Mediante la Circular Externa 005 del 10 de agosto de 2017, la Superintendencia de Industria y Comercio (“SIC”) se pronunció acerca de los países que en opinión de esta entidad ofrecen un nivel adecuado de protección para realizar transferencias de datos personales, así como los criterios para determinar que un país determinado cumple con los estándares de protección fijados por esta entidad.

En este sentido, la SIC estableció una lista de 36 países que en consideración de esta entidad cuentan con un nivel adecuado de protección de datos personales, dentro de los cuales como principal novedad se incluyó a Estados Unidos. También fueron incluidos países como Alemania, España, Francia, México, Perú y Reino Unido.

De conformidad con lo establecido en el Artículo 26 de la Ley 1581 de 2012, está prohibida la transferencia de datos personales a países que no proporcionen niveles adecuados de protección de datos. En este sentido, cuando vaya a efectuarse una transferencia de datos personales a un país que no figure en la lista establecida por la SIC en la Circular Externa 005, el Responsable del Tratamiento de la información personal que será transferida deberá solicitar ante esta entidad una declaración de conformidad, siempre que la transferencia no se enmarque dentro de las excepciones establecidas en el artículo mencionado.

Desde su promulgación, la Circular Externa 005 del 10 de agosto de 2017 ha sido objeto de extensos debates entre el sector privado y parte del sector académico por considerar éste último que la inclusión de algunos países ha sido apresurada y poco estudiada. Por otro lado esta inclusión brinda mayor celeridad a empresas privadas y entidades públicas que tienen proyectos de desarrollo de gestión de datos a nivel global, usando los servicios denominados cloud.