El Ministerio de Comercio, Industria y Turismo expidió el Decreto 255 de 2022 con el fin de establecer las condiciones y requisitos mínimos con los que deben cumplir las Normas Corporativas Vinculantes implementadas en un grupo empresarial. Estas normas constan de principios, políticas y códigos que imponen deberes y obligaciones a los miembros de un grupo empresarial encargados del tratamiento de datos personales con la finalidad de garantizar la protección y respeto de los derechos de los titulares de estos datos y el cumplimiento de toda la normatividad. Todas las sociedades que hagan parte de un mismo grupo empresarial y que transfieran datos personales a un miembro del grupo ubicado fuera del territorio colombiano, quien será el responsable del tratamiento de estos datos, estarán obligadas a dar cumplimiento a estas disposiciones. Al respecto debe recordarse que, según la ley 222 de 1995, existe un grupo empresarial cuando entre varias sociedades relacionadas existe un vínculo de subordinación y tienen unidad de propósito y dirección. Así, hay una sociedad matriz que fija un objetivo y controla a las otras sociedades subordinadas para que todas, en conjunto, persiguan la consecución de dicho objetivo.

En este nuevo decreto se establece que las Normas Corporativas Vinculantes deben estar alineadas con las obligaciones generales que se imponen a las personas encargadas del tratamiento de datos personales, debiendo implementar mecanismos que permitan garantizar los derechos de los titulares de estos datos y aseguren el total cumplimiento de los deberes a su cargo. En caso de incumplimiento de estas normas, todas las empresas que hagan parte del grupo empresarial serán solidariamente responsables, es decir, la Superintendencia de Industria y Comercio (SIC) podrá investigar y sancionar a cualquiera de los miembros por las acciones de los demás miembros.

Los grupos empresariales deberán someter estas normas a la aprobación del órgano correspondiente según lo establecido por los estatutos o acuerdos del grupo empresarial para poderlas presentar formalmente a la SIC quien verificará el cumplimiento de todos los requisitos y emitirá una certificación para que puedan ser aplicadas. Sin embargo, primero la SIC deberá publicar en su página web la fecha a partir de la cual empezará a recibir solicitudes para realizar esta revisión y certificación.

Recuerde que, en caso de que su sociedad haga parte de un grupo empresarial y efectúen transferencias de datos personales a un miembro ubicado fuera de Colombia, deberán implementar estas Normas Corporativas Vinculantes; contactarnos para ayudarle en este proceso y solucionar todas las dudas que pueda tener al respecto.