La Superintendencia de Industria y Comercio emitió concepto donde precisa la naturaleza jurídica y los elementos esenciales del contrato de transmisión de datos personales. Al respecto hizo especial énfasis en que la transmisión es el tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable. Es decir, la transmisión de datos es aquella que involucra la comunicación de datos personales fuera o dentro del territorio nacional entre un Responsable del Tratamiento y un Encargado, para que este último realice el tratamiento de esos datos por cuenta del primero.
Así mismo, cuando se pretenda la transmisión de datos personales dentro del territorio colombiano, el contrato de transmisión que suscribe el Responsable con los Encargados para el tratamiento de datos personales bajo su control y responsabilidad, debe señalar: (i) Los alcances del tratamiento de datos personales, es decir, respecto a la recolección, el uso, el almacenamiento, la circulación y/o supresión de los mismos, (ii) Las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y, (iii) Las obligaciones del Encargado para con el Titular y el Responsable.
Por otra parte, la Entidad recalcó que mediante dicho contrato el Encargado se comprometerá a dar aplicación a las obligaciones del Responsable bajo la política de tratamiento de la información fijada por este y a realizar el tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables.
Además de las obligaciones que impongan las normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado: i) Dar tratamiento, a nombre del Responsable, a los datos personales conforme a los principios que los tutelan, ii) Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales y, iii) Guardar confidencialidad respecto del tratamiento de los datos personales.
En consecuencia, las transmisiones internacionales de datos personales que se efectúen entre un responsable y un encargado para permitir que el encargado realice el tratamiento por cuenta del responsable, no requerirán ser informadas al Titular ni contar con su consentimiento cuando exista un contrato en los términos anteriores.
Vale recordar que en el evento de realizar una transferencia internacional de datos personales a países que tienen un nivel adecuado de protección de datos personales, en todo caso, el responsable en virtud del principio de responsabilidad demostrada, debe ser capaz de demostrar que ha implementado medidas apropiadas y efectivas para garantizar el adecuado tratamiento de los datos personales que transfieren a otro país y para otorgar seguridad a los registros al momento de efectuar dicha transferencia.
Por último, la Superintendencia argumentó que la transferencia internacional de datos personales procede siempre y cuando el país receptor, ofrezca un nivel adecuado de protección de datos cuando cumpla con los estándares fijados, los cuales no podrán ser inferiores a los que la Ley 1581 de 2012 exige a sus destinatarios.