CIRCULAR EXTERNA 2 DE 2025
(octubre 7)
<Fuente: Archivo interno entidad emisora>
SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO
| Para: | Entidades vigiladas por la Superintendencia de Industria y Comercio en su rol de Autoridad de Protección de Datos personales. |
| Asunto: | Instrucciones aplicables a los procesos de transferencia de tecnología en los que se transfieran datos personales o en los que se transfieran tecnologías que permitan o tengan como objeto el tratamiento de datos personales. |
Consideraciones
La transferencia de tecnología es el proceso de compartir, intercambiar o transferir conocimientos, resultados de investigación científica, creaciones o tecnologías de un proveedor (centro de investigación, universidad, empresa o entidad pública) a un receptor que adquiere la tecnología a cambio de una contraprestación[1].
Los procesos de trasferencia de tecnología permiten que los desarrollos científicos y tecnológicos sean accesibles a una gran variedad de usuarios, tanto del sector público como del sector privado. Los receptores de la transferencia de tecnología pueden usar, desarrollar, complementar y explotar los conocimientos y tecnologías recibidos en nuevos procesos, productos o aplicaciones.
La Política Nacional de Ciencia, Tecnología e Innovación 2022-2031 (Documento CONPES 4069) reconoció la importancia de los procesos de transferencia de tecnología en tanto estos mejoran las capacidades y condiciones para innovar en beneficio de la sociedad de manera cooperativa. Por eso, uno de los ejes estratégicos de dicha política es "aumentar la adopción y la Transferencia de Tecnología"[2].
En ciertos y muy particulares casos, la transferencia de tecnología tiene relación con el tratamiento de datos personales. Esto ocurre sobre todo en dos escenarios. Primero, cuando lo que se transfiere no es solo la herramienta tecnológica (software, sistema o modelo), sino que también se transfiere un conjunto de datos o dataset que incluye datos personales. Segundo, cuando la tecnología objeto de transferencia permite o tiene por objeto el tratamiento de datos personales. En ambas hipótesis es importante que durante el proceso de transferencia de tecnología se garantice el cumplimiento de la legislación de protección de datos personales.
Estas instrucciones son aplicables en concreto a: (i) los procesos de transferencia de tecnología en los que, como parte de los insumos a ser transferidos, se transfieran conjuntos de datos que incluyan datos personales; y (ii) los procesos de transferencia de tecnologías en los que la tecnología a transferir permita o tenga por objeto el tratamiento de datos personales.
La intersección entre la transferencia de tecnología y el tratamiento de datos personales exige que los actores que participan en estos procesos adopten un enfoque preventivo que asegure el cumplimiento de la Ley 1581 de 2012 y la protección del derecho fundamental a la protección de datos personales.
Asegurar que en los procesos de transferencia de tecnología se tenga presente el respeto y garantía de los derechos fundamentales, se promueva el uso responsable de los datos personales y se potencie la innovación sostenible, compromete de manera conjunta al sector público, al sector privado, a la academia y a los demás actores del ecosistema de innovación.
Las actividades de tratamiento de datos personales están reguladas por la Ley Estatutaria 1581 de 2012, reglamentada por el Decreto 1074 de 2015. Esta normatividad incluye un destacado conjunto de principios, reconoce los derechos de los titulares de los datos personales, establece deberes a los responsables y encargados del tratamiento y sienta las bases de un sistema administrativo de garantías del derecho fundamental a la protección de datos personales.
El cumplimiento de los deberes en materia de protección de datos personales en los procesos de transferencia de tecnología concreta el principio constitucional de primacía de los derechos fundamentales, promueve un ambiente propicio para la regularidad de dichas transferencias y permite mejores condiciones para tomar provecho de los avances de la ciencia y de la técnica y "de los beneficios del progreso científico", como uno de los derechos humanos reconocidos en la Declaración Universal de Derechos Humanos de 1948.
Entre el elenco de los principios del tratamiento de datos personales destaca el principio de responsabilidad demostrada. Este principio ha sido reconocido en el Decreto 1074 de 2015, en la Ley 2157 de 2021 que modificó la Ley Estatutaria 1266 de 2008, y en la jurisprudencia de la Corte Constitucional (en especial en las sentencias C-032 de 2021 y T-360 de 2022). Según el principio de responsabilidad demostrada "los Responsables del Tratamiento de Datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este decreto" (art. 2.2.2.25.6.1, Decreto 1074 de 2015)
La adopción de medidas de protección de datos personales desde el diseño y por defecto es una de las múltiples formas de cumplir con el contenido obligacional del principio de responsabilidad demostrada. En efecto, la implementación de medidas orientadas a un debido tratamiento de los datos personales debe ser un componente esencial del proceso de transferencia en sí mismo y de las tecnologías que serán objeto de transferencia.
