Última revisión
datos
790 - ¿Cómo se definen y regulan las normas corporativas vinculantes o BCR en relación al tratamiento de datos personales?
Relacionados:
Vademecum: datos
Fecha última revisión: 07/10/2024
El RGPD contempla la figura de las normas corporativas vinculantes (BCR) para transferencias internacionales de datos entre entidades situadas en un Estado miembro.
La AEPD es la autoridad competente para aprobar estas normas.
Artículo 4, apartado 20), del RGPD
«(...) "normas corporativas vinculantes": las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta».
La AEPD define las normas corporativas vinculantes (o en inglés Binding Corporate Rules, BCR), de igual manera que el RGPD, como: «las políticas de protección de datos asumidas por un responsable o encargado del tratamiento establecido en un Estado miembro para realizar transferencias internacionales de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta».
Esta definición hace referencia a un grupo empresarial o unión de empresas y estos se constituyen por una empresa que ejerce el control y otras empresas que son controladas (considerando 110 del RGPD).
El artículo 47 del RGPD establece que la autoridad de control competente aprobará las BCR de conformidad con el mecanismo de coherencia establecido en el artículo 63 del RGPD, esto es, las autoridades deben cooperar entre sí y con la Comisión cuando fuere el caso siempre con el objetivo de una aplicación coherente del RGPD. Esta competencia se refuerza con su reconocimiento en el artículo 57, apartado 1, letra s) del RGPD, que declara que incumbe a cada autoridad de control en su territorio aprobar este tipo de normas vinculantes, disponiendo de todos los poderes de autorización y consultivos para tal función [artículo 58, apartado 3, letra j), del RGPD].
A mayor abundamiento, el artículo 41 de la LOPDGDD reconoce lo anterior y contempla que la AEPD y las autoridades autonómicas de protección de datos podrán aprobar las BCR.
Así, las BCR se pueden aprobar siempre que:
- Sean jurídicamente vinculantes, y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados.
- Confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales.
- Cumplan los siguientes requisitos. Es decir, las BCR deben especificar:
- La estructura y los datos de contacto del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta y de cada uno de sus miembros.
- Las transferencias o conjuntos de transferencias de datos, incluidas las categorías de datos personales, el tipo de tratamientos y sus fines, el tipo de interesados afectados y el nombre del tercer o los terceros países en cuestión.
- Su carácter jurídicamente vinculante, tanto a nivel interno como externo.
- La aplicación de los principios generales en materia de protección de datos: la limitación de la finalidad, la minimización de los datos, los periodos de conservación limitados, la calidad de los datos, la protección de los datos desde el diseño y por defecto, la base del tratamiento, el tratamiento de categorías especiales de datos personales, las medidas encaminadas a garantizar la seguridad de los datos y los requisitos con respecto a las transferencias ulteriores a organismos no vinculados por las normas corporativas vinculantes.
- Los derechos de los interesados en relación con el tratamiento y los medios para ejercerlos. En particular, el derecho a no ser objeto de decisiones basadas exclusivamente en un tratamiento automatizado, incluida la elaboración de perfiles de conformidad con lo dispuesto en el artículo 22 del RGPD, el derecho a presentar una reclamación ante la autoridad de control competente y ante los tribunales competentes de los Estados miembros de conformidad con el artículo 79 del RGPD, y el derecho a obtener una reparación y, cuando proceda, una indemnización por violación de las normas corporativas vinculantes.
- La aceptación por parte del responsable o del encargado del tratamiento establecidos en el territorio de un Estado miembro de la responsabilidad por cualquier violación de las normas corporativas vinculantes por parte de cualquier miembro no establecido en la Unión. El responsable o el encargado solo será exonerado, total o parcialmente, de dicha responsabilidad si demuestra que el acto que originó los daños y perjuicios no es imputable a dicho miembro.
