USO DE COOKIES

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración, en nuestra Política de cookies

Cargando. Por favor, espere

Normas Corporativas Vinculantes (BCRs...

Normas Corporativas Vinculantes (BCRs): comentarios a los nuevos documentos de trabajo del GT29

Miguel RECIO GAYO

Doctorando y Máster en Protección de Datos, Transparencia y Acceso a la Información por la Universidad San Pablo-CEU

Diario La Ley, Nº 1, Sección Ciberderecho, 12 de Diciembre de 2017, Editorial Wolters Kluwer

LA LEY 18259/2017

Comentarios
Resumen

Las BCRs fueron creadas por el Grupo de Trabajo del artículo 29 como instrumento para proporcionar garantías adecuadas en las transferencias internacionales de datos. Su inclusión en el RGPD ha reforzado su posición clave en esta materia. El GT29 ha actualizado dos de sus documentos esenciales sobre estas normas corporativas vinculantes (BCRs) para responsables y encargados del tratamiento, estableciendo criterios que deberán ser tenidos en cuenta para la actualización al RGPD o la adopción de nuevas BCRs.

I. Introducción

Las normas corporativas vinculantes (Binding Corporate Rules, BCRs), como instrumento que permite a las organizaciones ofrecer garantías adecuadas en el caso de transferencias internacionales de datos, han adquirido una progresiva y notoria importancia.

Lo anterior queda constatado por su inclusión, ampliando su contenido y extendiendo su uso a uniones de empresas de empresas dedicadas a una actividad económica conjunta, en el Reglamento (UE) 2016/679 (LA LEY 6812/2007) (LA LEY 6637/2016) (1) (en adelante también RGPD).

Es necesario tener en consideración que las normas corporativas vinculantes suponen una novedad en el articulado del RGPD, pero que a fecha de hoy se cuenta ya con una amplia experiencia en su uso por empresas (2) y en su aprobación por las autoridades de supervisión o de control de la mayoría de los Estados miembros de la Unión Europea.

En particular, la aplicación del RGPD a partir del próximo 25 de mayo de 2018 implica que el Grupo de trabajo del art. 29 (en adelante GT29) tenga que actualizar también sus documentos de trabajo en la materia para adecuar su contenido a aquél, introduciendo importantes novedades por lo que se refiere a los elementos y principios que deben incluir dichas normas corporativas vinculantes.

Esta necesidad de actualización es la que ha llevado ahora al GT29 a publicar dos documentos, uno relativo a las normas corporativas vinculantes para responsables del tratamiento (Binding Corporate Rules for Controllers, BCR-C) y otro sobre normas corporativas vinculantes para encargados del tratamiento (Binding Corporate Rules for Processors, BCR-P), presentándolos para una consulta pública de los mismos hasta el próximo 17 de enero de 2018 (3) . Dicha consulta pública dará lugar a adoptar versiones actualizadas de dichos documentos, debiendo tener en consideración que quedan sujetos a futuros cambios si así fuera necesario.

II. Origen, documentos del GT29 y concepto de las normas corporativas vinculantes

Las normas corporativas vinculantes fueron creadas en el seno del GT29 a través de la adopción, el 3 de junio de 2003, de su documento de trabajo WP 74, «Transferencias de datos personales a terceros países: Aplicación del apartado 2 del art. 26 de la Directiva de la UE relativa a la protección de datos a las normas corporativas vinculantes para transferencias internacionales de datos» (4) .

En concreto, las normas corporativas vinculantes fueron concebidas como un instrumento jurídico adecuado para facilitar las transferencias internacionales sobre la base del art. 26.2 de la Directiva 95/46/CE (LA LEY 5793/1995) (LA LEY 5793/1995) (5) a efectos de que el responsable del tratamiento pudiera ofrecer garantías suficientes para obtener la correspondiente autorización.

