guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Normas corporativas vinculantes (BCR)

Normas corporativas vinculantes (BCR)

Las normas corporativas vinculantes son instrumentos, consistentes en políticas o códigos de conducta jurídicamente vinculantes dentro de un grupo de empresas o en una unión de empresas, con la finalidad de ofrecer garantías suficientes cuando los datos personales van a ser transferidos internacionalmente a uno o varios responsables o encargados del tratamiento que están en un tercer país sin nivel adecuado.

Protección de Datos Personales

¿Qué son las normas corporativas vinculantes?

El Grupo de Trabajo del Artículo 29 (GT29), que fue sustituido en el RGPD por el Comité Europeo de Protección de Datos (CEPD), se refirió a éstas explicando que "son códigos de conducta que redactan y siguen organizaciones multinacionales y que contienen medidas internas pensadas para poner en práctica principios de protección de datos (como auditoría, programas de formación, red de funcionarios de privacidad, sistema de tratamiento de quejas)." (Dictamen 3/2010 sobre el principio de responsabilidad, WP 173, adoptado el 13 de julio de 2010).

Las normas corporativas vinculantes, a las que ya se podía recurrir en virtud de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que quedó derogada el 24 de mayo de 2018, fueron creadas y se fueron desarrollando a lo largo de los años, en el seno del GT29.

En concreto, en 2003, el GT29 publicó un documento de trabajo en el que introducía del concepto de normas corporativas vinculantes y la posibilidad de recurrir a las mismas para la transferencia internacional de datos a terceros países sin nivel adecuado (Working Document: Transfers of personal data to third countries: Applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers, WP 74, adoptado el 3 de junio de 2003).

Se trata, por tanto, de una solución contractual que vincula jurídicamente a las partes de una transferencia internacional de datos que sirve para ofrecer garantías suficientes cuando dicha transferencia es a un tercer país sin nivel adecuado.

Definición de normas corporativas vinculantes en el RGPD

El RGPD define, en su artículo 4.20), las normas corporativas vinculantes como "las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta".

Es decir, se trata de un instrumento alternativo destinado a ofrecer garantías suficientes para poder realizar transferencias internacionales de datos a terceros países sin nivel adecuado en protección de datos.

Y es un instrumento jurídicamente vinculante entre un responsable o encargado del tratamiento establecido en la UE y un responsable o encargado del tratamiento establecido en uno o varios terceros países, es decir, fuera de la UE, siempre que se trate de un mismo grupo empresaria o una unión de empresas dedicas a una actividad económica conjunta. Al respecto, el artículo 4.19) del RGPD define el término grupo empresarial como "grupo constituido por una empresa que ejerce el control y sus empresas controladas".

Diferencia entre la Directiva 95/46/CE y el RGPD

Sin perjuicio de que el RGPD impulsa de manera decidida la posibilidad de recurrir a las normas corporativas vinculantes para ofrecer garantías adecuadas en la transferencia internacional de datos a terceros países u organizaciones internacionales sin nivel adecuado, una de las principales diferencias sobre las normas corporativas vinculantes se refiere a su ámbito de aplicación.

Al respecto, la Comisión Europea explicó que en el marco de la Directiva 95/46/CE las normas corporativas vinculantes (NCV) "se limitaban a los acuerdos entre entidades pertenecientes a un mismo grupo de empresas" mientras que con la reforma de la protección de datos, que dio lugar al RGPD, "ahora pueden ser invocadas por uniones de empresas dedicadas a una actividad económica conjunta, sin que estas tengan que pertenecer necesariamente al mismo grupo empresarial" (Comisión Europea, Comunicación de la Comisión al Parlamento Europeo y al Consejo, Intercambio y protección de los datos personales en un mundo globalizado, COM(2017) 7 final, Bruselas, 10 de enero de 2017).

También, cabe destacar, como explica la Comisión Europea, que el RGPD ha querido simplificar "los trámites burocráticos al suprimir las obligaciones generales de notificación previa a las autoridades de protección de datos y autorización por estas de las transferencias a terceros países basadas en CCT o NCV". De esta manera se trata de conseguir "una importante simplificación del sistema de la UE en materia de trasferencias internacionales de datos" (COM(2017) 7 final.

Y la otra de las principales novedades es el desarrollo e incorporación expresa de las normas corporativas vinculantes en el articulado del RGPD.

