Skip to content

Transferencias internacionales de datos bajo BCR

Cuando nos encontramos ante un grupo multinacional de empresas que va a realizar transferencias de datos internacionales entre ellas, una de las soluciones más adecuadas es la adopción de Normas Corporativas Vinculantes (Binding Corporates Rules – BCR). Esta posibilidad se reconoce por primera vez en la normativa europea en el Reglamento General de Protección de Datos (RGPD). A partir de su entrada en vigor deberemos tener en cuenta todas las obligaciones que impone para la adopción de estas BCR.

Transferencia internacional datos.jpg

Estas normas son un instrumento de autorregulación y “hechas a medida” para cada grupo. Su carácter obligatorio puede derivar de una relación contractual, una declaración unilateral o políticas de grupo incluyendo estas reglas.

Estas normas deben proporcionar garantías adecuadas para el tratamiento de datos de carácter personal, además del cumplimento de los requisitos exigidos en el RGPD y normas estatales que pudieran ser aplicables. Las BCR son vinculantes para todas las empresas del grupo y exigibles por la autoridad de protección de datos competente (DPA) o por los afectados.

La aprobación de las BCR se realizará por la DPA (considerada líder), quién observará si las BCR cumplen los requisitos del RGPD. Cuando estas deseen cubrir transferencias desde varios Estados Miembros, se aplicará el mecanismo de consistencia para evitar que cada DPA se pronuncie por separado. A destacar que siguen siendo válidas las BCR aprobadas bajo la directiva, mientras no se declare lo contrario.

La solución de aprobación de BCR se presenta como la más adecuada cuándo las transferencias se realizan a países que no forman parte de la Unión Europea. Estas normas podrán ser para responsables, transfieriendo datos a empresas del grupo establecidas fuera del la UE, pudiendo todas la empresas del grupo actuar como encargados de tratamiento. Pero también para empresas de un mismo grupo que tratan los datos como encargados de tratamiento. Establecerán estándares de protección de datos y garantizaran el cumplimiento de estos mediante la adopción de procedimientos, cumpliendo siempre con todos los requisitos expuestos en el RGPD.

Serán requisitos exigibles del contendido de unas BCR:

  • La estructura y datos del grupo empresarial
  • Los flujos de la información, las finalidades específicas y datos sujetos expuestos de manera detallada
  • Los principios y derechos de protección de datos: la limitación de la finalidad, minimización de los datos, periodos de conservación, calidad de los datos, protección desde el diseño y por defecto, base del tratamiento, categorías especiales de datos, la seguridad y la confidencialidad de los datos
  • Únicamente legitima las transferencias internacionales entre empresas del grupo
  • Derechos de los afectados: no elaboración de perfiles o decisiones automatizadas, facultad de ejercicio de los derechos ARCO, reclamación ante autoridad competente y derecho a la obtención de indemnización
  • Funciones del DPO
  • Procedimiento de actualización y comunicación de modificaciones
  • Constancia del carácter jurídicamente vinculante, tanto a nivel interno como externo. Internamente, mediante el establecimiento de mecanismos de control, obligaciones y procedimientos para el cumplimiento:
    • Publicidad, transparencia de las BCR, formación, comunicación entre responsables de diferentes empresas, procedimientos de reclamaciones, sanciones y auditorias (cómo mecanismos de verificación del cumplimiento).
  • Externamente:
    • Jurisdicción de autoridades de protección de datos, y tribunales del estado exportador, así como la sede del grupo en UE
    • Responsable de la carga de la prueba
    • Los exportadores situados en UE aceptan la responsabilidad en nombre de todo el grupo, incluyendo empresas situadas fuera de la UE.
    • Procedimientos de cooperación con autoridades competentes

Para las BCR de un grupo de empresas que actúe como encargado de tratamiento, estando el responsable fuera del grupo:

  • Seguirá siendo exigible el contrato de encargado de tratamiento entre partes con las mismas garantías
  • El responsable deberá autorizar o notificar las transferencias en base a las BCR el encargado de tratamiento
  • Se asistirá al responsable en lo que requiera respecto a las BCR
  • Las reclamaciones de afectados se trasladarán a los responsables, sólo tramitándose en caso de acuerdo o desaparición del responsable
  • Posibilidad de realización de auditoría por el responsable

Las BCR deberán ser adoptadas según expone el RGPD, siguiendo el mecanismo de coherencia, nuevo procedimiento incluido en esta norma. En la práctica y de manera breve, unas BCR podrían ser adoptadas de la siguiente manera:

  • Elaboración inicial con consulta a la DPA y justificación de la elección de dicha DPA (líder)
  • Revisión de las BCR tras las observaciones de la DPA (líder) y aquellas otras que hubieran podido participar, según el mecanismo de coherencia
  • Aceptación por parte de todas las DPA y comunicación al Comité Europeo de Protección de Datos quién deberá emitir un dictamen

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s