El contenido, los elementos y principios, de las normas corporativas vinculantes se desarrolló, por tanto, conforme a la Directiva 95/46/CE (LA LEY 5793/1995) (LA LEY 5793/1995), al mismo tiempo que se creaba también el procedimiento necesario para su aprobación por la autoridad líder y que consiste en cinco pasos básicos:

  • 1) Designar a la autoridad líder, pudiendo considerar también las directrices publicadas al respecto por el GT29 (6) ;
  • 2) Presentar el borrador de solicitud, siempre que se cumplan los requisitos aplicables conforme a los documentos publicados por el GT29, a la autoridad líder para sus comentarios;
  • 3) La autoridad líder, junto con las autoridades relevantes donde se encuentren las empresas del grupo, inicia el procedimiento de cooperación;
  • 4) Conclusión del procedimiento de cooperación, tanto para autoridades de supervisión en países que participan en el mecanismo de reconocimiento mutuo como en otros países, si consideran que las normas corporativas vinculantes cumplen con los requisitos (un mes), y
  • 5) Una vez que las normas corporativas vinculantes han sido consideradas como finales por todas las autoridades de supervisión, la organización puede solicitar la autorización para la transferencia internacional de datos por cada autoridad de control sobre la base de las que han sido adoptadas.

En cuanto a los elementos y principios, es necesario considerar que el GT29 ha publicado diversos documentos, incluyendo en su caso la referencia las versiones actualizadas, que tienen por objeto los siguientes aspectos:

Cuestión Título del documento WP Fecha
Definición y contenido sustancial de las normas corporativas vinculantes Documento de trabajo «Transferencias de datos personales a terceros países: Aplicación del apartado 2 del art. 26 de la Directiva de la UE relativa a la protección de datos a las normas corporativas vinculantes para transferencias internacionales de datos». WP7 4 3/6/2003
Recomendación 1/2007 sobre la Solicitud Estándar para la Aprobación de Normas Corporativas Vinculantes para la Transferencia de Datos Personales (7) WP 133 10/1/2007
Documento de trabajo que establece un marco para la estructura de las normas corporativas vinculantes (8) WP 154 24/6/2008
Normas corporativas vinculantes para responsables del tratamiento (BCR-C) Documento de trabajo que establece una tabla con los elementos y principios a incluir en las normas corporativas vinculantes (actualizado) (9) WP 256 29/11/2017
Documento de trabajo que establece una tabla con los elementos y principios a incluir en las normas corporativas vinculantes (10) WP 153 24/6/2008
Normas corporativas vinculantes para encargados del tratamiento (BCR-P) Documento de trabajo que establece una tabla con los elementos y principios a incluir en las normas corporativas vinculantes para encargados del tratamiento (actualizado) (11) WP 257 29/11/2017
Documento explicativo sobre las normas corporativas vinculantes para encargados del tratamiento (12) WP 204 rev.01 19/4/2013 y revisado 22/5/2015
Documento de trabajo 02/2012 que establece una tabla con los elementos y principios a incluir en las normas corporativas vinculantes para encargados del tratamiento (13) WP 195 6/6/2012
Designación de la autoridad líder Directrices para determinar la autoridad de control principal de un responsable o encargado del tratamiento. WP 244 rev.01 13/12/2016 y revisado 5/4/2017
Procedimiento de cooperación entre autoridades de supervisión Documento de trabajo por el que se establece un procedimiento de cooperación para la emisión de dictámenes comunes sobre las garantías adecuadas que resultan de las reglas corporativas vinculantes (14) WP 107 14/4/2005
Presentación de solicitudes para aprobación Recomendación 1/2012 sobre el formulario de aplicación estándar para la aprobación de las normas corporativas vinculantes para la transferencia de datos personales para actividades de tratamiento (15) WP 195a 17/9/2012
Documento de trabajo por el que establece una lista de comprobación («checklist») modelo para la solicitud de aprobación de las normas corporativas vinculantes (16) WP 108 14/4/2005

Aunque los documentos referenciados aquí son los relevantes en la materia, es necesario tener en consideración que el GT29 ha publicado también otros, tales como el documento de trabajo sobre las preguntas más frecuentes relativas a las normas corporativas vinculantes (17) o el Dictamen 02/2014 sobre un documento de referencia para los requisitos en materia de normas corporativas vinculantes presentadas a las autoridades nacionales de protección de datos en la UE y normas de privacidad transfronterizas remitidas a los agentes de rendición de cuentas de dichas normas de la APEC (18) .

Es decir, a lo largo de más de una década, desde que fuera publicado el documento de trabajo WP 74, el GT29 ha ido elaborando las bases que han dado lugar al articulado en el RGPD sobre las normas corporativas vinculantes.

