¿Has oído hablar de las Normas Corporativas Vinculantes?
¿Conoces su relación con la protección de datos y el RGPD?
Es una herramienta que puede ser usada para proteger adecuadamente los datos personales cuando se transfiere o procesa fuera la UE.
En este post te explico en qué consisten y cuál es el contenido de estas Normas Corporativas Vinculantes.
Las normas corporativas vinculantes o “Binding Corporate Rules” (BCR) son instrumentos, consistentes en políticas o códigos de conducta jurídicamente vinculantes dentro de un grupo de empresas o en una unión de empresas.
Tienen la finalidad de ofrecer garantías suficientes cuando los datos personales van a ser transferidos internacionalmente a uno o varios responsables o encargados del tratamiento que están en un tercer país sin nivel adecuado.
El Grupo de Trabajo del Artículo 29 (GT29) se refirió a éstas explicando que son códigos de conducta que redactan y siguen organizaciones multinacionales. Y que contienen medidas internas pensadas para poner en práctica principios de protección de datos como:
Las normas corporativas vinculantes, a las que ya se podía recurrir en virtud de la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, fueron creadas y se fueron desarrollando a lo largo de los años, en el seno del GT29.
Se trata, por tanto, de una solución contractual que vincula jurídicamente a las partes de una transferencia internacional de datos. Y que sirve para ofrecer garantías suficientes cuando dicha transferencia es a un tercer país sin nivel adecuado.
El artículo 4.20) del RGPD define las normas corporativas vinculantes como las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias de datos personales a un responsable o encargado en uno o más países terceros. Dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.
Es decir, se trata de un instrumento alternativo destinado a ofrecer garantías suficientes para poder realizar transferencias internacionales de datos a terceros países sin nivel adecuado en protección de datos.
Y es un instrumento jurídicamente vinculante entre un responsable o encargado del tratamiento establecido en la UE y un responsable o encargado del tratamiento establecido fuera de la UE. Siempre que se trate de un mismo grupo empresaria o una unión de empresas dedicas a una actividad económica conjunta.
El RGPD impulsa de manera decidida la posibilidad de recurrir a las normas corporativas vinculantes para ofrecer garantías adecuadas en la transferencia internacional de datos a terceros países u organizaciones internacionales sin nivel adecuado. Pero una de las principales diferencias sobre las normas corporativas vinculantes se refiere a su ámbito de aplicación.
En el marco de la Directiva 95/46/CE las normas corporativas vinculantes se limitaban a los acuerdos entre entidades pertenecientes a un mismo grupo de empresas. Mientras que con el RGPD pueden ser invocadas por uniones de empresas dedicadas a una actividad económica conjunta. Sin que estas tengan que pertenecer necesariamente al mismo grupo empresarial.
También cabe destacar que el RGPD ha querido simplificar los trámites burocráticos al suprimir las obligaciones generales de notificación previa a las autoridades de protección de datos y autorización por estas de las transferencias a terceros países basadas en normas corporativas vinculantes.
De esta manera se trata de conseguir una importante simplificación del sistema de la UE en materia de trasferencias internacionales de datos.
Y la otra de las principales novedades es el desarrollo e incorporación expresa de las normas corporativas vinculantes en el articulado del RGPD.
La norma general en materia de transferencias internacionales de datos a un tercer país u organización internacional es que solo podrán llevarse a cabo cuando se den garantías adecuadas en relación con el tratamiento de los datos personales.
Es decir, cuando los datos personales salen fuera del territorio de aplicación del RGPD, hacia un tercer país u organización internacional, que no tiene un nivel equivalente al de la Unión Europea en materia de protección de datos.
En concreto, las normas corporativas vinculantes se incluyen en el RGPD como una de las garantías adecuadas para poder llevar a cabo una transferencia internacional. Sin que sea necesaria una autorización expresa de una autoridad de protección de datos a tal fin.
Es decir, no se requiere autorización para la transferencia internacional de datos basada en normas corporativas vinculantes, que sí habrán tenido que ser aprobadas por una autoridad de protección de datos personales.
Como instrumento para ofrecer garantías adecuadas en el caso de transferencias internacionales de datos, el RGPD codifica y formaliza su función como instrumento de transferencia. Esto supone que, junto a otros instrumentos como las cláusulas contractuales tipo, el RGPD formaliza y amplía la posibilidad de recurrir a estos instrumentos ya existentes.
Respecto al contenido mínimo que tienen que incluir las normas corporativas vinculantes, el RGPD indica que especificarán, como mínimo:
Para poder recurrir a las normas corporativas vinculantes como instrumento para la transferencia internacional de datos es necesario que hayan sido aprobadas por una autoridad de protección de datos. Esta deberá ser la competente en cada caso, según donde se encuentre establecido el responsable o el encargado del tratamiento.
La aprobación de la una norma corporativa vinculante depende, fundamentalmente, de que la misma:
Cuando las normas corporativas vinculantes sean aprobadas por la Agencia Española de Protección de Datos o por las autoridades autonómicas de protección de datos, el procedimiento se iniciará a instancia de una entidad que esté establecida en España. Ello determinará la competencia de la autoridad de protección de datos, ya sea la estatal o la autonómica según sea competente en cada caso, siendo la duración máxima del procedimiento de nueve meses.
No obstante, este plazo quedará suspendido cuando el expediente para su aprobación sea remitido al Comité Europeo de Protección de Datos con la finalidad de que emita su dictamen.
El plazo de nueve meses continuará una vez que el dictamen sea notificado, según corresponda, a la AEPD o a la autoridad de protección de datos competente.
Lo que se pretende con la aprobación de normas corporativas vinculantes es:
Esto es lo más importante sobre las normas corporativas vinculantes.
¿Tienes alguna duda? Si es así, espero que me lo comentes y te ayudaré en lo que necesites.