Derecho

Ágora Mercatorum
Menú
5 de febrero de 2025

EL POR QUÉ LOS ADMINISTRADORES SOCIETARIOS NO SON CORRESPONSABLES EN EL TRATAMIENTO DE LOS DATOS PERSONALES EN COLOMBIA

Por: Luis Fernando Sabogal Bernal *

La Circular Externa No. 003 del 22 de agosto de 2024, emitida por la Superintendencia de Industria y Comercio, establece que, en la medida en que una sociedad sea responsable del tratamiento de datos personales, los administradores de dicha sociedad son “corresponsables del tratamiento”.[1].

A continuación, revisaremos los fundamentos que ha esgrimido la Superintendencia de Industria y Comercio para llegar a tal conclusión, para luego desvirtuar cada uno de ellos con el fin de demostrar que esa nueva asignación de responsabilidad del tratamiento de datos personales a los administradores societarios es incorrecta, inapropiada e ilegal.

Las razones a partir de cuales la Superintendencia de Industria y Comercio llega a esta conclusión de hacer corresponsables a los administradores societarios se fundan en los siguientes argumentos:

a. Según la Ley 222 de 1995 los administradores deben actuar con la diligencia de un buen hombre de negocios, velando por el estricto cumplimiento de las disposiciones legales y reglamentarias.

b. La Corte Constitucional ha sostenido que “la actuación de los administradores debe ir más allá de la diligencia común y corriente, pues su gestión profesional de carácter comercial debe orientarse al cumplimiento de las metas sociales”.

c. En materia de datos personales impera la regla de responsabilidad demostrada, que exige a los “operadores de información” adoptar medidas útiles, oportunas, eficientes y demostrables para acreditar el total y correcto cumplimiento de la regulación y a los “responsables de los tratamientos de datos” demostrar que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la ley de protección de datos personales. Y en esa medida, la Circular equipara los conceptos de “operador” y “responsable” de tratamiento de datos con la de “administrador societario”, y por tanto, concluye que a “los administradores societarios” le es exigible adoptar medidas útiles, oportunas, eficientes y demostrables para acreditar el total y correcto cumplimiento de la normativa en protección de datos. 

d. Que el literal e) del artículo 3 de la ley 1581 de 2012 define al responsable del Tratamiento como “Persona natural o jurídica, pública o privado, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de datos” y subraya la expresión “en asocio con otros”, para dar a entender que ese otro puede ser el administrador societario.

e. Que la Corte Constitucional al revisar la definición de responsable del Tratamiento, estableció que, de una parte, le corresponderá a la Superintendencia de Industria y Comercio definir quienes son las personas responsables del tratamiento del dato personal, examinando la posición que ocupa cada agente en el tratamiento del dato, toda vez que el “responsable” y el “encargado” del Tratamiento puede estar constituido por una pluralidad de sujetos que pueden tener distintos grados de responsabilidad.  De otra parte, la Corte indica que el responsable del Tratamiento puede surgir cuando una persona “tiene la capacidad de determinación”, hecho que se denomina capacidad de influencia de hecho.

f. Que en función del Decreto 092 de 2022 la SIC tiene competencia para impartir instrucciones en materia de datos personales, fijar criterios que faciliten su cumplimiento y señalar los procedimientos para su cabal aplicación.

    A continuación, me permito presentar las razones por las cuáles considero que la creación de esta figura de corresponsabilidad en cabeza de los administradores societarios está basada en argumentos mayormente errados.