Y a tenor de la publicación de los documentos objeto de comentario, no cabe duda de que la interpretación y aplicación del Reglamento (UE) 2016/679 (LA LEY 6812/2007) (LA LEY 6637/2016) en la materia seguirá siendo guiada, en la medida en que sea necesario, por el Comité Europeo de Protección de Datos, en el que se integra el GT29. En concreto, entre las funciones del Comité se encuentran las relativas a asesorar a la Comisión Europea «sobre el formato y los procedimientos para intercambiar información entre los responsables, los encargados y las autoridades de control en relación con las normas corporativas vinculantes» [art. 70.1.c)] y, con la finalidad de promover la aplicación coherente del RGPD, emitir directrices, recomendaciones y buenas prácticas «con el fin de especificar en mayor medida los criterios y requisitos para las transferencias de datos personales basadas en normas corporativas vinculantes a las que se hayan adherido los responsables del tratamiento y en normas corporativas vinculantes a las que se hayan adherido los encargados del tratamiento y en requisitos adicionales necesarios para garantizar la protección de los datos personales de los interesados a que se refiere el artículo 47» [art. 70.1.i)].

Además, cuando una autoridad de control competente vaya a aprobar unas normas corporativas vinculantes tendrá que comunicar al Comité su proyecto de decisión para que este último emita su dictamen, en virtud de lo previsto en el art. 64.1.f) del RGPD.

Y durante estos años las autoridades de control o supervisión han adquirido también una amplia experiencia en la materia tanto en la aprobación de normas corporativas vinculantes como en el reconocimiento mutuo en el que participan veintiún países del Espacio Económico Europeo y que son Alemania, Austria, Bélgica, Bulgaria, Chipre, Eslovenia, Eslovaquia, España, Estonia, Francia, Irlanda, Islandia, Italia, Letonia, Liechtenstein, Luxemburgo, Malta, Noruega, Países Bajos, Reino Unido y República Checa.

Dicho reconocimiento mutuo significa, e implica, que cuando unas normas corporativas vinculantes han sido aprobadas por la autoridad líder, el resto de autoridades de supervisión participantes en el procedimiento de reconocimiento mutuo considerarán que cumplen con los requisitos necesarios sin necesidad de volver a analizarlas.

Centrando la atención en cuáles son los requisitos esenciales que deben incluir las normas corporativas vinculantes, son los siguientes:

  • Principios de la protección de datos personales.
  • Herramientas para la efectividad de las normas corporativas vinculantes (auditoría, formación, sistemas de gestión de quejas, etc.).
  • Elementos para probar que son vinculantes.

Por lo que se refiere a su definición, es el Reglamento (UE) 2016/679 (LA LEY 6812/2007) (LA LEY 6637/2016) el que las ha definido formalmente en su art. 4.20 como «las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta».

En relación con esta definición, la clave está en prestar atención al hecho de que son políticas de protección de datos personales, lo que significa que no reemplazan las obligaciones legales en materia de protección de datos a las que estén sujetas las empresas del grupo o de la unión de empresas dedicadas a una actividad económica conjunta. Es decir, dichos sujetos tendrán que cumplir con sus obligaciones legales, que es además una de las condiciones necesarias para poder obtener una autorización de la autoridad de control competente basada en dichas normas corporativas vinculantes, y también con las normas corporativas vinculantes.

III. Las normas corporativas vinculantes en el RGPD

Los dos documentos publicados por el GT29 inciden, respectivamente, en el hecho de que el art. 47 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) se ha desarrollado a partir de los documentos de trabajo que ha adoptado el GT29.

No obstante, se han introducido algunas novedades que deben tenerse en consideración, por una parte, por las empresas que ya cuentan con normas corporativas vinculantes de cara a la actualización de las mismas y, por otra parte, por las autoridades de supervisión. En el caso de las empresas que vayan adoptar ahora normas corporativas vinculantes, deberán tener en consideración estos requisitos ya que serán los exigibles para la aprobación de las mismas.

El citado artículo del RGPD, en su apartado 1, establece tres condiciones para que, en el marco del procedimiento de coherencia al que están sujetas las autoridades de supervisión, puedan aprobarse normas corporativas vinculante y que son las relativas a que: 1) sean jurídicamente vinculantes y se cumplan «por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados» [art. 47.1.a)]; 2) «confieran expresamente a los interesados los derechos exigibles en relación con el tratamiento de sus datos personales» [art. 47.1b)], y 3) cumplan, como mínimo, con los requisitos previstos en el apartado 2 [art. 47.1.c)].