- La forma en que se facilita a los interesados la información sobre las normas corporativas vinculantes, en particular, en lo que respecta a las disposiciones referentes a la aplicación de principios generales en materia de protección de datos, los derechos de los interesados en relación con el tratamiento y los medios para ejercerlos o la aceptación de la responsabilidad por el responsable o encargado del tratamiento por cualquier violación de las normas corporativas, así como en lo relativo al derecho de información del interesado en la obtención de datos personales (de los artículos 13 y 14 del RGPD).
- Las funciones de todo delegado de protección de datos designado de conformidad con el artículo 37 del RGPD, o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitación de las reclamaciones.
- Los procedimientos de reclamación.
- Los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. Los resultados de dicha verificación deberían comunicarse a la persona o entidad encargada de la supervisión del cumplimiento de las BCR y al consejo de administración de la empresa que controla un grupo empresarial, o de la unión de empresas dedicadas a una actividad económica conjunta, y ponerse a disposición de la autoridad de control competente que lo solicite.
- Los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las normas y para notificar esas modificaciones a la autoridad de control.
- El mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento por parte de cualquier miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, en particular poniendo a disposición de la autoridad de control los resultados de las verificaciones de las medidas de auditoría y otras para garantizar acciones correctivas para proteger los derechos del interesado.
- Los mecanismos para informar a la autoridad de control competente de cualquier requisito jurídico de aplicación en un país tercero a un miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, que probablemente tengan un efecto adverso sobre las garantías establecidas en las normas corporativas vinculantes.
- La formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales.
Asimismo, en este tipo de transferencias, se hayan obtenido o no los datos personales del propio interesado, el responsable del tratamiento debe informar al interesado de la intención de transferir estos datos personales a un tercer país u organización territorial y la existencia o ausencia de una decisión de adecuación de la Comisión, así como hacer referencia a las garantías adecuadas o apropiadas y los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición [como indican los artículos 13.1 f) y 14.1 f) del RGPD]. El plazo máximo para ello será, a más tardar, en el momento en que los datos personales sean comunicados por primera vez.
Es importante recalcar respecto a las transferencias basadas en una decisión de adecuación (que recoge el artículo 45 del RGPD), que podrán ser derogadas, modificadas o suspendidas mediante actos de ejecución por la Comisión, «sin perjuicio de las transferencias de datos personales al tercer país, a un territorio o uno o varios sectores específicos de ese tercer país, o a la organización internacional de que se trate en virtud de los artículos 46 a 49» (art. 45.7 del RGPD).
Las BCR también podrán servir como medio para aportar las garantías adecuadas para transferir datos personales sin ninguna autorización expresa de una autoridad de control, como indica el artículo 46, apartado 2 b), del RGPD.
En la aprobación de las BCR, el artículo 64, apartado 1, del RGPD establece que la autoridad de control competente debe comunicar el proyecto de decisión al Comité y este emitirá un dictamen sobre ello. El Comité también será el encargado de emitir directrices, recomendaciones y buenas prácticas para el respeto al RGPD, para especificar los requisitos en este tipo de transferencia de datos personales [art. 70.1. i) del RGPD]. En ese sentido, el artículo 47 del RGPD, en su último apartado, determina que la Comisión podrá especificar el formato y los procedimientos para el intercambio de información entre los responsables, los encargados y las autoridades de control en relación con las normas corporativas vinculantes. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2, del RGPD.
Acudiendo al artículo 41, apartado 2, de la LOPDGDD, debemos saber que el procedimiento:
- Se inicia a instancia de una entidad situada en España.
- Tiene una duración máxima de 9 meses.
- Queda suspendido como consecuencia de la remisión del expediente al Comité para que emita dictamen (del artículo 64 del RGPD) y continuará tras su notificación a la AEPD o a la autoridad autonómica de protección de datos competente.
Podemos citar las siguientes normas corporativas vinculantes aprobadas por la AEPD:
- Resolución de Autorización GRUPO FUJIKURA AUTOMOTIVE EUROPE (11/03/20).
- Resolución de Autorización GRUPO IBERDROLA (15/12/20).
- Resolución de Aprobación BCR-RESPONSABLE GRUPO KUMON (26/02/21).
- Resolución de Aprobación BCR-ENCARGADO GRUPO KUMON (26/02/21).