Debatir acerca de la protección de datos personales de los colombianos en operaciones efectuadas por empresas norteamericanas
Control Político
Datos
| Número de Proposición | 12/09/2017 Fecha de Programación | 12/09/2017 Fecha Realizada |
| − Cámara | Comisión Primera de Senado Comisión | Comunicaciones, medios y tecnologías de la información Tema Principal |
Cuestionario
CUESTIONARIO
1. ¿Existe tratado o convenio vigente y jurídicamente vinculante entre Estados Unidos y Colombia para el tratamiento de datos personales?
2. ¿Existe tratado o convenio vigente y jurídicamente vinculante entre algún otro país y Colombia para el tratamiento de datos personales? En caso afirmativo ¿cuáles son los derechos en cabeza de los titulares de la información, así como los procedimientos y sanciones previstos para proteger el derecho fundamental al habeas data y a la protección de datos personales?
3. ¿Actualmente algún país extranjero cuenta con autorización para el tratamiento de datos de colombianos? En caso afirmativo informar reglamentación que rige la transferencia internacional de datos para cada caso.
4. En materia de reciprocidad, ¿Existe algún documento de las autoridades de los Estados Unidos que declaren formalmente a Colombia como un país que tenga nivel adecuado de protección de datos? ¿Existe algún documento de las autoridades de los Estados Unidos que permita que personas naturales o jurídicas ubicadas en territorio colombiano puedan receptar y tratar datos de ciudadanos americanos? De ser así ¿cuáles son las condiciones que deben reunir las personas naturales o jurídicas ubicadas en territorio colombiano para efectuar tratamiento de datos de norteamericanos? Sírvase efectuar análisis comparado entre la regulación a la cual deben someterse los Responsables del Tratamiento de Datos colombianos y las condiciones a las que estarían sujetas las personas naturales o jurídicas americanas Responsables del Tratamiento de Datos.
5. ¿Cómo se ha manejado hasta ahora la recolección, almacenamiento, uso, circulación y en general cualquier tipo de operaciones efectuadas por empresas norteamericanas y que involucran datos de connacionales?
6. Sírvase informar cuáles personas naturales o jurídicas de los Estados Unidos actualmente tratan datos de colombianos, indicando el volumen de información que recolectan, almacenan, usan o circulan.
7. Sírvase remitir copia del estudio mediante el cual se estableció la factibilidad de permitir el tratamiento de datos de ciudadanos colombianos por empresas norteamericanas ubicadas en territorio de los Estados Unidos.
8. ¿Qué autoridad o autoridades de los Estados Unidos son las responsables de proteger los datos personales privados, semiprivados, sensibles y de menores de edad (no sólo los datos para fines comerciales)?
9. El Gobierno colombiano ha verificado si frente a dicha (s) entidad (es) un colombiano puede desde Colombia adelantar un trámite de protección de datos frente a las mismas? En caso de existir dicho trámite, cuál es el costo para el ciudadano colombiano y cuando tiempo demoran en responder su petición o requerimiento?. Esos trámites, en caso que existan, puede hacerlos una persona directamente desde Colombia o es necesario contar con un representante judicial y estar ubicado en los Estados Unidos?