Y el apartado 2 del art. 47 del RGPD se refiere a los requisitos esenciales que, al menos, deberán incluir las normas corporativas vinculantes. Estos requisitos son los que se desarrollan, a su vez, en los correspondientes documentos del GT29 para responsables (BCR-C) y para encargados del tratamiento (BCR-P).

Al margen del papel que ha tenido el GT29 y tendrá el Comité Europeo de Protección de Datos, es necesario atender también al art. 47.3 del RGPD, ya que prevé que, a través de sus actos de ejecución, la Comisión Europea «podrá especificar el formato y los procedimientos para el intercambio de información entre los responsables, los encargados y las autoridades de control en relación con las normas corporativas vinculantes».

En cualquier caso, cabe insistir en que no debe perderse de vista el hecho de que las previsiones sobre las normas corporativas vinculantes Reglamento (UE) 2016/679 (LA LEY 6812/2007) (LA LEY 6637/2016) habrán de aplicarse, en su caso, junto con los documentos de trabajo y otras herramientas que ha elaborado el GT29 y que seguirá manteniendo, actualizando y emitiendo el Comité Europeo de Protección de Datos.

IV. Documentos de trabajo actualizados sobre normas corporativas vinculantes

En concreto, el GT29 adoptó el 29 de noviembre de 2017 una nueva versión de los documentos de trabajo sobre las normas corporativas vinculantes para responsables y encargados del tratamiento, publicándola para consulta pública con la finalidad de recibir comentarios que le sirvan para emitir una versión actualizada.

El primero de estos documentos, el WP 256, es el relativo a las normas corporativas vinculantes para responsables del tratamiento (Binding Corporate Rules for Controllers, BCR-C).

El ámbito de aplicación de dicho documento son las transferencias internacionales de datos por responsables del tratamiento establecidos en la Unión Europea a otros responsables o encargados del tratamiento que: a) están establecidos fuera de la Unión Europea y, b) son parte del mismo grupo.

Es así que dichas normas corporativas vinculantes aplican en los dos casos siguientes: 1) transferencias internacionales de datos entre empresas del mismo grupo que son responsables del tratamiento (responsable-a-responsable), y 2) entre un responsable y encargado del tratamiento («interno») del mismo grupo (responsable-a-encargado).

El segundo documento sobre normas corporativas vinculantes, el WP 257, es para encargados del tratamiento (Binding Corporate Rules for Processors, BCR-P).

Por lo que se refiere al ámbito de aplicación del documento, las normas corporativas vinculantes que se incluyen en el mismo son las que deberán utilizarse para las transferencias internacionales de datos hechas por un responsable del tratamiento establecido en la Unión Europea, que no es miembro del grupo, a una empresa en un tercer país que es parte del grupo que va a tratar los datos personales ya sea como encargado o, en su caso, subencargado del tratamiento.

Al respecto, el GT29 indica también en su documento WP 257 que las obligaciones que se establecen en el mismo son aplicables en relación a los datos personales de terceras partes que son tratados por un miembro del grupo como encargado del tratamiento de acuerdo con las instrucciones recibidas de un responsable del tratamiento que no es parte del grupo.

Ambos documentos, tanto para BCR-C como para BCR-P, siguen la misma estructura y tienen los siguientes objetivos:

  • 1) Actualizar los documentos previamente adoptados a los requisitos del Reglamento (UE) 2016/679 (LA LEY 6637/2016);
  • 2) Clarificar el contenido necesario de las normas corporativas vinculantes conforme al art. 47 del RGPD, ya que fueron adoptados en el marco de la Directiva 95/46/CE (LA LEY 5793/1995);
  • 3) Distinguir el contenido que debe incluirse en las normas corporativas vinculantes y en la solicitud que se presente a la autoridad de supervisión competente;
  • 4) Incluir las referencias correspondientes de los principios a lo exigido por el art. 47 del RGPD, y
  • 5) Proporcionar explicaciones y/o comentarios específicos por cada principio.

