Las Normas Corporativas Vinculantes y el RGPD

0

¿Has oído hablar de las Normas Corporativas Vinculantes?

¿Conoces su relación con la protección de datos y el RGPD?

Es una herramienta que puede ser usada para proteger adecuadamente los datos personales cuando se transfiere o procesa fuera la UE.

En este post te explico en qué consisten y cuál es el contenido de estas Normas Corporativas Vinculantes.

¿Qué son las Normas Corporativas Vinculantes?

Las normas corporativas vinculantes o “Binding Corporate Rules” (BCR) son instrumentos, consistentes en políticas o códigos de conducta jurídicamente vinculantes dentro de un grupo de empresas o en una unión de empresas.

Tienen la finalidad de ofrecer garantías suficientes cuando los datos personales van a ser transferidos internacionalmente a uno o varios responsables o encargados del tratamiento que están en un tercer país sin nivel adecuado.

El Grupo de Trabajo del Artículo 29 (GT29) se refirió a éstas explicando que son códigos de conducta que redactan y siguen organizaciones multinacionales. Y que contienen medidas internas pensadas para poner en práctica principios de protección de datos como:

  • auditoría,
  • programas de formación,
  • red de funcionarios de privacidad,
  • sistema de tratamiento de quejas.

Las normas corporativas vinculantes, a las que ya se podía recurrir en virtud de la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, fueron creadas y se fueron desarrollando a lo largo de los años, en el seno del GT29.

Se trata, por tanto, de una solución contractual que vincula jurídicamente a las partes de una transferencia internacional de datos. Y que sirve para ofrecer garantías suficientes cuando dicha transferencia es a un tercer país sin nivel adecuado.

Definición en el RGPD

El artículo 4.20) del RGPD define las normas corporativas vinculantes como las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias de datos personales a un responsable o encargado en uno o más países terceros. Dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

Es decir, se trata de un instrumento alternativo destinado a ofrecer garantías suficientes para poder realizar transferencias internacionales de datos a terceros países sin nivel adecuado en protección de datos.

Y es un instrumento jurídicamente vinculante entre un responsable o encargado del tratamiento establecido en la UE y un responsable o encargado del tratamiento establecido fuera de la UE. Siempre que se trate de un mismo grupo empresaria o una unión de empresas dedicas a una actividad económica conjunta.

Diferencia entre la Directiva 95/46/CE y el RGPD

El RGPD impulsa de manera decidida la posibilidad de recurrir a las normas corporativas vinculantes para ofrecer garantías adecuadas en la transferencia internacional de datos a terceros países u organizaciones internacionales sin nivel adecuado. Pero una de las principales diferencias sobre las normas corporativas vinculantes se refiere a su ámbito de aplicación.

En el marco de la Directiva 95/46/CE las normas corporativas vinculantes se limitaban a los acuerdos entre entidades pertenecientes a un mismo grupo de empresas. Mientras que con el RGPD pueden ser invocadas por uniones de empresas dedicadas a una actividad económica conjunta. Sin que estas tengan que pertenecer necesariamente al mismo grupo empresarial.

También cabe destacar que el RGPD ha querido simplificar los trámites burocráticos al suprimir las obligaciones generales de notificación previa a las autoridades de protección de datos y autorización por estas de las transferencias a terceros países basadas en normas corporativas vinculantes.

De esta manera se trata de conseguir una importante simplificación del sistema de la UE en materia de trasferencias internacionales de datos.

Y la otra de las principales novedades es el desarrollo e incorporación expresa de las normas corporativas vinculantes en el articulado del RGPD.

Normas corporativas vinculantes como garantías adecuadas

La norma general en materia de transferencias internacionales de datos a un tercer país u organización internacional es que solo podrán llevarse a cabo cuando se den garantías adecuadas en relación con el tratamiento de los datos personales.

Es decir, cuando los datos personales salen fuera del territorio de aplicación del RGPD, hacia un tercer país u organización internacional, que no tiene un nivel equivalente al de la Unión Europea en materia de protección de datos.

En concreto, las normas corporativas vinculantes se incluyen en el RGPD como una de las garantías adecuadas para poder llevar a cabo una transferencia internacional. Sin que sea necesaria una autorización expresa de una autoridad de protección de datos a tal fin.

Es decir, no se requiere autorización para la transferencia internacional de datos basada en normas corporativas vinculantes, que sí habrán tenido que ser aprobadas por una autoridad de protección de datos personales.

