NCV; BCR
¿Qué son las normas corporativas vinculantes?
El Grupo de Trabajo del Artículo 29 (GT29), que fue sustituido por el Comité Europeo de Protección de Datos (CEPD) en el Reglamento (UE) 2016/679, de 27 de abril de 2016 (en adelante, RGPD), se refirió a éstas explicando que son códigos de conducta que redactan y siguen organizaciones multinacionales y que contienen medidas internas pensadas para poner en práctica principios de protección de datos (como auditoría, programas de formación, red de funcionarios de privacidad, sistema de tratamiento de quejas). (Dictamen 3/2010 sobre el principio de responsabilidad, WP 173, adoptado el 13 de julio de 2010).
En concreto, en 2003, el GT29 publicó un documento de trabajo en el que introducía del concepto de normas corporativas vinculantes y la posibilidad de recurrir a las mismas para la transferencia internacional de datos a terceros países sin nivel adecuado (Working Document: Transfers of personal data to third countries: Applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers, WP 74, adoptado el 3 de junio de 2003).
Se trata, por tanto, de una solución contractual que vincula jurídicamente a las partes de una transferencia internacional de datos que sirve para ofrecer garantías suficientes cuando dicha transferencia es a un tercer país sin nivel adecuado.
¿Cómo se definen las normas corporativas vinculantes en el RGPD?
El artículo 4.20) del RGPD define las normas corporativas vinculantes como un instrumento alternativo destinado a ofrecer garantías suficientes para poder realizar transferencias internacionales de datos a terceros países sin nivel adecuado en protección de datos.
Y es un instrumento jurídicamente vinculante entre un responsable o encargado del tratamiento establecido en la UE y un responsable o encargado del tratamiento establecido en uno o varios terceros países, es decir, fuera de la UE, siempre que se trate de un mismo grupo empresaria o una unión de empresas dedicas a una actividad económica conjunta. Al respecto, el artículo 4.19) del RGPD define el término grupo empresarial como grupo constituido por una empresa que ejerce el control y sus empresas controladas.
[Sin perjuicio de que el RGPD impulsa de manera decidida la posibilidad de recurrir a las normas corporativas vinculantes para ofrecer garantías adecuadas en la transferencia internacional de datos a terceros países u organizaciones internacionales sin nivel adecuado, una de las principales diferencias sobre las normas corporativas vinculantes se refiere a su ámbito de aplicación.]
Al respecto, la Comisión Europea explicó que en el marco de la Directiva 95/46/CE las normas corporativas vinculantes (NCV) se limitaban a los acuerdos entre entidades pertenecientes a un mismo grupo de empresas mientras que con la reforma de la protección de datos, que dio lugar al RGPD, ahora pueden ser invocadas por uniones de empresas dedicadas a una actividad económica conjunta, sin que estas tengan que pertenecer necesariamente al mismo grupo empresarial (Comisión Europea, Comunicación de la Comisión al Parlamento Europeo y al Consejo, Intercambio y protección de los datos personales en un mundo globalizado, COM (2017) 7 final, Bruselas, 10 de enero de 2017).
También, cabe destacar, como explica la Comisión Europea, que el RGPD ha querido simplificar los trámites burocráticos al suprimir las obligaciones generales de notificación previa a las autoridades de protección de datos y autorización por estas de las transferencias a terceros países basadas en CCT o NCV. De esta manera se trata de conseguir una importante simplificación del sistema de la UE en materia de trasferencias internacionales de datos [COM (2017) 7 final].
Y la otra de las principales novedades es el desarrollo e incorporación expresa de las normas corporativas vinculantes en el articulado del RGPD.
¿Son las normas corporativas vinculantes una garantía adecuada?
La norma general en materia de transferencias internacionales de datos a un tercer país u organización internacional es que solo podrán llevarse a cabo cuando se den garantías adecuadas en relación con el tratamiento de los datos personales.
En concreto, las normas corporativas vinculantes se incluyen en el artículo 46.2.b) del RGPD como una de las garantías adecuadas para poder llevar a cabo una transferencia internacional, sin que sea necesaria una autorización expresa de una autoridad de protección de datos a tal fin. Es decir, no se requiere autorización para la transferencia internacional de datos basada en normas corporativas vinculantes, que sí habrán tenido que ser aprobadas por una autoridad de protección de datos personales.
Como instrumento para ofrecer garantías adecuadas en el caso de transferencias internacionales de datos, y con respecto a la Directiva 95/46/CE, la Comisión Europea apuntó que el RGPD codifica y formaliza su función como instrumento de transferencia. Esto supone que, junto a otros instrumentos como las cláusulas contractuales tipo (CCT), el RGPD formaliza y amplía la posibilidad de recurrir a estos instrumentos ya existentes [COM (2017) 7 final].
¿Cuál es el contenido de las normas corporativas vinculantes?