Por otro lado, el artículo 26 de la Ley 1581 de 2012 establece la prohibición de transferir datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos personales; entendiéndose por nivel adecuado aquel que cumpla con los estándares fijados por la Superintendencia de Industria y Comercio, los cuales en ningún caso podrán ser inferiores a los exigidos por la ley a sus destinatarios. En desarrollo de lo anterior, los artículos 2.2.2.25.5.1 y 2.2.2.25.5.2 del Decreto 1074 de 2015 reglamentan las transferencias y transmisiones internacionales de datos personales, estableciendo las condiciones bajo las cuales se deben realizar dichas operaciones, así como las obligaciones de las partes intervinientes.
En ese contexto, el Título V de la Circular Única de la Superintendencia de Industria y Comercio establece que quienes realicen transferencias o transmisiones internacionales de datos personales deben validar que el destinatario esté en un país con nivel adecuado de protección o, en su defecto, verificar que la operación esté amparada por las excepciones del artículo 26 de la Ley 1581 de 2012. Asimismo, esta norma ofrece, instrucciones para la formalización de transferencias y transmisiones internacionales de datos personales.
Finalmente, la Superintendencia de Industria y Comercio recuerda que entre sus funciones están las de "velar por el cumplimiento de la legislación en materia de protección de Datos personales" e "impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley". Esto, según los literales a) y e) del artículo 21, de la Ley Estatutaria 1581 de 2012.
Sobre las funciones de esta Superintendencia, fijadas en el citado artículo 21 de la Ley 1581 de 2012, la Corte Constitucional, mediante Sentencia C-748 de 2011, consideró:
"Esta disposición enlista las funciones que ejercerá la nueva Delegatura de protección de Datos personales. Al estudiar las funciones a ella asignadas, encuentra esta Sala que todas corresponden y despliegan los estándares internacionales establecidos sobre la autoridad de vigilancia. En efecto, desarrollan las funciones de vigilancia del cumplimiento de la normativa, de investigación y sanción por su incumplimiento, de vigilancia de la transferencia internacional de datos y de promoción de la protección de datos.
Además, debe afirmarse que, tal como lo estableció la Corte en la Sentencia C-1011 de 2008, la naturaleza de las facultades atribuidas a la Superintendencia -a través de la Delegatura–, "caen dentro del ámbito de las funciones de policía administrativa que corresponden a esos órganos técnicos adscritos al ejecutivo (Art. 115 C.P.), en tanto expresión de la potestad de dirección e intervención del Estado en la economía (Art.334), y de intervención reforzada del Gobierno en las actividades financiera, bursátiles y aseguradoras (Art. 335 C.P.)" (destacado fuera de texto).
La alusión pertinente sobre la función de "impartir instrucciones" de la autoridad de vigilancia y control, contenida en la Sentencia C-1011 de 2008 de la Corte Constitucional, es la siguiente:
"Para cumplir con esta obligación de protección y garantía de los derechos del sujeto concernido, el legislador estatutario estableció en el artículo 17 que las Superintendencias de Industria y Comercio y Financiera ejercerán la función de vigilancia (...). Estas funciones de vigilancia consisten, entre otros aspectos, en impartir instrucciones y órdenes sobre la manera como deben cumplirse las disposiciones previstas por la normatividad estatutaria, relacionadas con la administración de la mencionada información, para lo cual las Superintendencias fijarán los criterios que faciliten su cumplimiento y señalarán procedimientos para su cabal aplicación." (Destacado fuera de texto).
Por todo lo anterior, la Superintendencia de Industria y Comercio, en ejercicio de la facultad de "impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación [a la ley] de las operaciones de los Responsables y Encargados del Tratamiento", conferida por la Ley 1581 de 2012 (artículo 21, literal e), instruye a sus sujetos vigilados, en el contexto de los procesos de transferencia de tecnología en los que se transfieran datos personales o en los que se transfieran tecnologías que permitan o tengan como objeto el tratamiento de datos personales, en los siguientes términos:
Instrucciones
1. Verificación preliminar del cumplimiento de la normativa de protección de datos
En el contexto de los procesos de transferencia de tecnología objeto de esta circular, los proveedores y receptores deben:
1.1. Identificar si la tecnología transferida incluye funcionalidades que impliquen el tratamiento de datos personales, y si es del caso describir y caracterizar tales funcionalidades.
