¿Es obligatoria la adopción de las Normas Corporativas Vinculantes?

Por: Santiago Ramírez Builes


Con la reciente expedición del Decreto 255/22, no son pocas las empresas que están consultando con sus asesores jurídicos acerca de la obligatoriedad o no de adoptar Normas Corporativas Vinculantes (‘’NCV’’) y de obtener la respectiva certificación de la Superintendencia de Industria y Comercio en buenas prácticas para la protección de datos personales; situación que invita a resolver algunos interrogantes.

¿Qué son las Normas Corporativas Vinculantes?

Se trata de un sistema de autorregulación para garantizar que los datos personales a los que tengan acceso los responsables de un mismo grupo empresarial, con ocasión a una transferencia desde Colombia hacia el exterior, sean tratados conforme a los principios y reglas consagrados en la Ley 1581/12 y sus decretos reglamentarios.

¿Cuál es el ámbito de aplicación subjetivo del Decreto 255?

La implementación de las Normas Corporativas Vinculantes está dirigida a grupos empresariales. Para tal efecto, bastará con constatar si en el registro mercantil figura inscrita la situación de grupo. Si el único evento de subordinación inscrito es una situación de control, no se estará dentro del supuesto que trae la norma.

Acreditada la existencia del grupo empresarial, se deberá corroborar si desde Colombia se transfieren datos personales hacia una sociedad del grupo ubicada en el exterior. Recuérdese que según la Ley 1581 es dato personal ‘’cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables’’.

Existiendo transferencia internacional de datos entre un grupo empresarial ¿se torna en obligatoria la adopción de las Normas Corporativas Vinculantes?

Bajo una lectura descontextualizada del Decreto 255 se podría entender que en todo grupo en el que se haga una transferencia de datos desde Colombia hacia el exterior existe la obligación de adoptar Normas Corporativas Vinculantes.

Sin embargo, otra puede ser la conclusión cuando se lee en las consideraciones del Decreto 255 que las Normas Corporativas Vinculantes ‘’constituyen una alternativa adicional, a las ya previstas en la normatividad colombiana, para facilitar la transferencia [internacional] de datos entre responsables’’.

A su vez, el artículo 2.2.2.25.7.2. del Decreto indica que las Normas Corporativas Vinculantes serán obligatorias ‘’salvo que el grupo empresarial aplique otros mecanismos de transferencia de datos establecidos en la legislación colombiana’’.

Incluso antes de la entrada en vigencia del Decreto 255, la transferencia internacional de datos ha estado permitida, siempre y cuando se cumplan los supuestos del artículo 26 de la Ley 1581, entre ellos, que la transferencia se haga a países que otorguen un nivel adecuado de protección. De ahí que no siempre la adopción de las Normas Corporativas Vinculantes sea obligatoria.

Lo será cuando, existiendo transferencia internacional de datos, esta se haga por fuera de los supuestos que trae el artículo 26 ibídem. En tales casos, las Normas Corporativas Vinculantes serán una alternativa para garantizar los derechos de los titulares.

Claro está que nada obsta para que, con miras a obtener la respectiva certificación en buenas prácticas, se decida implementar las Normas Corporativas Vinculantes de forma voluntaria, especialmente ante el importante valor que los datos personales que como activos intangibles tienen hoy para las empresas; sin mencionar la potencialidad de las Normas Corporativas Vinculantes para reducir contingencias sancionatorias.



0 comentarios

Entradas Recientes

Ver todo