    1. Incorrecta Interpretación del Deber de Diligencia de los Administradores:

      La Circular entiende que los administradores deben asumir directamente el cumplimiento de las obligaciones que corresponden a la sociedad. Sin embargo, la Circular Básica Jurídica de la Superintendencia de Sociedades, derivada del artículo 23 de la Ley 222 de 1995, establece que una manifestación del deber de vigilancia es “observar y velar por el cumplimiento de las disposiciones legales”. Esto no implica que los administradores sean directamente responsables del cumplimiento de las obligaciones sociales, salvo en los casos expresamente señalados en la ley. La responsabilidad de los administradores no comporta, por tanto, la asunción directa de las obligaciones de la sociedad. La técnica de la personificación jurídica en nuestro ordenamiento admite que sea la sociedad, y no los individuos que la integran o adoptan decisiones por ella, quien asuma dicha responsabilidad, salvo los casos expresamente señalados en la ley.[2]

      2. Carga de Diligencia de los Administradores:

      La Circular sugiere que los administradores en Colombia tienen una mayor carga de diligencia. Pese a que la jurisprudencia citada de la Corte Constitucional es correcta, en la práctica, los administradores societarios no tienen una diligencia superior que les sea exigible. La reciente incorporación en Colombia de la Regla de la discrecionalidad es evidencia de ello. Por tanto, la Circular debería reflejar la realidad práctica y normativa de la diligencia exigida a los administradores, y no imponer cargas adicionales que no están justificadas por la legislación vigente.

      3. Responsabilidad Demostrada:

      La Circular concluye automáticamente que los administradores son responsables del tratamiento de datos a partir de la regla de la responsabilidad demostrada. Esta conclusión no es clara ni está completamente fundamentada en el texto normativo. La responsabilidad en el tratamiento de datos debería ser atribuida de manera explícita y clara, no inferida a partir de principios generales que pueden llevar a interpretaciones extensivas y erróneas.

      4. Naturaleza Jurídica de los Administradores:

      A partir de la naturaleza jurídica orgánica de la sociedad, los administradores no son sujetos diferentes de la sociedad, sino parte inescindible de la misma. La sociedad es un ente ficticio que requiere de administradores para actuar y tomar decisiones. Por tanto, es equivocado sostener que los administradores son “otros sujetos” diferentes de la sociedad que participan en el diseño e implementación de la política de protección de datos personales.

      5. Capacidad de Determinación:

      No todos los administradores societarios tienen capacidad de determinación en materia de protección de datos. La Circular parece asumir una capacidad uniforme entre todos los administradores, lo cual no es cierto en la práctica. Debería existir una diferenciación clara entre los administradores que efectivamente tienen capacidad de determinación y aquellos que no, para evitar asignación de responsabilidades injustas y desproporcionadas. En ese orden, uno de los grandes desaciertos de la Circular ha sido no establecer un régimen diferenciado en función de los distintos tipos de administradores que reconoce nuestra legislación en el artículo 22 de la Ley 222 de 1995.  

      6. Principio de Legalidad.

      En Colombia, la interpretación de la ley debe respetar los principios de legalidad y seguridad jurídica. Esto significa que no es posible extender la responsabilidad impuesta por una norma a un sujeto que no esté expresamente contemplado en ella, salvo en casos muy específicos y bajo ciertas condiciones.

      La Corte Constitucional y la Corte Suprema de Justicia han sido claras en que la interpretación de las normas debe ser restrictiva cuando se trata de imponer responsabilidades o sanciones. Cualquier extensión indebida podría vulnerar derechos fundamentales y principios básicos del derecho, como el debido proceso y la igualdad ante la ley.

      Las circulares de la SIC son actos administrativos de carácter general que contienen instrucciones y directrices para los sujetos vigilados por la Superintendencia. Su objetivo es aclarar, interpretar y unificar criterios sobre la aplicación de las normas legales que la Superintendencia debe hacer cumplir. En ningún caso pueden crear nuevas obligaciones legales.

      En la propia Circular Externa se advierte que el Decreto 092 de 2022 asigna a la SIC la competencia para impartir instrucciones en materia de datos personales, fijar criterios que faciliten su cumplimiento y señalar los procedimientos para su cabal aplicación. Sin embargo, en ningún momento dicho decreto otorga a la SIC la posibilidad de ampliar el alcance de la ley.

      Por lo anterior, contrario a lo expresado en la Circular, la SIC no tiene la facultad de ampliar el alcance de la ley, pues esta es una función que ni siquiera un decreto reglamentario tendría.

