La normativa relativa a la protección de datos establece que únicamente se podrán realizar transferencias de datos fuera del Espacio Económico Europeo si el Responsable o Encargado del tratamiento cumplen con las condiciones establecidas en el capitulo V del Reglamento General de Protección de Datos – Relativo a transferencias internacionales de datos. Las disposiciones se aplican con el fin de asegurar un nivel de protección de los interesados adecuado, garantizando que no se menoscaba la normativa fuera del EEE (artículo 44 RGPD). El capitulo V del RGPD señala distintas garantías que los responsables y encargados deberán tomar en consideración para habilitar una transferencia internacional de datos fuera del EEE. Entre ellas encontramos:

  • Transferencias basadas en una decisión de adecuación de la Comisión Europea.
  • Cláusulas tipo
  • Mecanismos de certificación
  • Adhesión al Privacy Shield EU-US
  • Normas corporativas vinculantes/BCR, objeto de este artículo.

Las Normas corporativas vinculantes/BCR, atendiendo lo indicado en el apartado 20 del artículo 4 RGPD, son las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

Régimen jurídico

La normativa señala, en su artículo 47.1 que la autoridad de control competente – la AEPD- aprobará normas corporativas vinculantes/BCR siempre que estas:

  • sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados;
  • confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales,
  • Contar con los siguientes elementos
  1.  

a) la estructura y los datos de contacto del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta y de cada uno de sus miembros;

b) las transferencias o conjuntos de transferencias de datos, incluidas las categorías de datos personales, el tipo de tratamientos y sus fines, el tipo de interesados afectados y el nombre del tercer o los terceros países en cuestión

c) su carácter jurídicamente vinculante, tanto a nivel interno como externo

d) la aplicación de los principios generales en materia de protección de datos, en particular la limitación de la finalidad, la minimización de los datos, los periodos de conservación limitados, la calidad de los datos, la protección de los datos desde el diseño y por defecto, la base del tratamiento, el tratamiento de categorías especiales de datos personales, las medidas encaminadas a garantizar la seguridad de los datos y los requisitos con respecto a las transferencias ulteriores a organismos no vinculados por las normas corporativas vinculantes/BCR

e) los derechos de los interesados en relación con el tratamiento y los medios para ejercerlos, en particular el derecho a no ser objeto de decisiones basadas exclusivamente en un tratamiento automatizado, incluida la elaboración de perfiles de conformidad con lo dispuesto en el artículo 22, el derecho a presentar una reclamación ante la autoridad de control competente y ante los tribunales competentes de los Estados miembros de conformidad con el artículo 79, y el derecho a obtener una reparación, y, cuando proceda, una indemnización por violación de las normas corporativas vinculantes/BCR

f) la aceptación por parte del responsable o del encargado del tratamiento establecidos en el territorio de un Estado miembro de la responsabilidad por cualquier violación de las normas corporativas vinculantes por parte de cualquier miembro de que se trate no establecido en la Unión; el responsable o el encargado solo será exonerado, total o parcialmente, de dicha responsabilidad si demuestra que el acto que originó los daños y perjuicios no es imputable a dicho miembro

g) la forma en que se facilita a los interesados la información sobre las normas corporativas vinculantes/BCR, en particular en lo que respecta a las disposiciones contempladas en las letras d), e) y f) del presente apartado, además de los artículos 13 y 14;

h) las funciones de todo delegado de protección de datos designado de conformidad con el artículo 37, o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes/BCR dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitación de las reclamaciones

i) los procedimientos de reclamación

j) los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes/BCR. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. Los resultados de dicha verificación deberían comunicarse a la persona o entidad a que se refiere la letra h) y al consejo de administración de la empresa que controla un grupo empresarial, o de la unión de empresas dedicadas a una actividad económica conjunta, y ponerse a disposición de la autoridad de control competente que lo solicite

k) los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las normas y para notificar esas modificaciones a la autoridad de control

l) el mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento por parte de cualquier miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, en particular poniendo a disposición de la autoridad de control los resultados de las verificaciones de las medidas contempladas en la letra j)

m) los mecanismos para informar a la autoridad de control competente de cualquier requisito jurídico de aplicación en un país tercero a un miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, que probablemente tengan un efecto adverso sobre las garantías establecidas en las normas corporativas vinculantes/BCR

n) la formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales.

⛔️ ¿Todavía NO sabes como afecta el «cumplimiento normativo legal» a tu empresa?

✔️ Si aún dudas, ¡estás en el sitio correcto! El «Grupo Adaptalia» te resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía. Somos especialistas en PROTECCIÓN DE DATOS | LSSI | COMPLIANCE PENAL | LPBC-F
✔️ Nuestra «Consultoría en Protección de Datos» es la solución perfecta para que nada te inquiete. Nuestras herramientas y servicios se adaptan completamente a tus necesidades.

Rol de la Comisión Europea

El apartado 3 del artículo 47 señala que «La Comisión podrá especificar el formato y los procedimientos para el intercambio de información entre los responsables, los encargados y las autoridades de control en relación con las normas corporativas vinculantes/BCR a tenor de lo dispuesto en el presente artículo».

▸Estimado lector, ¡¡gracias por su tiempo!!

Si te gustó este contenido quizás te interese…

Consentimiento en la contratación electrónica
Consentimiento en la contratación electrónica
5 aspectos fundamentales en Compliance en tiempo de crisis
5 aspectos fundamentales en Compliance en tiempo de crisis
Brexit y protección de datos
Brexit y protección de datos