El Contrato de Transferencia Internacional de Datos tiene por objeto establecer las condiciones mínimas que garanticen un nivel adecuado de protección de datos personales, cuando éstos sean transferidos a un país que no garantice un nivel adecuado de protección[1] [2]. En otras palabras, es el contrato mediante el cual se garantizan las condiciones para que los datos personales que estén en un país y deban ser trasladados a una persona domiciliada en otro Estado, puedan transferirse. De lo anterior, se desprende que la principal obligación del contrato es la transferencia de datos con condiciones mínimas de protección.

Ahora bien, son partes del Contrato de Transferencia Internacional de Datos los Responsables. El artículo 2º de la Ley 1581 de 2012 define Responsable como la “persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos”. En este caso, tanto la persona que “exporta” la información (base de datos) como aquella que está “importando” se le denomina Responsable. A punto seguido, el artículo 3º de la Ley 1581 de 2012 define dato personal como “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”. Aquella información subsume aspectos del ser humano como lo son su familia, profesión y títulos universitarios, así como su comportamiento sexual y transacciones financieras, etc.

Ya claro qué es un Responsable y qué son los datos personales, es importante traer a colación un actor que si bien no es parte del contrato en comento, sí se ve afectado por el mismo. Los Titulares son las personas naturales cuyos datos personales son objeto de Tratamiento. Es decir, son las personas naturales a las que puede asociarse la información (datos personales) contenida en la(s) base(s) de dato(s) que está(n) siendo transferida(s) a otro Estado. En conclusión: 1) las partes del contrato no son dueñas de la información que contienen las bases de datos y, por tanto, 2) existen riesgos para los Titulares a raíz del tratamiento que los Responsables le den a sus datos, a saber, un tratamiento prohibido por el ordenamiento o incluso un uso para actividades delictivas.

Uno de los tratamientos proscritos en la legislación nacional es precisamente la transferencia de datos personales a países que no proporcionen niveles adecuados de protección de datos. El artículo 26 de la Ley 1581 del 2012 establece que “un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios”. De esta manera, surge la necesidad de acudir a cláusulas contractuales para transferir datos a Estados que no cumplan con aquellos estándares fijados por la autoridad nacional. Por ello, el contrato en comento tiene como objeto garantizar que el tratamiento por realizarse en el Estado importador tenga un grado de protección superior, igual, similar o equivalente al del Estado exportador[3].

Así las cosas, el Contrato de Transferencia Internacional de Datos se vuelve una alternativa jurídica para facilitar la circulación internacional de datos personales. En adición, impera recordar que no sólo en Colombia, sino también en legislaciones como la de la Unión Europea, se concibe la posibilidad para que mediante acuerdos contractuales se establezcan las condiciones mínimas que garanticen un nivel adecuado de protección de datos personales cuando estos sean transferidos a un país que no garantice un nivel adecuado de protección a la luz de la regulación[4].

En adición, es claro que la autonomía del contrato no está en discusión. Lo anterior, como todo contrato, requiere redactarse a la medida de la operación por realizase. No obstante, también se habla de “cláusulas tipo”, esto es, cláusulas que se incorporan en el contrato de una operación que tendrá de por medio la exportación/importación de datos.

A modo de ejemplo, se trae a colación la Decisión 2001/497/CE del 15 de junio del 2001, en donde se aprueban un primer conjunto de cláusulas contractuales tipo que ofrecen garantías adecuadas. Entre otras, se encuentran las siguientes: definiciones para efectos del contrato; el desarrollo de los pormenores de la transferencia (nombre del exportador e importador de los datos, las categorías de interesados a que se refieren los datos personales, la finalidad específica de la transferencia, la categoría de datos personales objeto del flujo internacional destacando los datos sensibles cuando sea pertinente); la posibilidad de que los titulares de los datos puedan exigir el cumplimiento de las cláusulas por parte del importador o exportador; obligaciones del exportador de los datos; obligaciones del importador; y la estipulación de la responsabilidad solidaria en cabeza del exportador e importador de los datos por los daños que se causen a los titulares de los datos.

Por último, es importante enfatizar que el tratamiento de bases de datos es una actividad que diariamente realizan actores públicos y privados. Tanto el Estado como los particulares desean información para tomar decisiones de diversa índole, a saber: económicas, estadísticas, política pública, seguridad nacional, entre otras. Al punto que, los datos personales se han convertido en el principal activo de algunas compañías, siendo estos tildados como el nuevo petróleo de la internet y la nueva moneda del mundo digital[5].

La importancia de los datos personales ha implicado la necesidad de celebrar este tipo de contratos. En el plano empresarial, los datos son requeridos para brindar atención telefónica a los clientes a través de call centers internacionales, realizar acciones de marketing telefónico, administrar, proveer y dar soporte técnico a las bases de datos de clientes y proveedores. En suma, el contrato en comento no sólo pretende la protección de un derecho humano, pero también, un activo mercantil.

En conclusión, el Contrato de Transferencia Internacional de Datos es celebrado por dos partes denominadas Responsables, en donde se pretenden establecer parámetros que garanticen un nivel adecuado de protección de datos personales, cuando éstos sean transferidos a un país que no garantice un nivel adecuado de protección. Lo anterior, pues la regulación nacional proscribe la transferencia de datos personales a Estados que no tengan un nivel de protección superior, igual, similar o equivalente al de Colombia.

Referencias

[1] Remolina Angarita, Nelson. Alvarez Zuluaga, Luisa Fernanda. (2018). Guía GECTI para la implementación del principio de responsabilidad demostrada –accountability– en las transferencias internacionales de datos personales. Recomendaciones para los países latinoamericanos. Universidad de los Andes (Bogotá, Colombia). Facultad de Derecho. GECTI, 1-58.

[2] Nelson Remolina Angarita. (2010). Cláusulas Contractuales y Transferencia Internacional de Datos Personales. En Obligaciones y Contratos Contemporáneos (357-419). Bogotá, Colombia: Dike Biblioteca Jurídica.

[3] Nelson Remolina Angarita. (2010). Cláusulas Contractuales y Transferencia Internacional de Datos Personales. En Obligaciones y Contratos Contemporáneos (357-419). Bogotá, Colombia: Dike Biblioteca Jurídica.

[4] Ibíd.

[5] Meglena Kuneva, European Consumer Comissioner. Roundtable: Keynote Speech. Bruselas, 31 de marzo, 2009.