El pasado 23 de febrero de 2022, el ministerio de comercio, industria y turismo emitió el decreto 255 de 2022, por medio de la cual se establecen las condiciones mínimas de las Normas Corporativas Vinculantes, relacionadas con los mecanismos de protección de datos personales para los Grupos empresariales.
1. ¿Qué son las Normas Corporativas Vinculantes?
Estas normas hacen parte de un esquema de autorregulación en materia de protección de datos personales, estas normas son de obligatorio cumplimiento y brindan herramientas que facilitan la transferencia de datos nacionales e internacionales entre las empresas que hacen parte de un mismo grupo empresarial, sin importar si los destinos de la información no cuentan con un nivel adecuado de protección.
las Normas Corporativas Vinculantes son códigos de conducta utilizados por las organizaciones, compañías y grupos empresariales multinacionales para garantizar un nivel adecuado de protección de datos personales y privacidad.[1]
[1]https://www.sic.gov.co/sites/default/files/files/Estudio_SIC_NCV.pdf
2. ¿A quién le resulta aplicable esta regulación?
Estas normas, resultan obligatorias para todas las empresas que hagan parte de un mismo grupo empresarial[2] que realicen transferencia de datos personales a otras compañías del grupo.
[2] Ley 222 de 1995 articulo 28.
3. ¿Cómo deben las empresas adoptar estas disposiciones?
Las Normas Corporativas Vinculantes que se adopten en un mismo grupo empresarial deberán garantizar el cumplimiento de las normas en materia de protección de datos personales colombiana, cumpliendo los siguientes parámetros para garantizar la seguridad de los datos:
- Tratados de manera lícita, leal y transparente en relación con el titular del dato personal.
- Los datos deben ser recolectados con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.
- Adecuados, pertinentes y limitados al mínimo necesario en relación con los fines para los que se traten.
- Exactos y se mantendrán actualizados; se habrán de adoptar todas las medidas razonables para que se supriman o rectifiquen sin demora los datos personales que sean inexactos.
- Conservados de manera que permitan identificar al titular, durante un periodo no superior al necesario.
- Tratados bajo el control del responsable del tratamiento, quien, para cada operación de tratamiento, garantizará y demostrará el cumplimiento de las disposiciones del presente decreto.
4. ¿Estas normas deben ser informadas a la autoridad?
Si, las Normas Corporativas Vinculantes solo podrán ser sometidas a la aprobación de la Superintendencia de Industria y Comercio, como autoridad de datos colombiana, una vez hayan sido aprobadas por el órgano correspondiente según los estatutos de la sociedad o los acuerdos del grupo empresarial.
Las normas que sean formalmente presentadas ante la Superintendencia de Industria y Comercio solo estarán vigentes a partir de la fecha en que la Superintendencia de Industria y Comercio, emita su certificación y es, a partir de ese momento, que pueden iniciar a aplicarse.
5. ¿Qué consecuencias conlleva el no cumplimiento de las disposiciones?
El incumplimiento a la implementación de las normas y su ajuste con las normas de protección de datos personales puede generar sanciones para todas las compañías que hacen parte del grupo empresarial hasta de 2.000 SMLMV.
Quedaremos a su disposición en caso de que surja alguna inquietud.
Cordialmente,
Área Derecho de los mercados
CONTEXTO LEGAL ABOGADOS