      La Circular Externa No. 003 del 22 de agosto de 2024 viola, por tanto,  el principio de legalidad al extender indebidamente la responsabilidad de tratamiento de datos personales a los administradores societarios, una figura no contemplada expresamente en la normativa vigente. Además, excede las facultades de la SIC al crear nuevas obligaciones legales a través de una Circular, lo cual está fuera de su competencia.

      Además de lo expresado, en mi opinión, la Circular no consigue la finalidad esperada de la labor de la Superintendencia de Industria y Comercio en la protección de datos personales, pues en lugar de proporcionar claridad, introduce confusión sobre la extensión de responsabilidades. La Superintendencia debería enfocar sus esfuerzos en clarificar y precisar las obligaciones de protección de datos de manera que sean entendibles y aplicables, sin extender innecesariamente la responsabilidad, pues ello lo que consigue es generar una alarma innecesaria, especialmente en las pequeñas empresas, al sugerir que los administradores deben asumir nuevas responsabilidades y posibles sanciones.

      En conclusión, la Circular No. 003 presenta varios fundamentos erróneos, viola el principio de legalidad y su implementación podría tener efectos negativos en la práctica empresarial. Es crucial que la Superintendencia de Industria y Comercio revise y ajuste su enfoque para alinearse mejor con los principios de legalidad y proporcionalidad, garantizando así una protección de datos efectiva y justa.

      * Abogado y especialista en Derecho Comercial de la Universidad Externado de Colombia, Master en Derecho de Empresa de la “Università degli Studi di Genova” (Italia), Diploma de Estudios Avanzados y Doctor (Ph.D) en Derecho Mercantil de la Universidad Complutense de Madrid (España). Docente en la Universidad Externado de Colombia en pregrado y posgrado en las áreas de derecho comercial y societario en las Facultades de Derecho y de Administración de Empresas. Autor de varios artículos en ámbito del derecho societario. Se ha desempeñado como abogado consultor de varias firmas nacionales y extranjeras.

      [1] De forma más precisa el Decreto establece que esa corresponsabilidad tiene lugar cuando “en conjunto con la persona jurídica” determinen, respecto de unas operaciones de Tratamiento específicas:  los fines o los medios que caracterizan al responsable del Tratamiento; o, los fines o los medios sobre la base de datos y/o el Tratamiento de los datos.

      En función de lo anterior, “instruye” a los administradores societarios, precisando sus obligaciones en ámbito del tratamiento de datos personales, y por tanto, les exige:

      (i)               Cumplir lo establecido por la regulación de la protección de datos.

      (ii)              Establecer las “Políticas Internas Efectivas” para garantizar el debido tratamiento de los datos personales.

      (iii)            Adoptar mecanismos internos en la sociedad para hacer cumplir y promover las “Políticas Internas Efectivas”, dentro de las cuales se deben encontrar herramientas de implementación, entrenamiento y programas de sensibilización. Así mismo, le atribuye la función de designar a la persona o área que asumirá la función de protección de datos, entre otros asuntos.

      (iv)            Establecer lineamientos corporativos adecuados para adoptar medidas precautorias o preventivas para proteger los derechos de los titulares de Datos Personales, como los “estudios de impacto de privacidad”.

      (v)              Establecer los lineamientos para fortalecer las medidas de seguridad de la información.

      Aunque en la Circular no se precisa de forma específica, hacerlo “corresponsable” significa también que la SIC le podría imponer a los administradores multas de carácter personal hasta por el equivalente a 2000 smmlv, de conformidad con los previsto en el art. 23 de la Ley 1581.

      [2] BALANTA, Heidy. La incertidumbre jurídica de la corresponsabilidad en el tratamiento de datos en Colombia. En Ambito Jurídico, 11 de octubre de 2024. Disponible en: https://www.ambitojuridico.com/noticias/columnista-online/mercantil-propiedad-intelectual-y-arbitraje/la-incertidumbre-juridica-de