La Superintendencia de Industria y Comercio (SIC) expidió la Circular Externa 002 de 2025, mediante la cual impartió instrucciones a sus entidades vigiladas sobre el tratamiento de datos personales en los procesos de transferencia de tecnología.
Esta circular aplica a dos tipos de operaciones: (i) aquellas en las que se transfieran conjuntos de datos que incluyan información personal y (ii) aquellas en las que la tecnología transmitida permita o tenga como objeto el tratamiento de datos personales. Su propósito es garantizar que dichas transferencias cumplan con los principios de la Ley 1581 de 2012* y las disposiciones del Decreto 1074 de 2015**, especialmente en lo relativo al principio de responsabilidad demostrada, el cual obliga a los responsables del tratamiento a demostrar el cumplimiento efectivo de la normativa vigente.
Entre las principales directrices, la SIC ordena realizar una verificación preliminar de cumplimiento que incluya la identificación de funcionalidades que impliquen tratamiento de datos, la evaluación del cumplimiento normativo de la tecnología transferida y, cuando corresponda, el acatamiento de las reglas aplicables a las transferencias internacionales de datos personales.
Asimismo, la circular exige implementar mecanismos de responsabilidad demostrada, tales como la identificación y gestión de riesgos en todas las etapas del tratamiento, la documentación de decisiones y medidas de mitigación, y la adopción de acciones correctivas antes de la implementación de la tecnología transferida.
Otro eje clave es la protección de datos personales desde el diseño y por defecto, lo cual implica incorporar medidas de seguridad y confidencialidad en la arquitectura tecnológica, limitar la recolección de información a lo estrictamente necesario y fomentar la anonimización*** de los datos.
Finalmente, la SIC recomienda incluir en los contratos de transferencia de tecnología cláusulas específicas sobre responsabilidades de las partes, medidas técnicas y administrativas de seguridad, garantías en caso de transmisiones internacionales y mecanismos de supervisión y auditoría que aseguren la protección adecuada de los datos personales.
Redacción INCP
Add a Comment
Debes estar conectado para publicar un comentario