Transmisión y transferencia internacional de datos personales en Colombia: Claves prácticas, riesgos y el rol de las cláusulas modelo

Por: Natalia Fernández y José Daniel Suárez

El Decreto 1074 de 2015 define la ‘transmisión’ de datos personales como el envío de datos a un encargado del tratamiento para que trate los datos por cuenta del responsable, conforme a las políticas e instrucciones que este determine, mientras que la ‘transferencia’ ocurre cuando los datos se envían a un responsable del tratamiento que determina autónomamente los fines y medios del tratamiento. 

En la práctica, ello implica que, antes de compartir datos con un tercero, el emisor debe determinar si el receptor actuará como encargado o como responsable, ya que de esa calificación dependerán los requisitos legales aplicables en cada caso.  Para una buena calificación jurídica, debe recordarse que la normativa colombiana diferencia claramente a los responsables (quienes deciden fines y medios del tratamiento y, en esa medida, sobre las bases de datos) de los encargados (quienes tratan datos por cuenta del responsable y bajo sus instrucciones), y que esta diferencia es la que, en última instancia, separa la transferencia (entre responsables) de la transmisión (responsable–encargado).

En transferencias internacionales, el artículo 26 de la Ley 1581 de 2012 prohíbe enviar datos personales a países que no cuenten con niveles adecuados de protección, salvo que exista autorización expresa e inequívoca del titular u otra excepción legal aplicable, o que medie una declaratoria de conformidad de la SIC. De manera general, el cumplimiento se verifica contra los estándares que fije la autoridad y que no pueden ser inferiores a los exigidos por la ley. Ni la Ley 1581 ni el Decreto 1074 anclan la licitud de la transferencia en la celebración de “acuerdos de transferencia” entre responsables; la validez se sostiene, ante todo, en la base jurídica del tratamiento, la autorización del titular cuando corresponda y el nivel adecuado del país receptor o la excepción aplicable.  Así, para garantizar el cumplimiento normativo a la hora de transferir un dato personal, no basta suscribir un documento titulado “acuerdo de transferencia”: la licitud se sostiene sobre la base jurídica (autorización del titular u otra) y la adecuación o las excepciones del artículo 26.

En cambio, para transmisiones de datos personales a encargados, el Decreto 1074 prevé que no se requiere informar ni obtener autorización previa de los titulares si existe un acuerdo de transmisión que cumpla con exigencias mínimas de alcance, actividades, y obligaciones específicas del encargado frente al responsable y al titular, incluyendo las relativas a la protección de la seguridad y confidencialidad de los datos, y al seguimiento de las instrucciones del responsable y de su política de privacidad. 

La Circular Externa 003 del 19 de diciembre de 2025 de la Superintendencia de Industria y Comercio (SIC) (la “Circular”) introdujo cláusulas contractuales modelo para operaciones internacionales de transmisión y transferencia de datos personales[1]. Ahora bien, aunque la Circular afirma seguir las definiciones del Decreto 1074 de 2015, se observan tensiones prácticas por el uso indiscriminado del término “transferencia”, y por el empleo de expresiones amplias como “destinatario” o “tercero receptor”, lo que puede diluir la distinción entre responsable y encargado y, con ella, entre transferencia y transmisión. De hecho, algunos clausulados para relaciones entre responsables incorporan obligaciones propias de una relación responsable–encargado (como señalar que el “importador” no tiene poder de decisión y se limita a instrucciones del “exportador”), lo que podría inducir a calificar erróneamente una comunicación de datos como transmisión. 

Además, la presentación de estas cláusulas como salvaguarda general puede eclipsar el test previo del artículo 26 o las excepciones aplicables cuando no hay adecuación (esto es, cuando no se haya emitido una decisión que indique que una jurisdicción cuenta con un nivel adecuado de protección de datos), cuestión que la Circular no enfatiza de manera consistente. El encaje correcto, por tanto, es entender que las cláusulas modelo ayudan a estandarizar y a evidenciar responsabilidad proactiva, pero no reemplazan los requisitos de la Ley 1581 ni del Decreto 1074, ni eximen de verificar la base de legalidad y el régimen de transferencias y transmisiones aplicable a cada caso.

Desde una perspectiva operativa, conviene estructurar el análisis en dos pasos: primero, calificar el flujo según la calidad del receptor respecto de cada dato (¿actúa como encargado o como responsable?), y, segundo, aplicar el régimen correspondiente: si es transmisión, suscribir un acuerdo de transmisión con el contenido mínimo exigido por el Decreto 1074 de 2015, y, si se considera apropiado, usar el modelo de cláusula disponible en la Circular No. 003 de 2025; si es transferencia, verificar (i) que haya una base jurídica adecuada para el tratamiento y (ii) que haya habido una adecuación del país de destino o una declaratoria de conformidad de la SIC, según el caso, a menos que el titular haya dado su autorización para el envío de los datos al país donde está ubicado el receptor de la información.

Debe evitarse, además, la confusión terminológica en los contratos: si un acuerdo entre responsables señala que el receptor opera “sin poder de decisión” y “bajo instrucciones” de quien envía los datos, podría estarse camuflando una transmisión, con las consecuencias regulatorias y de cumplimiento que ello conlleva.

En suma, la transmisión se configura cuando un responsable envía datos a un encargado para que los trate por cuenta de aquél y bajo sus instrucciones, previa suscripción de un acuerdo de transmisión con obligaciones de seguridad y confidencialidad. La transferencia, por su parte, ocurre cuando se envían datos personales a otro responsable que tratará los datos por su propia cuenta, para los propósitos que autónomamente determine. Para transferencias internacionales, rige la prohibición de envío a responsables ubicados en países sin nivel adecuado de protección salvo excepciones o declaratoria de conformidad de la SIC, en los términos del artículo 26 de la Ley 1581. La Circular introduce cláusulas modelo como instrumento voluntario de estandarización, pero su uso no reemplaza el cumplimiento de los requisitos legales ni crea, por sí mismo, una presunción de legalidad. Persisten preguntas relevantes: ¿la SIC entenderá que la implementación de los modelos suple una declaración de conformidad? De ser así, ¿se permite efectuar transferencias cuando no hay adecuación sin acudir a excepciones? Y, ¿cuál es el alcance jurídico real de la implementación de estas cláusulas modelo frente a la autoridad?