La SIC expide nuevas directrices sobre protección de datos en la transferencia de tecnología

La Superintendencia de Industria y Comercio (“SIC”), en su calidad de autoridad de protección de datos personales, expidió la Circular Externa 002 de octubre de 2025 que establece instrucciones aplicables a los procesos de transferencia de tecnología en los que se transfieran datos personales o en los que se transfieran tecnologías que permitan o tengan como objeto el tratamiento de datos personales.

A continuación, destacamos las principales instrucciones emitidas por la SIC a través de la Circular, en complemento a las regulaciones vigentes de protección de datos:

1. Antes de realizar la transferencia, las partes deben identificar si la tecnología implica el tratamiento de datos personales, verificar que cumpla con la normativa vigente y, en caso de transferencias internacionales, asegurar que se cumplan las reglas aplicables.
2. Los proveedores y receptores de tecnología deben implementar mecanismos para gestionar riesgos asociados al tratamiento de datos, documentar las decisiones adoptadas, aplicar medidas de mitigación y realizar acciones correctivas antes de implementar la tecnología.
3. Las soluciones tecnológicas deberán incorporar medidas que aseguren el cumplimiento de los principios de tratamiento de datos personales, adoptando medidas de seguridad pertinentes según el tipo de tecnología, su naturaleza, ámbito, contexto y fines del tratamiento. Asimismo, deberán limitar la recolección de datos a lo estrictamente necesario y promover la minimización, anonimización o seudonimización de la información personal.
4. Los contratos de transferencia deberán incluir cláusulas que establezcan claramente las responsabilidades y obligaciones de las partes, las medidas técnicas y administrativas necesarias para garantizar la seguridad de los datos personales, las garantías aplicables en caso de transmisiones y transferencias internacionales, así como los mecanismos de supervisión, auditoría y control correspondientes.