10. El artículo 26 de la ley 1581 de 2012 ordena que los estándares fijados por la Superintendencia de Industria y Comercio sobre nivel adecuado de protección de datos, “en ningún caso podrán ser inferiores” a los que exige la ley 1581 de 2012 a sus destinatarios. Así las cosas, de qué manera el Gobierno Nacional verificó que la regulación e instituciones de los Estados Unidos tiene un nivel igual o superior al que exige la ley 1581 de 2012? En particular, responder lo siguiente: a) En qué normas de los Estados Unidos se hace referencia a todos los derechos que exige el artículo 8 de la ley 1581 de 2012 respecto de todo tipo de dato personal –privado, sensible, semiprivado y de los menores de edad-? En los Estados Unidos se garantizan los mismos derechos que en Colombia?; b) En qué normas de los Estados Unidos se hace referencia a todos las obligaciones que deben cumplir los Responsables del Tratamiento que exige el artículo 17 de la ley 1581 de 2012 respecto de todo tipo de dato personal –privado, sensible, semiprivado y de los menores de edad-? En los Estados Unidos se exigen a los Responsables las misma obligaciones que en Colombia? ; c) En qué normas de los Estados Unidos se hace referencia a todos las obligaciones que deben cumplir los Encargados del Tratamiento que exige el artículo 17 de la ley 1581 de 2012 respecto de todo tipo de dato personal –privado, sensible, semiprivado y de los menores de edad - ? En los Estados Unidos se exigen a los Encargados las misma obligaciones que en Colombia?; d) En qué normas de los Estados Unidos se hace referencia a todos los principios que exige el artículo 4 de la ley 1581 de 2012 respecto del tratamiento de todo tipo de dato personal –privado, sensible, semiprivado y de los menores de edad - ? En los Estados Unidos rigen los mismos principios para el tratamiento de datos que exige la ley 1581 de 2012?
11. Con relación a la circular 005 del 10 de agosto de 2017 emitida por la Superintendencia de Industria y Comercio ¿Pueden las autoridades colombianas adelantar investigaciones o gestiones, de oficio o a petición de parte, con miras a exigir el respeto del derecho fundamental al habeas data y a la protección de los datos personales que sean tratados por personas ubicadas o domiciliadas fuera del territorio de la República de Colombia? En caso afirmativo ¿Cuál es el alcance de dicha intervención?
12. ¿En caso de que una persona natural o jurídica ubicada o con domicilio fuera del territorio colombiano se extralimite o afecte el derecho fundamental al habeas data y a la protección de los datos personales la Superintendencia de Industria y Comercio u otra autoridad nacional puede imponer alguna sanción? De ser así ¿de qué tipo sería la sanción?
13. Qué otro país del mundo ha declarado a los Estados Unidos como un país con nivel adecuado de protección de datos en los mismos términos que lo hizo la SIC mediante la precitada circular 5 de 2017?
14. ¿Cuáles serían las medidas concretas que dispondría el gobierno de los Estados Unidos en favor de los colombianos en materia de protección de datos?
15. ¿Sírvase informar cuántas denuncias o quejas se han interpuesto en los últimos cinco años contra empresas o personas extrajeras relacionadas con violaciones al derecho fundamental al habeas data y a la protección de los datos personales? ¿Se han iniciado investigaciones por tales hechos? En caso afirmativo ¿cuáles han sido los resultados de esas investigaciones?
16. En caso de contar con datos estadísticos de percepción ciudadana en materia de protección de datos frente a empresas de origen extranjero sírvase remitir copia de los mismos.
17. La Superintendencia de Industria y Comercio analizó los efectos que tiene la Executive Order: Enhancing Public Safety in the Interior of the United States del 25 de enero de 2017 sobre los datos de los colombianos y las colombianas que se exporten a los Estados Unidos?. En caso positivo, por favor remitirnos el estudio o prueba respectiva.
18. La Superintendencia de Industria y Comercio analizó los efectos que tiene la Circular 5 de 2017 –al incluir a los Estados Unidos como país con nivel adecuado- frente a una solicitud del Estado colombiano frente a las autoridades europeas con miras a que Europa declare a Colombia como un país que tienen nivel adecuado de protección de datos?. En caso positivo, por favor anexar el estudio respectivo o prueba pertinente.
19. Al incluir a los Estados Unidos como país con nivel adecuado de protección de datos, ello significa que las transferencias de datos –privado, sensible, semiprivado y de los menores de edad - desde Colombia a los Estados Unidos no requerirá de la autorización previa, expresa e informada que sí exige la ley 1581 para transferir datos entre Responsables del tratamiento ubicados en territorio colombiano?. En otras palabras, según la circular, no se requerirá autorización del titular para enviar sus datos a USA, pero sí cuando los mismos los envíe una empresa domiciliada en Colombia a otra organización ubicada en territorio colombiano?
