, principios de buen gobierno o códigos de buenas prácticas empresariales que son obligatorias para el grupo empresarial que pretende implementarlas y son asumidas por el responsable del tratamiento de datos establecido en Colombia quien hace parte del mismo grupo empresarial.

1 El artículo 28 de la Ley 222 de 1995 define Grupo empresarial así: “Grupo empresarial. Habrá grupo empresarial cuando además del vínculo de subordinación, exista entre las entidades unidad de propósito y dirección. Se entenderá que existe unidad de propósito y dirección cuando la existencia y actividades de todas las entidades persigan la consecución de un objetivo determinado por la matriz o controlante en virtud de la dirección que ejerce sobre el conjunto, sin perjuicio del desarrollo individual del objeto social o actividad de cada una de ellas. (…)”

4

Es importante mencionar, que las empresas del grupo empresarial y cada uno de sus miembros serán solidariamente responsables del cumplimiento de las Normas Corporativas Vinculantes y esta Superintendencia en el ejercicio de sus funciones, puede requerir, investigar y sancionar al responsable del tratamiento de datos establecido en el territorio colombiano, por las infracciones que cometa cualquiera de los miembros del grupo empresarial.

Ahora bien, el artículo 2.2.2.25.7.7., del Decreto 255 de 2022 señala que la Superintendencia de Industria y Comercio aprueba las Normas Corporativas Vinculantes una vez se haga la presentación formal por parte del grupo empresarial con los requisitos legales y solo estarán vigentes a partir de la fecha en que esta Entidad, emita su certificación y es, a partir de ese momento, que pueden aplicarse. Dicha aprobación deberá informar tal situación en su página web.

Por su parte, el artículo 2.2.2.25.7.6., del Decreto 255 de 2022, dispone que la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO establecerá las especificaciones aplicables a las Normas Corporativas Vinculantes conforme lo establecido en el Decreto 255 de 2022, para garantizar la efectiva protección de los titulares. De igual manera, la norma precisa que esta Entidad publicará en su página web, todas las especificaciones que deberán tener las Normas Corporativas Vinculantes, indicando también la fecha a partir de la cual los interesados podrán presentar las solicitudes para su revisión respectiva.

Así mismo, el artículo 2.2.2.25.7.7 del mencionado decreto, se menciona que la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO aprobará las Normas Corporativas Vinculantes siempre y cuando se cumplan los siguientes requisitos:

1. Sean jurídicamente vinculantes y se apliquen a todos los miembros que hacen parte del mismo grupo empresarial responsables de la transferencia y tratamiento de protección de los datos personales de los titulares.

  • Confieran expresamente a los titulares de los datos la facultad de ejercer los derechos previstos en la Ley 1581 de 2012.
  • Cumplan los requisitos establecidos en el presente decreto.”

Las Normas Corporativas Vinculantes solo podrán ser sometidas a la aprobación de la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO como autoridad de datos, una vez las mismas hayan sido aprobadas por el órgano correspondiente según los estatutos de la sociedad o los acuerdos del grupo empresarial. Las normas que sean formalmente presentadas ante esta Superintendencia solo estarán vigentes a partir de la fecha en que sea emitida la certificación. El grupo empresarial que cuente con aprobación de las Normas Corporativas Vinculantes, deberá informarlo en su página web.  Si las normas no son

5

aprobadas, los ajustes requeridos por esta Autoridad deberán ser aprobados por el órgano social o contractual correspondiente, antes de ser nuevamente sometidas a aprobación.

Dando cumplimiento al artículo 2.2.2.25.7.6., del Decreto 255 de 2022, que dispone que la SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO establecerá las especificaciones aplicables a las Normas Corporativas Vinculantes conforme lo establecido en el Decreto 255 de 2022, para garantizar la efectiva protección de los titulares, esta Entidad publicó en la página web www.sic.gov.co, en la sección “Protección de Datos Personales” y a través del icono “Normas Corporativas Vinculantes”2, las instrucciones sobre lo que deben contener las Normas Corporativas Vinculantes y la fecha desde la cual pueden presentarse las solicitudes, esto es, a partir del 16 de agosto de 2022 a través de [email protected] o en las oficinas físicas de correspondencia y radicación de la Entidad, ubicada en la Av. Carrera 7 No. 31a – 36 pisos 3 – Bogotá cuyo horario de atención presencial es de lunes a viernes de 8:00 a.m. a 4:30 p.m.

En ese orden de ideas, esperamos haber atendido satisfactoriamente su consulta, reiterándole que la misma se expone bajo los parámetros del artículo 28 de la Ley 1437 de 2011, esto es, bajo el entendido que la misma no compromete la responsabilidad de esta Superintendencia ni resulta de obligatorio cumplimiento ni ejecución.

En la Oficina Asesora Jurídica de la Superintendencia de Industria y Comercio estamos comprometidos con nuestros usuarios para hacer de la atención una experiencia de calidad. Por tal razón le invitamos a evaluar nuestra gestión a través del siguiente link http://www.encuestar.com.co/index.php/2100?lang=esQ

Finalmente le informamos que algunos conceptos de interés general emitidos por la Oficina Jurídica, los puede consultar en nuestra página web http://www.sic.gov.co/Doctrina-1

Atentamente,

REINALDO SÁNCHEZ GUTIERREZ

JEFE OFICINA ASESORA JURÍDICA

Elaboró: Carolina García Revisó: Reinaldo Sánchez Aprobó: Reinaldo Sánchez

2                 https://sedeelectronica.sic.gov.co/delegatura/la-delegatura-de-proteccion-de-datos-personales/normas- corporativas-vinculante

Puedes encontrar más información sobre: Normas Corporativas Vinculantes, en Superintendencia de Industria y Comercio

Además del tema relacionado con: Normas Corporativas Vinculantes, quizás te interese leer: Ley 1581 de 2012, Protección de datos personales

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)
Iniciar chat
¿Necesitas ayuda?
Hola,
¿En qué podemos ayudarte?