«La compraventa requiere contar con autorización previa, expresa e informada de los titulares de los datos»
La compraventa de bases de datos personales no está prohibida por el régimen colombiano de protección de datos personales; sin embargo, estas operaciones deben cumplir ciertos requisitos para salvaguardar el derecho fundamental de habeas data de los titulares.
Las compraventas de bases de datos personales son transferencias de datos personales. Esto significa que son operaciones de envío de información personal por parte de un responsable (o su encargado) a un receptor que, a su vez, será un nuevo responsable del tratamiento de los datos, a cambio de un precio. Es importante aclarar que en ningún caso se transfiere el dominio de los datos personales, ya que el dominio recae en cabeza de los titulares y no se transfiere.
Como una operación de tratamiento de datos, la compraventa requiere contar con autorización previa, expresa e informada de los titulares de los datos para dicha operación, que se puede obtener del titular desde la autorización inicial para el tratamiento. Cuando la compraventa involucre exclusivamente datos de naturaleza pública no se requiere autorización (se aclara que el hecho de que los datos estén disponibles en una fuente pública no implica que los datos allí contenidos tengan esta naturaleza).
En este sentido, las finalidades expresamente autorizadas son el límite del tratamiento de los datos que podrá realizar el comprador, por lo que, para realizar un tratamiento adicional deberá obtener una nueva autorización. Por lo tanto, es recomendable que el acuerdo de compraventa deje claro que el vendedor cuenta con la prueba de las autorizaciones y se mencionen expresamente las finalidades autorizadas por los titulares.
Debe tenerse en cuenta que las transferencias de datos pueden ser nacionales o internacionales según el receptor esté ubicado o no en Colombia. No existe regulación expresa para las transferencias nacionales de datos personales; sin embargo, dado que el receptor realizará tratamiento de datos en territorio colombiano, le será aplicable de forma directa la normativa colombiana de protección de datos personales. Así, el comprador tendrá que cumplir las obligaciones de los responsables del tratamiento previstas en la Ley 1581 de 2012, el Decreto 1074 de 2015 y el Título V de la Circular Única de la Superintendencia de Industria y Comercio.
También se deben considerar las restricciones que se derivan para el desarrollo de actividades publicitarias y de gestiones de cobranza en virtud de la Ley 2300 de 2023. Por ejemplo, el comprador puede tener una limitación para el envío de mensajes publicitarios que no estén estrictamente relacionados con el bien o servicio adquirido inicialmente por el consumidor (si la transacción inicial es el origen de los datos).
Por su parte, las transferencias internacionales están prohibidas salvo que: (i) el comprador esté ubicado en un país con un nivel adecuado de protección de datos; (ii) se configure alguna de las excepciones del artículo 26 de la Ley 1581 de 2012; o, (iii) se obtenga una declaración de conformidad previa. Esto teniendo en cuenta las reglas previstas en la Circular Única.
Para las compraventas internacionales es importante que el vendedor aplique el principio de responsabilidad demostrada para garantizar un adecuado tratamiento de los datos personales por parte del comprador. Para lo cual se sugiere incluir en el acuerdo obligaciones expresas en cabeza del comprador de dar tratamiento a los datos conforme a los principios que los tutelan (artículo 4 de la Ley 1581 de 2012) y de salvaguardar la seguridad de los datos personales que sean transferidos.
Por: Fery Daniel Cure para Asuntos Legales (La República)