20. La Superintendencia de Industria y Comercio menciona en la exposición de motivos de la Circular 5 un estudio de 2013 sobre transferencias internacionales de datos que realizó una firma de abogados y en el cual se incluyó a los Estados Unidos como un país con nivel adecuado de protección de datos. Sobre dicho estudio, por favor remitirnos una copia del mismo y responder lo siguiente: A) Qué firma de abogados realizó dicho estudio? B) Qué abogado o abogada realizó el estudio y cual era su experiencia a 2012 respecto de transferencias internacionales de datos; c) De qué manera la SIC constató o verificó la experiencia especializada de las personas que realizaron el estudio? Por favor remitirnos las hojas de vida que analizó la SIC en 2013 para verificar la experiencia especializada del autor (a) del estudio. D) La firma de abogados contratada ha tenido o tiene clientes que sean empresas ubicadas en los Estados Unidos?, E) Si ese estudio existía antes de expedirse el primer proyecto de circular en el cual la SIC no incluyó a los Estados Unidos dentro del listado de países con nivel adecuado de protección de datos, por qué razón la SIC cambió radicalmente su posición y en la segunda versión del proyecto de circular sí decidió incluir a los Estados Unidos en dicho listado?
21. Teniendo en cuenta lo que dice el parágrafo primero del numeral 3.2 de la Circular respecto del principio de responsabilidad demostrada, por favor responder lo siguiente: a) Cuáles son las medidas efectivas y apropiadas que debe adoptar el Responsable de tratamiento de datos para garantizar en los Estados Unidos el adecuado tratamiento de los datos personales que son exportados desde Colombia a dicho país? B) Esas medidas son suficientes para dar plena certeza al ciudadano colombianos que sus datos serán tratados debidamente en los Estados Unidos y que sus derechos serán plenamente respetados en dicho país?. Por favor explicar su respuesta en caso que sea afirmativa. C) Por qué la SIC no menciona en la circular las medidas concretas que se deben adoptar en virtud del principio de responsabilidad demostrada y deja el tema en manos de cada Responsables del tratamiento? D) No cree la SIC que la ausencia de dichas medidas en la circular dejará al arbitrio de cada Responsable el nivel de protección y garantía de los derechos de los titulares de los datos que son exportados desde Colombia a los Estados Unidos?
22. Teniendo en cuenta lo que dice el parágrafo segundo del numeral 3.2 de la Circular, por favor responder lo siguiente: A) Una empresa que exportará datos desde Colombia a otros país puede, por sí misma y sin intervención de la SIC, determinar si ese país cumple los estándares fijados en el numeral 3.1. de la Circular? B) Si ello es así, la SIC no está transfiriendo sus obligaciones legales a los particulares Responsable del tratamiento que desean exporta datos de colombianos?
23. Qué quiere decir el parágrafo cuarto del numeral 3.2. de la Circular? Significa que la SIC vía circular deroga la necesidad de que exista un contrato de transmisión internacional de datos previsto en el artículo 25 de decreto 1377 de 2013?. Por qué razón la SIC mediante la Circular equipara las transferencias con las transmisiones internacionales?.
24. Qué significa en concreto el parágrafo del numeral 3.3 de la Circular externa 5 del 10 de agosto de 2017?
25. La Superintendencia de Industria y Comercio contrató algún asesor externo para redactar la circular 5 de 2017?. En caso positivo, a) De qué manera la SIC constató o verificó la experiencia especializada en transferencias internacionales de la persona contratada? Por favor remitirnos la hoja de vida que analizó la SIC para contratar dicha persona. b) La persona o firma contratada ha tenido o tiene clientes que sean empresas ubicadas en los Estados Unidos?, . c) La persona o firma contratada ha tenido o tiene clientes que se dediquen a ofrecer servicios relacionados con el principio de responsabilidad demostrada o accountability?