Las normas corporativas vinculantes como garantías adecuadas

La norma general en materia de transferencias internacionales de datos a un tercer país u organización internacional es que solo podrán llevarse a cabo cuando se den garantías adecuadas en relación con el tratamiento de los datos personales. Es decir, cuando los datos personales salen fuera del territorio de aplicación del RGPD, hacia un tercer país u organización internacional, que no tiene un nivel equivalente al de la Unión Europea en materia de protección de datos.

En concreto, las normas corporativas vinculantes se incluyen en el artículo 46.2.b) del RGPD como una de las garantías adecuadas para poder llevar a cabo una transferencia internacional, sin que sea necesaria una autorización expresa de una autoridad de protección de datos a tal fin. Es decir, no se requiere autorización para la transferencia internacional de datos basada en normas corporativas vinculantes, que sí habrán tenido que ser aprobadas por una autoridad de protección de datos personales.

Como instrumento para ofrecer garantías adecuadas en el caso de transferencias internacionales de datos, y con respecto a la Directiva 95/46/CE, la Comisión Europea apuntó que "el RGPD codifica y formaliza su función como instrumento de transferencia". Esto supone que, junto a otros instrumentos como las cláusulas contractuales tipo (CCT), el RGPD formaliza y amplía la posibilidad de recurrir a estos instrumentos ya existentes (COM(2017) 7 final).

¿Cuál es el contenido de las normas corporativas vinculantes?

Por lo que se refiere al contenido o elementos mínimos que tienen que incluir las normas corporativas vinculantes, el artículo 47 del RGPD indica que "especificarán, como mínimo, los siguientes elementos":

  • Estructura y datos de contacto del grupo de empresas o unión de empresas: "a) la estructura y los datos de contacto del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta y de cada uno de sus miembros";
  • Identificación y descripción de las transferencias o conjuntos de transferencias: "b) las transferencias o conjuntos de transferencias de datos, incluidas las categorías de datos personales, el tipo de tratamientos y sus fines, el tipo de interesados afectados y el nombre del tercer o los terceros países en cuestión";
  • Carácter jurídicamente vinculante de las normas corporativas vinculantes: "c) su carácter jurídicamente vinculante, tanto a nivel interno como externo";
  • Aplicación de los principios de protección de datos: "d) la aplicación de los principios generales en materia de protección de datos, en particular la limitación de la finalidad, la minimización de los datos, los periodos de conservación limitados, la calidad de los datos, la protección de los datos desde el diseño y por defecto, la base del tratamiento, el tratamiento de categorías especiales de datos personales, las medidas encaminadas a garantizar la seguridad de los datos y los requisitos con respecto a las transferencias ulteriores a organismos no vinculados por las normas corporativas vinculantes";
  • Derechos de los interesados: "e) los derechos de los interesados en relación con el tratamiento y los medios para ejercerlos, en particular el derecho a no ser objeto de decisiones basadas exclusivamente en un tratamiento automatizado, incluida la elaboración de perfiles de conformidad con lo dispuesto en el artículo 22, el derecho a presentar una reclamación ante la autoridad de control competente y ante los tribunales competentes de los Estados miembros de conformidad con el artículo 79, y el derecho a obtener una reparación, y, cuando proceda, una indemnización por violación de las normas corporativas vinculantes";
  • Responsabilidad del responsable o encargado del tratamiento establecido en la UE en caso de incumplimiento: "f) la aceptación por parte del responsable o del encargado del tratamiento establecidos en el territorio de un Estado miembro de la responsabilidad por cualquier violación de las normas corporativas vinculantes por parte de cualquier miembro de que se trate no establecido en la Unión; el responsable o el encargado solo será exonerado, total o parcialmente, de dicha responsabilidad si demuestra que el acto que originó los daños y perjuicios no es imputable a dicho miembro";
  • Información a los interesados sobre las normas corporativas vinculantes: "g) la forma en que se facilita a los interesados la información sobre las normas corporativas vinculantes, en particular en lo que respecta a las disposiciones contempladas en las letras d), e) y f) del presente apartado, además de los artículos 13 y 14";
  • Funciones del delegado de protección de datos: "h) las funciones de todo delegado de protección de datos designado de conformidad con el artículo 37, o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitación de las reclamaciones";
  • Procedimientos de reclamación por los interesados: "i) los procedimientos de reclamación";
  • Mecanismos para garantizar la verificación del cumplimiento: "j) los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. Los resultados de dicha verificación deberían comunicarse a la persona o entidad a que se refiere la letra h) y al consejo de administración de la empresa que controla un grupo empresarial, o de la unión de empresas dedicadas a una actividad económica conjunta, y ponerse a disposición de la autoridad de control competente que lo solicite";
  • Mecanismos para comunicar y registrar modificaciones y comunicarlas a la autoridad de protección de datos: "k) los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las normas y para notificar esas modificaciones a la autoridad de control";
  • Mecanismo de cooperación con la autoridad de protección de datos: "l) el mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento por parte de cualquier miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, en particular poniendo a disposición de la autoridad de control los resultados de las verificaciones de las medidas contempladas en la letra j)";
  • Mecanismos para informar a la autoridad de protección de datos de requisitos aplicables en terceros países: "m) los mecanismos para informar a la autoridad de control competente de cualquier requisito jurídico de aplicación en un país tercero a un miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, que probablemente tengan un efecto adverso sobre las garantías establecidas en las normas corporativas vinculantes", y
  • Formación en protección de datos: "n) la formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales."

