Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
Las empresas con sede en la Unión Europea (UE) o que procesan datos personales de personas que residen en uno de los estados miembros de la UE deben cumplir con el Reglamento General de Protección de Datos (RGPD). Así, cuando una empresa desee transferir datos a un tercer país que la UE no considera que ofrezca un marco de protección suficiente, esta empresa debe asegurarse de que esta transferencia se realizará de forma segura.
Existen varios métodos para ello, pero en el caso de grupos internacionales se ha preferido uno de ellos: las Normas Corporativas Vinculantes (BCR), las mismas que permiten a un grupo de empresas definir un marco común y vinculante para los intercambios transfronterizos de datos personales. Si este marco es validado por el Comité Europeo de Protección de Datos (CEPD), las empresas del grupo pueden intercambiar datos libremente entre ellas.
Para facilitar el establecimiento de este marco, el CEPD ha propuesto este sistema de referencia. Se ha publicado la última versión del repositorio para responsables del tratamiento. Se está relizando similar actualización del sistema de referencia relativo a los subcontratistas.
El texto ha sido traducido del francés al castellano por el suscrito con la ayuda del aplicativo Google Translate. El texto del CNIL comporta una serie de enlaces que permiten profundizar en el sistema de referencia Normas Corporativas Vinculantes.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com
________________________________________________________________
El CEPD adopta
la versión final del sistema de referencia “responsable del tratamiento
07 de agosto de 2023
El 20 de junio de 2023,
el Comité Europeo de Protección de Datos (CEPD) adoptó la versión final de sus recomendaciones
en materia de Normas Corporativas Vinculantes " responsable del tratamiento" (BCR-C).
El RGPD se aplica en la Unión Europea
(UE) a los tratamientos realizados por empresas allí establecidas. También protege
a los interesados en la UE, por ejemplo si ellos son clientes de empresas ubicadas
en el extranjero. Así, en el caso de las
multinacionales, no todas las empresas de un mismo grupo están necesariamente ubicadas
en la UE: algunas de ellas pueden estar ubicadas en países donde no
se aplica el RGPD . Para transferir datos personales entre estas diferentes
entidades, es necesario que justifiquen la implementación de salvaguardas adecuadas
que garanticen un nivel de protección equivalente al previsto por el RGPD.
Para ello, es posible establecer normas corporativas
vinculantes (Binding Coprporate
Rules, BCR en inglés), porque esta herramienta ha sido diseñada específicamente
para permitir, a escala de grupos internacionales, la transferencia de datos personales fuera del Espacio Económico Europeo
entre responsables o encargados del tratamiento. Esta norma lleva a las empresas
del mismo grupo a implementar un esquema de gobernanza común, basado en un sistema
de referencia aprobado por el CEPD, que permite obtener el nivel de protección de
datos requerido.
BCR-C: recomendaciones del CEPD
El sistema de referencia de aprobación
BCR-C (WP256) y el formulario de presentación (WP264) fueron actualizados en abril
de 2018, poco antes de la entrada en vigor del RGPD. Cinco años después, las autoridades
europeas de protección quisieron actualizar esta documentación para introducir cambios
de forma, pero también de fondo.
Se trataba de:
·
simplificar los soportes
fusionando el sistema de referencia BCR-C existente y el formulario de presentación;
·
explicar mejor la distinción
entre lo que debe estar contenido en el expediente presentado a la autoridad encargada
de la instrucción y aquello que debe figurar en el cuerpo del BCR;
·
beneficiar a los portadores y solicitantes de las interpretaciones
comunes dadas por las autoridades de protección en el marco de los procedimientos
de aprobación del BCR;
·
aclarar los requisitos
del sistema de referencia, en particular proporcionando orientación adicional para
una mejor comprensión de las expectativas de las autoridades;
·
integrar los requisitos
de la sentencia Schrems
II del TJUE : con el nuevo sistema de referencia, las entidades adheridas
a las BCR se comprometen a transferir datos sólo después de haber realizado un análisis
de la legislación del tercer país de destino. Las BCR también tendrán que asumir
las mismas obligaciones que las establecidas en las cláusulas contractuales
tipo, entre otras: seguimiento legal, medidas adicionales si es necesario,
el suministro de documentación y la gestión de solicitudes de acceso por parte de
las autoridades del país tercero. .
Por lo tanto, durante la sesión plenaria del 14 de noviembre de 2022, el CEPD
adoptó recomendaciones relativas a la presentación de BCR y a los elementos y principios
que deben incluirse en las propias BCR.
El CEPD ha tenido en cuenta los comentarios
realizados durante una consulta pública entre noviembre de 2022 y enero de 2023.
Así se han aclarado determinados aspectos procedimentales, como la aplicabilidad
de las recomendaciones o la notificación anual que debe enviarse a la autoridad
encargada de la instrucción. . La versión final
del documento fue adoptada el 20 de junio de 2023 .
Actualmente se está desarrollando
el mismo trabajo de actualización del sistema de referencia aplicable a las BCR
de “subcontratistas”.
Texto de referencia
Para profundizar
· Las nuevas recomendaciones
del CEPD para las BCR-C –(en inglés) CEPD
· Cómo preparar un expediente BCR
· ¿Cuándo y cómo presentar
su proyecto BCR a las autoridades de protección de datos?
Texto de referencia
· El Reglamento General de Protección de Datos (GDPR) the size of the font
No hay comentarios:
Publicar un comentario