Se prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios.
Esta prohibición no regirá cuando se trate de:
a) Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia;
b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública;
c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable;
d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad;
e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular;
f) <Ver en Jurisprudencia Vigencia, el análisis de la Corte a este literal> Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
PARÁGRAFO 1o. En los casos no contemplados como excepción en el presente artículo, corresponderá a la Superintendencia de Industria y Comercio, proferir la declaración de conformidad relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente queda facultado para requerir información y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.
PARÁGRAFO 2o. Las disposiciones contenidas en el presente artículo serán aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008.
Estructura Ley 1581 de 2012
Artículo 2o. ámbito de aplicación
Artículo 4o. Principios para el tratamiento de datos personales
Artículo 6o. Tratamiento de datos sensibles
Artículo 7o. Derechos de los niños, niñas y adolescentes
Artículo 8o. Derechos de los titulares
Artículo 9o. Autorización del titular
Artículo 10. Casos en que no es necesaria la autorización
Artículo 11. Suministro de la información
Artículo 12. Deber de informar al titular
Artículo 13. Personas a quienes se les puede suministrar la información
Artículo 16. Requisito de procedibilidad
Artículo 17. Deberes de los responsables del tratamiento
Artículo 18. Deberes de los encargados del tratamiento
Artículo 19. Autoridad de protección de datos
Artículo 20. Recursos para el ejercicio de sus funciones
Artículo 24. Criterios para graduar las sanciones
Artículo 27. Normas corporativas vinculantes
Artículo 28. Régimen de transición
2.12. Examen del artículo 10: casos en los que no es necesaria la autorización