En el caso de la actualización de normas corporativas vinculantes, ya sean para responsables o encargados del tratamiento, los documentos de trabajo ahora publicados pueden ser una valiosa, y esperada, guía, dado que uno de los apartados (el apartado 5.1 en ambos casos) del contenido de aquéllas es el relativo a la actualización anual de las mismas, de la que debe informarse a todos los miembros de las normas corporativas vinculantes y a la autoridades de supervisión interesadas o relevantes a través de la autoridad de supervisión competente. Dicha actualización, en cualquier caso, deberá producirse antes del 25 de mayo de 2018.

Ahora bien, aunque a comienzos de 2018 podría publicarse finalmente la versión actualizada, ya que la consulta pública de ambos documentos dura hasta el 17 de enero de 2018, es necesario tener en consideración que la misma sigue quedando sujeta a futuras actualizaciones que pueda llevar a cabo el Comité Europeo de Protección de Datos a partir del 25 de mayo de 2018.

V. Nuevos principios y elementos a considerar en virtud del RGPD

Ambos documentos, BCR-C y BCR-P, incluyen un apartado que tiene por objeto introducir, con carácter general, los nuevos principios y elementos que se requieren en virtud del art. 47 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) para cumplir así con las previsiones de su articulado.

Comparando los documentos, es posible presentar, por una parte, los elementos que son exigibles para todas las normas corporativas vinculantes y, por otra parte, los que son específicos, respectivamente, en el caso de las normas corporativas vinculantes para responsables (BCR-C) y para encargados del tratamiento (BCR-P).

1. Nuevos elementos exigibles a todas las normas corporativas vinculantes

Los nuevos elementos, aplicables tanto a las BCR-C como a las BCR-P, que son exigibles en virtud del art. 47.2 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) son los relativos al ámbito de aplicación, a los principios de la protección de datos, a la responsabilidad (accountability) y al derecho a presentar una reclamación.

Por lo que se refiere al ámbito de aplicación, ambos documentos coinciden en señalar que, conforme al art. 47 del RGPD, las normas corporativas vinculantes tendrán que especificar: a) su «estructura y los datos de contacto del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta y de cada uno de sus miembros» [art. 47.2.a)] y b) su ámbito material, incluyendo entre otros «las transferencias o conjuntos de transferencias de datos, incluidas las categorías de datos personales, el tipo de tratamientos y sus fines, el tipo de interesados afectados y el nombre del tercer o los terceros países en cuestión» [art. 47.2.b)].

En cuanto a los principios de la protección de datos, las normas corporativas vinculantes tienen que explicar, por una parte, los principios de transparencia, lealtad, limitación de la finalidad, calidad de los datos y, por otra parte, también principios tales como los de la minimización de los datos, los periodos de conservación limitados, las garantías para el tratamiento de categorías especiales de datos o los requisitos aplicables a las transferencias ulteriores a organismos no vinculados por las normas corporativas vinculantes [art. 47.2.d)].

La responsabilidad proactiva (accountability) es la exigible al responsable del tratamiento sobre el cumplimiento del Reglamento (UE) 2016/679 (LA LEY 6812/2007) (LA LEY 6637/2016), debiendo ser también capaz de demostrar dicho cumplimiento tal como se indica en el art. 5.2 del mismo.

Y el derecho a presentar una reclamación ante una autoridad de control o supervisión, en los términos previstos en el art. 77 del Reglamento (UE) 2016/679 (LA LEY 6812/2007) (LA LEY 6637/2016) o a la tutela judicial efectiva contra el responsable o el encargado del tratamiento, en virtud de lo dispuesto en el art. 79 del mismo.

Estos elementos comunes, al igual que los específicos, tendrán que incorporarse al contenido de las normas corporativas vinculantes mediante el desarrollo oportuno ya que serán exigibles como parte del procedimiento de aprobación de las mismas.

2. Nuevos elementos específicos para BCR-C

En el documento WP 256 se prevén como nuevos elementos aplicables a las BCR-C los relativos a la transparencia y a la legislación del tercer país.

Con respecto a la transparencia, se refiere a la información relativa al tratamiento de los datos personales y en particular al principio de información, tanto si los datos personales se han obtenido del propio interesado como si no; a los derechos que tiene en relación con el tratamiento de sus datos personales; a la responsabilidad exigible a quien incumple y a los principios del tratamiento de datos personales.

