BCR o Normas Corporativas Vinculantes en materia de protección de datos en el RGPD y en la LOPDGDD

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 11/02/2019

Las Normas Corporativas Vinculantes, o BCR, se encuentran reguladas en el artículo 47 del RGPD.

Las normas corporativas vinculantes (o BCR por sus siglas en inglés -Binding Corporate Rules-) son, según establece el artículo 4 apartado 20) del RGPD, “las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”. Es decir, son documentos jurídicamente vinculantes dentro de un grupo de empresas o unión de empresas, con la finalidad de ofrecer garantías suficientes cuando los datos personales van a ser transferidos internacionalmente a uno o a varios responsables o encargados que estén en un país que no ofrezca un nivel adecuado de protección.

Los grupos empresariales son aquellos“ constituidos por una empresa que ejerce el control y sus empresas controladas”. El RGPD indicada en su considerantod que "todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta, siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias o categorías de transferencias de datos de carácter personal". Téngase en cuenta que el RGPD contempla por tanto que pueden "ser invocadas por uniones de empresas dedicadas a una actividad económica conjunta", sin que estas tengan que pertenecer necesariamente al mismo grupo empresarial.

La autoridad de control competente aprobará normas corporativas vinculantes de conformidad con el mecanismo de coherencia establecido en el artículo 63 del RGPD, siempre que estas:

a) sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados;

b) confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales, y

c) cumplan los requisitos establecidos en el apartado 2 del artículo 47 del RGPD.

A su vez el GT29 ha publicado un  documento de trabajo sobre el procedimiento de aprobación de las normas corporativas vinculantes.

Las normas corporativas vinculantes especificarán, como mínimo, los siguientes elementos (véase el art. 47.2):

a) la estructura y los datos de contacto del grupo empresarial o de la unión de empresas ;

b) identificación y descripción de las transferencias o conjuntos de transferencias de datos;

c) su carácter jurídicamente vinculante, tanto a nivel interno como externo;

d) la aplicación de los principios generales en materia de protección de datos;

e) los derechos de los interesados en relación con el tratamiento y los medios para ejercerlos, el derecho a presentar una reclamación ante la autoridad de control competente y ante los tribunales competentes de los Estados miembros, y el derecho a obtener una reparación, y, cuando proceda, una indemnización por violación de las normas corporativas vinculantes;

f) la responsabilidad del responsable o del encargado del tratamiento establecido en el territorio de un Estado miembro en caso de incumplimiento;

g) la forma en que se facilita a los interesados la información sobre las normas corporativas vinculantes;

h) las funciones de todo delegado de protección de datos o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de la unión de empresas;

i) los procedimientos de reclamación;

j) los mecanismos establecidos para garantizar la verificación del cumplimiento de las normas corporativas vinculantes;

k) los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las normas y para notificar esas modificaciones a la autoridad de control;

l) el mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento;

m) los mecanismos para informar a la autoridad de control competente de cualquier requisito jurídico de aplicación en un país tercero a un miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, que probablemente tengan un efecto adverso sobre las garantías establecidas en las normas corporativas vinculantes, y

n) la formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales.

 

Además el Grupo de Trabajo del artículo 29 (GT29) publicó dos documentos de trabajo sobre las normas corporativas vinculantas: uno para responsables y otro para encargados del tratamiento, que incluyen los requisitos que deberán contener.

 

La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos podrán aprobar normas corporativas vinculantes (artículo 41.2 LOPDGDD), de acuerdo con la previsión indicada en el artículo 57.1.s) del Reglamento. Asimismo, dispondrán de todos los poderes de autorización y consultivos para su aprobación. El procedimiento se iniciará a instancia de una entidad situada en España y tendrá una duración máxima de nueve meses. Quedará suspendido como consecuencia de la remisión del expediente al Comité Europeo de Protección de Datos para que emita el dictamen (conforme a lo indicado en el art. 64 RGPD), y continuará tras su notificación a la Agencia Española de Protección de Datos o a la autoridad autonómica de protección de datos competente.

El Comité Europeo asesorá a la Comisión sobre el formato y los procedimientos para intercambiar información entre los responsables, los encargados y las autoridades de control en relación con las normas corporativas vinculantes, y emitirá directrices, recomendaciones y buenas prácticas con el fin de especificar en mayor medida los criterios y requisitos para las transferencias de datos personales basadas en normas corporativas vinculantes a las que se hayan adherido los responsables del tratamiento y en normas corporativas vinculantes a las que se hayan adherido los encargados del tratamiento y en requisitos adicionales necesarios para garantizar la protección de los datos personales de los interesados (art. 70.1 letra c) y letra i) del RGPD).

No hay versiones para este comentario

Normas corporativas vinculantes
Normas corporativas vinculantes
Agrupaciones de empresas
Uniones de empresas
Datos personales
Actividades económicas
Protección de datos
Transferencia de datos personales
Autoridad de control de datos
Encargado del tratamiento
Grupo de sociedades
Mecanismo de coherencia
Delegado de protección
Responsable del tratamiento
Comité europeo de protección de datos
Buenas prácticas
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados