Legal Corporativo

Por medio de la circular Externa nro. 003 de 2024 de la Superintendencia de Industria y Comercio, se imparten instrucciones para los administradores societarios en relación con el tratamiento de datos personales.

El 22 de agosto de 2024, la Superintendencia de Industria y Comercio (“SIC”) emitió la Circular nro. 003 de 2024 (en adelante, la “Circular”), por medio de la cual realiza instrucciones para los administradores societarios en relación con el Tratamiento de Datos Personales.

A. Recuento normativo integrado en la Circular

La entidad enuncia que la protección al Habeas Data y el consecuente Tratamiento de Datos Personales es un derecho fundamental consagrado en el artículo 15 de la Constitución Política, por lo cual, existe una exigencia de los particulares como de las autoridades de “garantizar la efectividad de los principios, derechos y deberes consagrados” en nuestra Carta Política (Constitución Política de Colombia, artículo 2).

Del mismo modo, la regulación puntualiza que “la empresa, como base del desarrollo, tiene una función social que implica obligaciones”, dentro de las cuales se encuentra la materialización de los derechos de los Titulares de los Datos Personales. Así las cosas, cuando la actividad empresarial se concreta en una sociedad, los administradores deben alcanzar el estándar de un buen hombre de negocios en el cumplimiento de tales disposiciones, específicamente, las normas sobre Tratamiento de Datos Personales – las Leyes Estatutarias 1266 de 2008, 1581 de 2012, 2157 de 2021 y sus decretos reglamentarios -.

La Circular aclara que en materia de Tratamiento de Datos Personales impera como regla de responsabilidad el deber de responsabilidad demostrada o “accountability”, el cual exige a los administradores societarios adoptar medidas útiles, oportunas, eficientes y demostrables para acreditar el total y correcto cumplimiento de la regulación. Esta regla se puede evidenciar en el artículo 19A de la Ley Estatutaria 1266 de 2008 y artículo 26 del Decreto 1377 de 2013.

Así mismo, el literal e) del artículo 3 de la Ley Estatutaria 1581 de 2012 define al Responsable del Tratamiento como la “persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos”. La Corte Constitucional, en Sentencia C-748 de 2011, se pronunció con respecto a la constitucionalidad de esta definición, precisando que, en cada caso, se debe analizar el contexto de las actuaciones de los agentes para establecer su verdadera posición y, en consecuencia, sus obligaciones y régimen de responsabilidad. De esta manera, le corresponde a la autoridad competente asegurar la vigilancia, control y garantía del dato personal, examinar la posición de cada agente en el Tratamiento del dato, teniendo en cuenta que los responsables pueden estar constituidos por una pluralidad de sujetos con distintos grados de responsabilidad.

A su vez, el responsable del tratamiento puede surgir cuando: (1) existe competencia legal explícita, es decir, cuando en el cumplimiento de una determinada función se impone la recolección de datos; (2) hay competencia jurídica implícita, cuando en el ámbito de la actividad se produce el tratamiento; y (3) cuando se tiene la capacidad de determinación, es decir, la capacidad de influencia de hecho. Aunado a esta definición proporcionada por la Corte Constitucional, los administradores serán corresponsables del tratamiento cuando en conjunto con la persona jurídica cuando: (1) determinen el Tratamiento para operaciones específicas; (2) determinen los fines; y/o (3) los medios que caracterizan al responsable del tratamiento.

B. Conductas y deberes de los administradores

La normativa establece como obligaciones en el tratamiento de datos personales, las siguientes:

1. Cumplimiento de la regulación relativa a la protección de datos personales.
2. Las Políticas Internas Efectivas establecidas por los administradores deben ser objeto de monitoreo y control.
3. Los mecanismos internos para hacer cumplir las Políticas Internas Efectivas debe ser conocidas y promovidas por los administradores, para ello, podrán: (1) designar una persona o área que cumpla la función de protección de datos personales; (2) aprobar y verificar el real y efectivo cumplimiento de un manual de interno de políticas y procedimientos; (3) establecer canales de comunicación que le permita al encargado de la protección de datos informar de manera periódica a los administradores sobre la ejecución de las Políticas Internas Efectivas.
4. Los administradores deben establecer reglas para adoptar medidas preventivas para proteger los derechos de los titulares de datos personales, como estudios de impacto de privacidad, los cuales deben incluir como mínimo:
   
   a. Una descripción detallada de las operaciones de tratamiento de datos personales.
   b. Una evaluación de los riesgos específicos para los derechos y libertades de los titulares, con una identificación y clasificación de estos.
   c. Las medidas previstas para evitar la materialización de los riesgos, medidas de seguridad, diseño de software, tecnologías y mecanismos que garanticen la protección de datos personales.
   
   
5. Finalmente, los administradores deben establecer los lineamientos para fortalecer continuamente las medidas de seguridad de la información. De esta manera, el manual interno de políticas debe contar con un componente de gestión de riesgos.

Bajo el Oficio nro. 220-143848 del 18 de junio de 2024, la Superintendencia de Sociedades aclara si la entidad cuenta con la competencia residual para ejercer la facultad para autorizar la disminución de capital y de la prima de emisión de instrumentos de patrimonios propios, cuando se presente un efectivo reembolso de aportes, respecto de sociedades sometidas a la supervisión de otra entidad del estado que no cuente de manera expresa con la facultad para impartir esta autorización en los términos establecidos por la ley.

Al respecto, la entidad recuerda la existencia de la Circular Externa Conjunta nro. 100 – 000033 del 6 de agosto de 2020, con el ánimo de enfatizar en las siguientes premisas:

1. La Superintendencia de Servicios Públicos Domiciliarios (“SSPD”) conoce de los aspectos objetivos y subjetivos de las Sociedades de Servicios Públicos respecto de los cuales el legislador le haya conferido expresamente tales facultades.
2. La Superintendencia de Sociedades conoce de los aspectos subjetivos de las sociedades de Servicios Públicos Domiciliarios, que no hayan sido asignados expresamente por el legislador a la SSPD, en virtud de la competencia residual.
3. Ante una autorización previa, la Superintendencia de Sociedades informará a la SSDP sobre la operación, con el fin de que, en ejercicio de sus competencias, analice los efectos financieros de las sociedades participantes y el impacto en la prestación del servicio público que pueda conllevar la realización de la reforma estatutaria consistente en fusión o escisión. En consecuencia, la SSDP se pronunciará desde el punto de vista objetivo, mediante escrito remitido a la Superintendencia de Sociedades sobre la procedencia o no de la reforma estatutaria, para que esta última entidad pueda continuar con el trámite y de su aprobación desde el punto de vista subjetivo.

Ahora bien, a juicio de la entidad, la competencia de supervisión a la SSDP no arroja ningún resultado positivo para el conocimiento expreso de autorización de reformas estatutarias de disminución de capital con efectivo reembolso de aportes de sus supervisados. Por el contrario, la Superintendencia de Sociedades tiene competencia general, clara y expresa para conocer de la solicitud de autorización de reformas estatutarias consistentes en la disminución de capital con efectivo reembolso de aportes de las sociedades comerciales, por mandato del artículo 145 del Código de Comercio y del artículo 86, numeral 7, de La Ley 222 de 1995. En conclusión, se advierte con claridad que es procedente la aplicación de la regla contenida en el artículo 228 de la Ley 222 de 1995 en materia de competencia residual, es decir, la autorización de esta consulta es de competencia de la Superintendencia de Sociedades en ejercicio de sus facultades legales.