Y en relación con la legislación del tercer país se trata de que se incluya el compromiso de las empresas, a la que se apliquen las normas corporativas vinculantes, de notificar a la autoridad de supervisión competente cualquier solicitud de revelar datos personales a la autoridades de cumplimiento o autoridades gubernamentales de seguridad que pueda tener efectos adversos sustanciales, a menos que exista una prohibición legal de hacerlo conforme al derecho penal para preservar la confidencialidad de la investigación.

Se trata, por tanto, de adecuar el contenido de las normas corporativas vinculantes a las exigencias del Reglamento (UE) 2016/679 (LA LEY 6812/2007) (LA LEY 6637/2016).

3. Nuevos elementos específicos para BCR-P

Son los relativos, en primer lugar, a los derechos de tercero beneficiario y, en segundo lugar, al acuerdo de servicio o contrato u otro instrumento jurídico entre el responsable y el encargado del tratamiento en virtud del art. 28 del Reglamento (UE) 2016/679 (LA LEY 6637/2016).

Los derechos de tercero beneficiario implican que la persona cuyos datos personales sean objeto de tratamiento pueda hacer exigibles las normas corporativas vinculantes para cualquier empresa sujeta a las mismas que actúe como encargado del tratamiento cuando los requisitos en cuestión estén dirigidos al mismo (arts. 28, relativo al encargado del tratamiento; 29, sobre el tratamiento de datos bajo la autoridad del responsable o encargado del tratamiento, y 79 del RGPD, relativo al derecho a la tutela judicial efectiva contra el encargado del tratamiento).

Y el acuerdo de servicio entre el responsable y el encargado del tratamiento tendrá que cumplir con todos los requisitos, tanto de forma como de contenido, previstos en el art. 28 del Reglamento (UE) 2016/679 (LA LEY 6812/2007) (LA LEY 6637/2016). Es decir, la novedad es el contenido del acuerdo de servicio, ya que el mismo era un requisito exigido previamente por ser, entre otras cuestiones, uno de los instrumentos jurídicos para asegurar internamente el cumplimiento con las normas corporativas vinculantes, con esto significa para ofrecer garantías adecuadas en la transferencia internacional de datos.

Es así que el documento BCR-P mantiene los compromisos que, sin perjuicio de los que sean exigibles en su caso en virtud del art. 28 del RGPD, deberán ser incluidos en el acuerdo de servicio.

VI. Estructura y contenido de las tablas

Las tablas, que se incluyen, respectivamente, en cada uno de los documentos publicados por el GT29, siguen una estructura similar y son la actualización, conforme a los requisitos del Reglamento (UE) 2016/679 (LA LEY 6812/2007) (LA LEY 6637/2016), de los documentos previos WP 153, para responsables del tratamiento, y WP 195, para encargados del tratamiento.

Sin perjuicio del contenido específico de cada tabla, la diferencia más relevante entre ambas es que la que se incluye en el documento WP 256 para responsables del tratamiento tiene en cada apartado una referencia al articulado del RGPD, no encontrándose la misma en el documento para WP 257 para encargados del tratamiento.

Los criterios actualizados para la aprobación de las normas corporativas vinculantes que se incluyen en las respectivas tablas siguen los requisitos que ya se habían establecido previamente y que ahora son parte del art. 47.2 del Reglamento (UE) 2016/679 (LA LEY 6637/2016). Dichos criterios son los relativos a: 1) carácter jurídicamente vinculante, tanto a nivel interno como externo; 2) efectividad; 3) deber de cooperación; 4) descripción de los flujos de tratamiento y datos personales; 5) mecanismos para reportar y registrar cambios, y 6) salvaguardias de protección de datos.

Aunque el documento WP 257, relativo a las normas corporativas vinculantes para encargados del tratamiento, no incluye expresamente la referencia al texto del Reglamento (UE) 2016/679 (LA LEY 6637/2016), es posible destacar algunas de las principales novedades en ambos casos, es decir tanto para responsables (BCR-C) como para encargados del tratamiento (BCR-P), prestando especial atención a los nuevos elementos.

Entre los criterios relativos a la efectividad de las normas corporativas vinculantes, dado que se trata de una figura obligatoria en algunos casos y que puede adoptarse de manera voluntaria en otros, adquiere especial relevancia la del delegado de protección de datos. En concreto, será el delegado de protección de datos quien supervisará también el cumplimiento con las normas corporativas vinculantes. Por tanto, se trata de uno de los apartados a tener en consideración por las implicaciones que tendrá.

