Proyecta instrucciones sobre las cláusulas contractuales modelo para la transferencia internacional de datos personales

La SIC pretende instruir a las entidades vigiladas por la Superintendencia de Industria y Comercio sobre el uso de Cláusulas Contractuales Modelo (CCM) para la transferencia internacional de datos personales, especialmente cuando el país de destino no está en la lista de países seguros.   Aplicaría para: Entidades vigiladas por la Superintendencia de Industria y Comercio en su rol de Autoridad de Protección de Datos personales, que realicen transferencias internacionales de datos personales.   Algunas de las obligaciones:  
  1. Uso de CCM: Las CCM aprobadas por la Red Iberoamericana de Protección de Datos (RIPD) y su guía de implementación constituyen una herramienta óptima para garantizar la protección en transferencias internacionales. Su uso es facultativo, pero recomendado cuando el país de destino no tiene nivel adecuado de protección reconocido por la SIC.
  2. Disponibilidad y Consulta: Las CCM y la guía estará disponibles en la web de la SIC y en el repositorio digital de la RIPD. Deben incorporarse en los instrumentos jurídicos que formalicen la transferencia internacional, siempre que no contravengan la legislación colombiana.
  3. Principio de Responsabilidad Demostrada: La suscripción de CCM sería una medida apropiada para demostrar cumplimiento normativo.
  4. Adaptabilidad y Modificación: Las CCM podrían adaptarse y complementarse con garantías adicionales, siempre que no se alteren sus elementos esenciales ni contradigan la ley colombiana.
  5. Obligación de Cumplimiento: Los responsables y encargados que suscriban CCM se obligarían a cumplirlas.
  Obligaciones de las partes:
  • El exportador debería asegurarse de que el importador puede cumplir con las obligaciones de protección de datos.
  • El importador debería implementar mecanismos para acreditar el cumplimiento, rendir cuentas ante la autoridad de control y los titulares, y mantener medidas de seguridad adecuadas.
  • Se exigiría transparencia, exactitud, minimización de datos, limitación del plazo de conservación y confidencialidad.
  • Se establecerían garantías adicionales para datos sensibles y de menores.
  Procedimiento ante vulneraciones:
  • Notificación obligatoria a la otra parte, a la autoridad de control y a los titulares afectados en un plazo máximo de cinco (5) días.
  • Documentación y registro de los hechos y medidas correctivas.
  Comentarios hasta el 11 de noviembre
SIC, Proyecto de Circular Externa, 28-oct-2025

Descargue el proyecto

Ver documento