Revolución empresarial en Colombia

¿En qué consisten las normas corporativas vinculantes?

Las Normas Corporativas Vinculantes fueron reglamentadas por el Ministerio de Comercio, Industria y Turismo a través del Decreto 255 de 2022, para la certificación de buenas prácticas en protección de datos personales y su transferencia a terceros países. 

El Decreto tiene como objetivo establecer las condiciones mínimas de las Normas Corporativas Vinculantes, las cuales deben disponer garantías y mecanismos en materia de protección de datos. Estas normas se traducen en políticas, principios de buen gobierno o códigos de buenas prácticas empresariales de obligatorio cumplimiento asumidas por el responsable del tratamiento de datos personales establecido en el territorio colombiano para realizar transferencias de datos personales a un responsable que se encuentre ubicado por fuera del territorio colombiano y que haga parte de un mismo grupo empresarial.

En consecuencia, al incorporar las Normas Corporativas Vinculantes, los grupos empresariales no tendrán la obligación de seguir los parámetros establecidos en el artículo 26 de la Ley 1581 de 2012, dentro de las cuales se encuentra la responsabilidad de transmitir datos personales solo a países que proporcionen niveles adecuados de protección, los cuales ya han sido determinados taxativamente por la Superintendencia de Industria y Comercio.

En cambio, los grupos empresariales harán uso únicamente de sus políticas internas para la transferencia de datos personales a otros países, simplificando de tal modo tramites internos en esta materia 

A continuación, le mencionamos algunos indicadores que se dispusieron para otorgar la certificación de buenas prácticas empresariales en protección de datos:

Mecanismos que deben establecer las Normas Corporativas Vinculantes.

• Tratamiento de datos lícita, leal y transparente en relación con el titular del dato personal.
• Datos recogidos con fines determinados, explícitos y legítimos.
• Datos adecuados, pertinentes y limitados al mínimo necesario en relación con los fines.
• Exactitud de los datos personales y actualización constante.
• Conservación de datos que permitan identificar al titular.
• Tratados bajo el control del responsable del tratamiento, quien garantizará y demostrará el cumplimiento de las disposiciones del Decreto 255 de 2022.
• Obligatorio cumplimiento para todo el grupo empresarial.

Requisitos principales que deben contener las Normas Corporativas vinculantes.

• La estructura y los datos de contacto del grupo empresarial y de cada uno de sus miembros a los cuales les aplican las Normas Corporativas Vinculantes.
• Las transferencias o serie de transferencias de datos, incluidas las categorías de datos personales, el tipo de tratamiento y sus fines, el tipo de titulares afectados y el nombre del tercer o los terceros países.
• Las medidas adoptadas para impedir las transferencias a otras entidades que no pertenecen al grupo empresarial.
• Los procedimientos para que los titulares presenten consultas o reclamos y estos sean atendidos oportunamente.
• La adopción de medidas de responsabilidad demostrada para comprobar que se han implementado medidas eficientes para cumplir las Normas Corporativas Vinculantes.
• Los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las políticas y para notificar esas modificaciones a la Superintendencia de Industria y Comercio.

Cumplimiento y sanciones.

Las empresas del grupo empresarial y cada uno de sus miembros serán solidariamente responsables del cumplimiento de las Normas Corporativas Vinculantes. En consecuencia, la Superintendencia de Industria y Comercio puede requerir, investigar y sancionar al responsable del tratamiento de datos establecido en el territorio colombiano por las infracciones que cometa cualquiera de los miembros del grupo empresarial.

Presentación de aplicaciones para la certificación.

Los grupos empresariales que quieran acogerse a las Normas Corporativas Vinculantes deberán presentarlas ante la Superintendencia de Industria y Comercio para su aprobación. Esta entidad publicará en su página web, todas las especificaciones que deberán contener las Normas Corporativas Vinculantes y en dicha publicación establecerá la fecha a partir de la cual los interesados podrán presentar las solicitudes para su revisión respectiva.

¿Cómo podemos ayudarlo?

En Forvis Mazars contamos con profesionales expertos en el cumplimiento de lo establecido en el Decreto 255 de 2022, así como en el conocimiento de los indicadores y requisitos necesarios para obtener la aprobación de las Normas Corporativas Vinculantes. En caso de que requiera apoyo en la implementación o cumplimiento de las obligaciones contenidas en este boletín, póngase en contacto con nosotros a los correos de contacto y con gusto analizaremos la mejor manera de apoyarle.