Otro de los apartados en los que será necesaria una revisión, sobre normas corporativas vinculantes ya aprobadas, o consideración específica, si se están elaborando normas corporativas vinculantes por primera vez, es el relativo a la descripción de los tratamientos y flujos de datos personales, ya que frente a una descripción general ahora se requiere especificar con más detalles tanto los tratamientos de datos personales como las transferencias internacionales de los mismos, incluyendo entre otras referencias, el tipo de tratamientos y sus fines, el tipo de interesados afectados y el nombre del tercer o los terceros países en cuestión. Es decir, las autoridades de supervisión esperan una descripción más detallada de las transferencias, en virtud de lo dispuesto en el art. 47 del RGPD.

También, se introduce como novedad relevante el principio de responsabilidad proactiva (accountability) y otras herramientas o instrumentos, tales como el registro de actividades de tratamiento, las evaluaciones de impacto relativas a la protección de datos, u otras medidas técnicas u organizativas apropiadas, como la protección de datos desde el diseño y por defecto, si alguna de ellas, o todas, fuera aplicables en su caso.

En ambos casos, las tablas pueden ser utilizadas tanto por quienes vayan elaborar o, en su caso, actualizar sus normas corporativas vinculantes y, al mismo tiempo, podrían ser utilizadas también como un documento de referencia por las autoridades de supervisión, aunque éstas cuentan con una tabla específica de requisitos administrativos, a nivel nacional, que deben incluirse en las solicitudes de normas corporativas vinculantes para responsables del tratamiento (BCR-C) (19) .

VII. Algunas consideraciones sobre la actualización del GT29

Dado que los documentos ahora publicados por el GT29 se encuentran en un proceso de consulta pública, hasta el 17 de enero de 2018, cabría plantear, con carácter general, algunas observaciones a los mismos.

Si bien la actualización de los documentos de trabajo del GT29 sobre normas corporativas vinculantes para responsables y encargados del tratamiento es bienvenida, sería deseable que se actualizasen también otros documentos en la materia, como el WP 154 relativo al marco para la estructura de las normas corporativas vinculantes. Se trata así de que se adecúe su contenido al Reglamento (UE) 2016/679 (LA LEY 6812/2007) (LA LEY 6637/2016) y del GT29 clarifique si pueden seguir siendo utilizados o no.

Esto último sería aplicable también a otros documentos e instrumentos que el GT29 ha elaborado durante los últimos años sobre las normas corporativas vinculantes ya que se han producido diversas actualizaciones en algunos casos y se han publicado otros documentos, incluso dirigidos a autoridades de supervisión, sobre los que podría haber duda sobre si siguen pudiendo utilizarse o si deberían considerarse como una mera referencia histórica en la materia.

Y dada la agitada actividad en el seno del GT29, ya que la plena aplicación del Reglamento (UE) 2016/679 (LA LEY 6812/2007) (LA LEY 6637/2016) es cuestión de pocos meses más, sería también deseable que con la finalidad de evitar incertidumbres a quienes hagan uso de estos documentos se acelere, en la medida de lo posible, la publicación de la versión final o se proporcione información al respecto en coordinación con las autoridades de supervisión involucradas. Es decir, aquellas autoridades de supervisión que hayan aprobado normas corporativas vinculantes y que estén esperando las actualizaciones por las correspondientes empresas, con la finalidad de hacer más fácil este momento de transición de la Directiva 95/46/CE (LA LEY 5793/1995) (LA LEY 5793/1995) al Reglamento (UE) 2016/679 (LA LEY 6812/2007) (LA LEY 6637/2016).

Por último, dada su novedad, el GT29 podría proporcionar más detalles sobre algunos aspectos relativos a las normas corporativas vinculantes, en particular sobre la notificación a la autoridad de supervisión y, sobre todo, en relación con las previsiones en el Reglamento (UE) 2016/679 (LA LEY 6812/2007) (LA LEY 6637/2016) relativas a las competencias de la Comisión, a través de sus actos de ejecución, para «especificar el formato y los procedimientos para el intercambio de información entre los responsables, los encargados y las autoridades de control en relación con las normas corporativas vinculantes».

