Hoy en día es muy común intercambiar Datos Personales entre organizaciones que están localizadas en diferentes países, ello producto de unos altos niveles de globalización; sin embargo, a veces la transferencia de datos presenta algunas dificultades debido a que en ocasiones el país destino no ofrece suficientes garantías al Titular.
De hecho, la Ley 1581 de 2012, en su artículo 26, estableció la prohibición en Colombia de realizar transferencias de datos personales hacia países que no contaran con una legislación robusta que le garantizase al Titular el ejercicio de sus derechos fundamentales; sin embargo, ¿Qué sucede con aquellos casos en que el Titular de los datos tiene alguna necesidad médica, bancaria, de negocios, de educación, oportunidad laboral, etc., y el país que le ofrece la solución no se encuentra dentro de la lista de los autorizados? En estos casos la misma Ley estableció la excepción, la cual no es otra más que permitir la transferencia internacional a países no avalados con base en la decisión del Titular y a cuenta de su propio riesgo.
Ahora bien, se podría pensar que el Titular queda en una encrucijada que se debate entre sus necesidades y sus derechos; no obstante, se debe considerar que el hecho que un país no cuente con una legislación en Protección de Datos Personales no implica que el Titular quede entonces totalmente desamparado. Siempre existirá la posibilidad de hacer un contrato; obviamente, siguiendo un conjunto de parámetros que correspondan con la operación que se va a realizar y que deben estar totalmente alineados con las Leyes internacionales.
En este sentido y a nivel de Protección de Datos Personales, se ha comenzado a utilizar el término “cláusulas tipo”; es decir, cláusulas estándar que necesariamente se deben incorporar a cualquier contrato que involucre operaciones de exportación e importación de datos.
En general un contrato para la transmisión de datos personales tiene que contener los nombres del importador y exportador, las características y tipología de la información tratada, la finalidad específica de la transferencia, y la posibilidad del Titular para exigir el cumplimiento del objeto del mismo. Sin embargo, es extremadamente necesario incorporar las siguientes cláusulas:
- Finalidad y ámbito de aplicación de la transferencia.
- Efecto e invariabilidad de las cláusulas.
- Terceros que son beneficiarios de la transferencia.
- Quién o quiénes pueden Interpretar el contrato.
- Quienes más tienen Jerarquía en la interpretación del contrato.
- Descripción de los procesos realizados durante la(s) transferencia(s)
- Cláusula de incorporación; es decir, las partes incorporan de forma voluntaria al contrato el contenido o una regulación internacional a la que hacen referencia.
- Garantías en materia de protección de datos; es decir, las condiciones específicas para cada tipo de transferencia.
- Recursos a sub-encargados; es decir, la forma de interponer recursos a terceros que son encargados de procesar los datos a cargo del responsable.
- Derechos del interesado a acceso, rectificación, oposición, supresión, limitación del tratamiento y portabilidad.
- Reparación al Titular en caso de incumplimiento.
- Responsabilidad civil que recae sobre el responsable y/o encargado.
- Métodos de supervisión del cumplimiento.
- Derecho y prácticas del país que afectan al cumplimiento de las cláusulas.
- Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas.
- Incumplimiento de las cláusulas y resolución del contrato.
- Derecho aplicable propio del país en donde se hace el tratamiento.
- Elección del foro y la jurisdicción que resolverá aspectos legales.
Todas estas cláusulas establecen mayores exigencias al proceso de tratamiento, le dan claridad a los derechos del Titular y blindan el proceso contra injerencias gubernamentales en el país en donde se usan los datos personales.
