Sociedades obligadas a implementar las Normas Corporativas Vinculantes en el tratamiento de datos personales

Así lo reguló el Ministerio de Comercio, Industria y Turismo mediante el Decreto 255 de 2022, por medio del cual reglamentó lo correspondiente sobre Normas Corporativas Vinculantes para la certificación de buenas prácticas en protección de datos personales y su transferencia a terceros países. Estas normas deben disponer las garantías, mecanismos y autorizaciones en materia de protección de datos, para realizar transferencias de datos personales a un responsable que se encuentre ubicado por fuera del territorio colombiano y que haga parte de un mismo grupo empresarial.

Así entonces, al incorporar las Normas Corporativas Vinculantes, los grupos empresariales, no tendrán la obligación de seguir los parámetros establecidos en el artículo 26 de la Ley 1581 de 2012, dentro de los cuales se encuentra la responsabilidad de transmitir datos personales solo a países que proporcionen niveles adecuados de protección, los cuales ya han sido determinados taxativamente por la Superintendencia de Industria y Comercio. En cambio, los grupos empresariales harán uso únicamente de sus políticas internas para la transferencia de datos personales a otros países, simplificando de tal modo tramites internos en esta materia.

Requisitos generales que deben contener las Normas Corporativas vinculantes:

• Medidas adoptadas para impedir las transferencias a otras entidades que no pertenecen al grupo empresarial.
• Los procedimientos para que los titulares presenten consultas o reclamos y estos sean atendidos oportunamente.
• La adopción de medidas de responsabilidad demostrada para comprobar que se han implementado medidas eficientes para cumplir las normas corporativas vinculantes.
• Los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las políticas y para notificar esas modificaciones a la Superintendencia de Industria y Comercio. 

Sanciones:

Las empresas del grupo empresarial y cada uno de sus miembros serán solidariamente responsables del cumplimiento de las Normas Corporativas Vinculantes. En consecuencia, la Superintendencia de Industria y Comercio puede requerir, investigar y sancionar al responsable del tratamiento de datos establecido en el territorio colombiano, por las infracciones que cometa cualquiera de los miembros del grupo empresarial.

Las sanciones pueden ir desde multas que ascienden hasta 2.000 SMLMV, a la suspensión, cierre temporal o definitivo de las actividades u operaciones relacionadas con el tratamiento de datos personales por parte de la Superintendencia de Industria y Comercio.