Por lo que se refiere al contenido o elementos mínimos que tienen que incluir las normas corporativas vinculantes, el artículo 47 del RGPD indica que especificarán, como mínimo, los siguientes elementos:
- • Estructura y datos de contacto del grupo de empresas o unión de empresas:
- • Identificación y descripción de las transferencias o conjuntos de transferencias;
- • Carácter jurídicamente vinculante de las normas corporativas vinculantes;
- • Aplicación de los principios de protección de datos: finalidad, minimización de los datos, periodos de conservación limitados, la calidad de los datos, la protección de los datos desde el diseño y por defecto, la base del tratamiento, el tratamiento de categorías especiales de datos personales, las medidas encaminadas a garantizar la seguridad de los datos y los requisitos con respecto a las transferencias ulteriores a organismos no vinculados por las normas corporativas vinculantes;
- • Derechos de los interesados;
- • Responsabilidad del responsable o encargado del tratamiento establecido en la UE en caso de incumplimiento;
- • Información a los interesados sobre las normas corporativas vinculantes;
- • Funciones del delegado de protección de datos;
- • Procedimientos de reclamación por los interesados;
- • Mecanismos para garantizar la verificación del cumplimiento;
- • Mecanismos para comunicar y registrar modificaciones y comunicarlas a la autoridad de protección de datos;
- • Mecanismo de cooperación con la autoridad de protección de datos;
- • Mecanismos para informar a la autoridad de protección de datos de requisitos aplicables en terceros países, y
- • Formación en protección de datos.
Sin perjuicio de este listado en el RGPD, se puede recurrir también a los documentos que, en 2018, publicó el GT29 para actualizar otros documentos anteriores y que están sujetos a cambios, y que incluyen tablas con los requisitos que deberían contener, al menos, y que son los siguientes:
- • Documento de Trabajo sobre las normas corporativas vinculantes para responsables del tratamiento (Working Document on Binding Corporate Rules for Controllers, WP 256 rev.01), revisadas y adoptadas el 6 de febrero de 2018.
- • Documento de Trabajo sobre las normas corporativas vinculantes para encargados del tratamiento (Working Document on Binding Corporate Rules for Processors, WP 257 rev.01) revisadas y adoptadas el 6 de febrero de 2018.
¿Cuál es el procedimiento de aprobación de las normas corporativas vinculantes?
Para poder recurrir a las normas corporativas vinculantes como instrumento para la transferencia internacional de datos es necesario que hayan sido aprobadas por una autoridad de protección de datos, que deberá ser la competente en cada caso, según donde se encuentre establecido el responsable o el encargado del tratamiento.
La aprobación de la una norma corporativa vinculante depende, fundamentalmente, de que la misma: a) sea jurídicamente vinculante para quienes participan en cada caso en la transferencia internacional de datos que pretende llevarse a cabo, b) confiere a los interesados los derechos previstos en el RGPD, y c) cumpla con los requisitos mínimos a los que ya se ha hecho referencia.
Al respecto, se deben considerar también los siguientes documentos y formularios publicados por el GT29 en relación con el proceso de aprobación de normas corporativas vinculantes por la autoridad de protección de datos que sea competente en cada caso:
- • Documento de Trabajo sobre el procedimiento de aprobación de las normas corporativas vinculantes para responsables y encargados del tratamiento (Working Document on the approval procedure of the Binding Corporate Rules for controllers and processors WP 263 rev.01), adoptado el 11 de abril de 2018.
- • Recomendaciones relativas a los formularios para solicitar la aprobación de normas corporativas vinculantes (Recommendation on the approval of the Controller Binding Corporate Rules form (WP 264) y Recommendation on the approval of the Processor Binding Corporate Rules form, WP 265), adoptadas el 11 de abril de 2018.
Cuando las normas corporativas vinculantes sean aprobadas por la Agencia Española de Protección de Datos o por las autoridades autonómicas de protección de datos, en virtud de lo previsto en el RGPD, el procedimiento se iniciará a instancia de una entidad que esté establecida en España, ya que ello determinará la competencia de la autoridad de protección de datos, ya sea la estatal o la autonómica según sea competente en cada caso, siendo la duración máxima del procedimiento de nueve meses.
No obstante, este plazo quedará suspendido cuando el expediente para la aprobación de la norma corporativa vinculante sea remitido al Comité Europeo de Protección de Datos con la finalidad de que emita su dictamen. El plazo de nueve meses continuará una vez que el dictamen sea notificado, según corresponda, a la Agencia Española de Protección de Datos o a la autoridad de protección de datos competente.
Recuerde que...
- • Una norma corporativa vinculante es un instrumento que sirve para ofrecer garantías suficientes cuando se van a transferir datos personales a un tercer país sin nivel adecuado.
- • Es un instrumento jurídicamente vinculante entre un responsable o encargado del tratamiento establecido en la UE y un responsable o encargado del tratamiento establecido en uno o varios terceros países.
- • Con "terceros países", se refiere a que estén fuera de la UE, siempre que se trate de un mismo grupo empresarial o una unión de empresas dedicas a una actividad económica conjunta.
- • Para poder hacer uso de ellas es necesario que se hayan aprobado por la autoridad de protección de datos competente, lo que implica seguir el procedimiento establecido al efecto.