Sin perjuicio de este listado en el RGPD, se puede recurrir también a los documentos que, en 2018, publicó el GT29 para actualizar otros documentos anteriores y que están sujetos a cambios, y que incluyen tablas con los requisitos que deberían contener, al menos, y que son los siguientes:

  • Documento de Trabajo sobre las normas corporativas vinculantes para responsables del tratamiento (Working Document on Binding Corporate Rules for Controllers, WP 256 rev.01), revisadas y adoptadas el 6 de febrero de 2018.
  • Documento de Trabajo sobre las normas corporativas vinculantes para encargados del tratamiento (Working Document on Binding Corporate Rules for Processors, WP 257 rev.01) revisadas y adoptadas el 6 de febrero de 2018.

Procedimiento de aprobación de las normas corporativas vinculantes

Para poder recurrir a las normas corporativas vinculantes como instrumento para la transferencia internacional de datos es necesario que hayan sido aprobadas por una autoridad de protección de datos, que deberá ser la competente en cada caso, según donde se encuentre establecido el responsable o el encargado del tratamiento.

La aprobación de la una norma corporativa vinculante depende, fundamentalmente, de que la misma: a) sea jurídicamente vinculante para quienes participan en cada caso en la transferencia internacional de datos que pretende llevarse a cabo, b) confiere a los interesados los derechos previstos en el RGPD, y c) cumpla con los requisitos mínimos a los que ya se ha hecho referencia.

Al respecto, se deben considerar también los siguientes documentos y formularios publicados por el GT29 en relación con el proceso de aprobación de normas corporativas vinculantes por la autoridad de protección de datos que sea competente en cada caso:

  • Documento de Trabajo sobre el procedimiento de aprobación de las normas corporativas vinculantes para responsables y encargados del tratamiento (Working Document on the approval procedure of the Binding Corporate Rules for controllers and processors WP 263rev.01), adoptado el 11 de abril de 2018.
  • Recomendaciones relativas a los formularios para solicitar la aprobación de normas corporativas vinculantes (Recommendation on the approval of the Controller Binding Corporate Rules form (wp264) y Recommendation on the approval of the Processor Binding Corporate Rules form, WP 265), adoptadas el 11 de abril de 2018.

Cuando las normas corporativas vinculantes sean aprobadas por la Agencia Española de Protección de Datos o por las autoridades autonómicas de protección de datos, en virtud de lo previsto en el RGPD, el procedimiento se iniciará a instancia de una entidad que esté establecida en España, ya que ello determinará la competencia de la autoridad de protección de datos, ya sea la estatal o la autonómica según sea competente en cada caso, siendo la duración máxima del procedimiento de nueve meses.

No obstante, este plazo quedará suspendido cuando el expediente para la aprobación de la norma corporativa vinculante sea remitido al Comité Europeo de Protección de Datos con la finalidad de que emita su dictamen. El plazo de nueve meses continuará una vez que el dictamen sea notificado, según corresponda, a la Agencia Española de Protección de Datos o a la autoridad de protección de datos competente.

Recuerde que...

  • Una norma corporativa vinculante (BCR) es un instrumento que sirve para ofrecer garantías suficientes cuando se van a transferir datos personales a un tercer país sin nivel adecuado.
  • Es un instrumento jurídicamente vinculante entre un responsable o encargado del tratamiento establecido en la UE y un responsable o encargado del tratamiento establecido en uno o varios terceros países.
  • Con "terceros países", se refiere a que estén fuera de la UE, siempre que se trate de un mismo grupo empresaria o una unión de empresas dedicas a una actividad económica conjunta.
  • Para poder hacer uso de ellas es necesario que se hayan aprobado por la autoridad de protección de datos competente, lo que implica seguir el procedimiento establecido al efecto.
Subir