1.2. Evaluar que la tecnología objeto de transferencia cumpla con la normativa en materia de protección de datos personales.
1.3. Si como parte de la transferencia de tecnología se transfieren datos personales, asegurarse de que dicha operación cumpla con las reglas para transferencia internacional de datos personales, cuando sea el caso.
2. Responsabilidad demostrada
En el contexto de los procesos de transferencia de tecnología objeto de esta circular, los proveedores y receptores deben implementar mecanismos efectivos de responsabilidad demostrada como los siguientes:
2.1. Identificar, medir y controlar los riesgos durante las distintas etapas del tratamiento de los datos personales.
2.2. Establecer sistemas de administración y gestión de riesgos que sean proporcionales a los riesgos para el derecho a la protección de datos personales que dicho tratamiento entrañe.
2.3. Documentar las decisiones adoptadas, incluidas las relacionadas con las medidas de mitigación, como evidencia de cumplimiento.
2.4. Definir y adoptar acciones correctivas antes de la implementación definitiva de la tecnología transferida.
3. Protección de datos personales desde el diseño y por defecto
En el contexto de los procesos de transferencia de tecnología objeto de esta circular, la incorporación de medidas de protección de datos personales desde el diseño y por defecto es un mecanismo idóneo para concretar el principio de responsabilidad demostrada. Cuando se implementen dichas medidas, se debe considerar que:
3.1. La arquitectura tecnológica integre elementos o medidas orientadas al cumplimiento de los principios del tratamiento de datos personales; en especial, los principios de libertad, necesidad, seguridad, circulación restringida y confidencialidad, conforme al artículo 3 de la Ley 1581 de 2012.
3.2. Se adopten las medidas de seguridad pertinentes según el tipo de tecnología, los costos de implementación, la naturaleza, ámbito, contexto y fines del tratamiento, las personas aliadas o colaboradoras, así como los riesgos que entrañe dicho tratamiento para el derecho a la protección de datos personales.
3.3. Se limite la recolección de datos personales a lo estrictamente necesario y se promueva la minimización del tratamiento, y la anonimización o seudonimización de los datos personales cuando ello sea posible.
4. Incorporación de garantías contractuales
En el contexto de los procesos de transferencia de tecnología objeto de esta circular, en los contratos o acuerdos que se suscriban se recomienda incluir cláusulas sobre:
4.1. Responsabilidades y obligaciones de las partes respecto al tratamiento de datos personales.
4.2. Medidas técnicas y administrativas que sean necesarias para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
4.3. Garantías exigibles en caso de transmisiones y transferencias internacionales de datos personales.
4.4. Mecanismos de supervisión, auditoría y/o control para la debida protección de los datos personales.
Cordialmente,
CIELO ELAINNE RUSINQUE URREGO
SUPERINTENDENTE DE INDUSTRIA Y COMERCIO
1. Esta definición se basa en la sistematización de las definiciones adoptadas por el gobierno colombiano y por distintos organismos multilaterales. En concreto, véanse las siguientes fuentes: Ministerio de Ciencia, Tecnología e Innovación. (2022). Guía para la transferencia de tecnología. Disponible en: https://minciencias.qov.co/sites/default/files/271022 guia oara la transferencia de tecnología.odf: Anwar Aridi y Lisa Cowey. (2018). "Technology Transfer from Public Research Organizaron", The World Bank. Disponible en: https://documentsl.worldbank.org/curated/en/384851539285043693/pdf/Technoloqy-
Transfer-from-Public-Research-Orqanizations-A-Framework-for-Analvsis.pdf; Miria Pigato et al. (2020). "Technology Transfer and Innovation for Low-Carbon Development", The World Bank. Disponible en: https://documentsl.worldbank.org/curated/en/138681585111567659/pdf/Technoloqy-Transfer-and- Innovation-for-Low-Carbon-Development.pdf; World Intellectual Property Organizaron. (2024 "Incentives in Technology Transfer. A guide to encourage, recognize and reward researchers and professionats". Disponible en: https://www.wipo.int/edocs/pubdocs/en/wipo-pub-2002-en-incentives-in-technoloqy-transfer.pdf
2. Departamento Nacional de Planeación. Consejo Nacional de Política Económica y Social, "Política Nacional de Ciencia, Tecnología e Innovación 2022-2031". Disponible en: https://minciencias.qov.co/sites/default/files/upload/paqinas/conpes 4069.pdf
Normograma de la Comisión de Regulación de Comunicaciones
n.d.
Última actualización: 30 de octubre de 2025 - (Diario Oficial No. 53.285 - 26 de octubre de 2025)