VIII. Conclusiones

Finalmente, aunque no de manera de manera definitiva dado que actualmente son objeto de una consulta pública y posteriormente podrían ser modificadas en cualquier momento, el Grupo de trabajo del art. 29 (GT29) ha publicado versiones actualizadas de los documentos sobre normas corporativas vinculantes para responsables (WP 153, BCR-C) y encargados del tratamiento (WP 195, BCR-P).

Con dicha actualización el GT29 deja claro, por una parte, que el art. 47 del Reglamento (UE) 2016/679 (LA LEY 6812/2007) (LA LEY 6637/2016) se ha desarrollado a partir de sus documentos de trabajo en la materia y, por otra parte, que tanto las empresas que tuvieran que actualizar sus normas corporativas vinculantes, aprobadas actualmente, como las que fueran a adoptar normas corporativas vinculantes, deberán hacerlo considerando, al menos, los elementos previstos en el citado artículo.

Quedan, no obstante, otras dudas y cuestiones que o bien el GT29 o bien el Comité Europeo de Protección de Datos tendrán que ir respondiendo, tales como si se actualizarán otros documentos e instrumentos sobre las normas corporativas vinculantes que el GT29 adoptó durante los últimos años.

Y habrá que ver también si, una vez finalizado el periodo de consulta pública, las actualizaciones ahora publicadas cambian o no sustancialmente y si volverán a producirse o no modificaciones como consecuencia de la actualización de otros documentos que pudieran tener algún impacto en materia de transferencia internacional de datos.

(1)

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (Reglamento general de protección de datos (LA LEY 6637/2016)), DO L 119, de 4 de mayo de 2016.

Ver Texto
(2)

La lista de organizaciones para las que el procedimiento de cooperación relativo a las normas corporativas vinculantes se ha completado, así como la correspondiente autoridad líder en cada caso, puede consultarse en http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48705

Ver Texto
(3)

Para más información sobre la consulta pública, véase la información disponible en http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

Ver Texto
(4)

Working Document: Transfers of personal data to third countries: Applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers. Consultado, en inglés, en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2003/wp74_en.pdf

Ver Texto
(5)

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (LA LEY 5793/1995), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281, de 23 de noviembre de 1995.

Ver Texto
(6)

Directrices para determinar la autoridad de control principal de un responsable o encargado del tratamiento WP 244 rev.01, adoptadas el 13 de diciembre de 2016 y revisadas con fecha 5 de abril de 2017. Consultadas, en español, en http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48140

Ver Texto
(7)

Recommendation 1/2007 on the Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data. Consultado, en inglés, en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2007/wp133_en.doc

Ver Texto
(8)

Working Document Setting up a framework for the structure of Binding Corporate Rules. Consultado, en inglés, en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2008/wp154_en.pdf

Ver Texto
(9)

Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules. Consultado, en inglés, en http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48798

Ver Texto
(10)

Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules. Consultado, en inglés, en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2008/wp153_en.pdf

Ver Texto
(11)

Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules. Consultado, en inglés, en http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48799

Ver Texto
(12)

Explanatory Document on the Processor Binding Corporate Rules. Consultado, en inglés, en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2015/wp204.rev_en.pdf

Ver Texto
(13)

Working Document 02/2012 setting up a table with the elements and principles to be found in Processor Binding Corporate Rules. Consultado, en inglés, en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195_en.pdf

Ver Texto
(14)

Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on Adequate Safeguards Resulting From “Binding Corporate Rules”. Consultado, en inglés, en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2005/wp107_en.pdf

Ver Texto
(15)

Recommendation 1/2012 on the Standard Application form for Approval of Binding Corporate Rules for the Transfer of Personal Data for Processing Activities. Consultado, en inglés, en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195a_application_form_en.doc

Ver Texto
(16)

Working Document Establishing a Model Checklist Application for Approval of Binding Corporate Rules. Consultado, en inglés, en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2005/wp108_en.pdf

Ver Texto
(17)

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp212_es.pdf

Ver Texto
(18)

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp212_es.pdf

Ver Texto
(19)

http://ec.europa.eu/justice/data-protection/international-transfers/files/table_nat_admin_req_en.pdf

Ver Texto
Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioWolters Kluwer no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar

Últimos tweets

NÚMEROS DISPONIBLES

Scroll