Como instrumento para ofrecer garantías adecuadas en el caso de transferencias internacionales de datos, el RGPD codifica y formaliza su función como instrumento de transferencia. Esto supone que, junto a otros instrumentos como las cláusulas contractuales tipo, el RGPD formaliza y amplía la posibilidad de recurrir a estos instrumentos ya existentes.

Contenido

Respecto al contenido mínimo que tienen que incluir las normas corporativas vinculantes, el RGPD indica que especificarán, como mínimo:

  • Estructura y datos de contacto del grupo de empresas o unión de empresas
  • Identificación y descripción de las transferencias o conjuntos de transferencias
  • Carácter jurídicamente vinculante de las normas corporativas vinculantes
  • Aplicación de los principios de protección de datos:
    • limitación de la finalidad,
    • minimización de los datos,
    • periodos de conservación limitados,
    • calidad de los datos,
    • protección de los datos desde el diseño y por defecto,
    • base del tratamiento,
    • tratamiento de categorías especiales de datos personales,
    • medidas encaminadas a garantizar la seguridad de los datos
  • Derechos de los interesados en relación con el tratamiento y los medios para ejercerlos
  • Responsabilidad del responsable o encargado del tratamiento establecido en la UE en caso de incumplimiento
  • Información a los interesados sobre las normas corporativas vinculantes
  • Funciones del delegado de protección de datos
  • Procedimientos de reclamación por los interesados
  • Mecanismos para garantizar la verificación del cumplimiento
  • Procedimientos para comunicar y registrar modificaciones y comunicarlas a la autoridad de protección de datos
  • Mecanismo de cooperación con la autoridad de protección de datos
  • Sistemas para informar a la autoridad de protección de datos de requisitos aplicables en terceros países
  • Formación en protección de datos

Procedimiento de aprobación

Para poder recurrir a las normas corporativas vinculantes como instrumento para la transferencia internacional de datos es necesario que hayan sido aprobadas por una autoridad de protección de datos. Esta deberá ser la competente en cada caso, según donde se encuentre establecido el responsable o el encargado del tratamiento.

La aprobación de la una norma corporativa vinculante depende, fundamentalmente, de que la misma:

  • sea jurídicamente vinculante para quienes participan en cada caso en la transferencia internacional de datos que pretende llevarse a cabo,
  • confiera a los interesados los derechos previstos en el RGPD, y
  • cumpla con los requisitos mínimos a los que ya se ha hecho referencia.

Cuando las normas corporativas vinculantes sean aprobadas por la Agencia Española de Protección de Datos o por las autoridades autonómicas de protección de datos, el procedimiento se iniciará a instancia de una entidad que esté establecida en España. Ello determinará la competencia de la autoridad de protección de datos, ya sea la estatal o la autonómica según sea competente en cada caso, siendo la duración máxima del procedimiento de nueve meses.

No obstante, este plazo quedará suspendido cuando el expediente para su aprobación sea remitido al Comité Europeo de Protección de Datos con la finalidad de que emita su dictamen.

El plazo de nueve meses continuará una vez que el dictamen sea notificado, según corresponda, a la AEPD o a la autoridad de protección de datos competente.

Finalidad

Lo que se pretende con la aprobación de normas corporativas vinculantes es:

  • Asegurar el cumplimiento normativo en toda la estructura empresarial.
  • Armonizar prácticas y procedimientos en materia de protección de datos en toda la estructura organizativa. Aplicando un mismo estándar de cumplimiento normativo en el ámbito de privacidad para todo el grupo, con independencia de su ubicación territorial.
  • Evitar multiplicidad de soportes contractuales aplicables a cada transferencia internacional de datos personales dentro de la estructura empresarial.
  • Eliminar trámites burocráticos repetitivos para cada transferencia internacional dentro del grupo con destino a terceros ubicados fuera de la UE.
  • Protección de datos personales efectiva, integrada en la gestión integral de la actividad de la empresa.
  • Homogeneizar y dar una solución única a una multiplicidad de tratamientos de información.
  • Mejora de la imagen corporativa de la empresa e incremento del valor de sus políticas de buen gobierno corporativo

Esto es lo más importante sobre las normas corporativas vinculantes.

¿Tienes alguna duda? Si es así, espero que me lo comentes y te ayudaré en lo que necesites.

Las Normas Corporativas Vinculantes y el RGPD
4.7 (94.29%) 7 votos