Las normas corporativas vinculantes, son definidas por el propio Reglamento General de Protección de Datos (RGPD), en su artículo 4.20, como, “las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.
A mayor abundamiento, tanto el Considerando 107 en relación con los mecanismos para legitimar las transferencias internacionales, como el Considerando 110 del RGPD, donde se reconoce que “todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta, siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias o categorías de transferencias de datos de carácter personal”.
Aspectos todos ellos, que vienen a aportar las garantías y la seguridad jurídica necesaria para poder realizar los tratamientos internacionales de datos analizados. En este aspecto, debe tenerse en consideración los riesgos asociados a la realización de trasferencias internacionales sin la debida legitimación, tanto desde el punto de vista sancionatorio, como desde la óptica de las medidas que pueden ser acordadas por las propias autoridades de control y el propio impacto reputacional.
A modo de ejemplo, la actual Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, establece en su artículo 49, que, en supuestos constitutivos de infracción grave o muy grave en que la persistencia en el tratamiento de los datos de carácter personal o su comunicación o transferencia internacional posterior pudiera suponer un grave menoscabo de los derechos fundamentales de los afectados y en particular de su derecho a la protección de datos de carácter personal, el órgano sancionador podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, el órgano sancionador podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas. Aspectos que se mantienen en el Proyecto de Ley Orgánica, actualmente en tramitación parlamentaria, en su artículo 68, dentro de las medidas provisionales que podrá acordar la Agencia Española de Protección de Datos.
A mayor abundamiento, dichas normas corporativas vinculantes, serán aprobadas por la autoridad de control, siempre que (i) sean jurídicamente vinculantes; se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados; (ii) confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales, y (iii) cumplan con los siguientes requisitos:
- La estructura y los datos de contacto del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta y de cada uno de sus miembros.
- Las transferencias o conjuntos de transferencias de datos, incluidas las categorías de datos personales, el tipo de tratamientos y sus fines, el tipo de interesados afectados y el nombre del tercer o los terceros países en cuestión.
- Su carácter jurídicamente vinculante, tanto a nivel interno como externo.
- La aplicación de los principios generales en materia de protección de datos, en particular la limitación de la finalidad, la minimización de los datos, los periodos de conservación limitados, la calidad de los datos, la protección de los datos desde el diseño y por defecto, la base del tratamiento, el tratamiento de categorías especiales de datos personales, las medidas encaminadas a garantizar la seguridad de los datos y los requisitos con respecto a las transferencias ulteriores a organismos no vinculados por las normas corporativas vinculantes.
- Los derechos de los interesados en relación con el tratamiento y los medios para ejercerlos, en particular el derecho a no ser objeto de decisiones basadas exclusivamente en un tratamiento automatizado, incluida la elaboración de perfiles de conformidad con lo dispuesto en el RGPD, el derecho a presentar una reclamación ante la autoridad de control competente y ante los tribunales competentes de los Estados miembros, y el derecho a obtener una reparación, y, cuando proceda, una indemnización por violación de las normas corporativas vinculantes.
- La aceptación por parte del responsable o del encargado del tratamiento establecidos en el territorio de un Estado miembro de la responsabilidad por cualquier violación de las normas corporativas vinculantes por parte de cualquier miembro de que se trate no establecido en la Unión; el responsable o el encargado solo será exonerado, total o parcialmente, de dicha responsabilidad si demuestra que el acto que originó los daños y perjuicios no es imputable a dicho miembro.
- La forma en que se facilita a los interesados la información sobre las normas corporativas vinculantes, en particular en lo que respecta a las disposiciones contempladas en el RGPD y las funciones de todo delegado de protección de datos designado de conformidad o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitación de las reclamaciones.
- Los procedimientos de reclamación.
- Los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. Los resultados de dicha verificación deberían comunicarse a la persona o entidad y al consejo de administración de la empresa que controla un grupo empresarial, o de la unión de empresas dedicadas a una actividad económica conjunta, y ponerse a disposición de la autoridad de control competente que lo solicite.
- Los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las normas y para notificar esas modificaciones a la autoridad de control.
- El mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento por parte de cualquier miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, en particular poniendo a disposición de la autoridad de control los resultados de las verificaciones de las medidas contempladas en el RGPD.
- Los mecanismos para informar a la autoridad de control competente de cualquier requisito jurídico de aplicación en un país tercero a un miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, que probablemente tengan un efecto adverso sobre las garantías establecidas en las normas corporativas vinculantes.
- La formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales.
Junto con los preceptos reseñados en relación con el RGPD y el establecimiento de normas corporativas vinculantes, deben tenerse en cuenta los documentos y dictámenes del propio Grupo de Trabajo del Artículo 29 de la Unión Europea, entre los que cabe citar:
- Working Paper 74: Primer documento en el que se referencian las normas corporativas vinculantes. Documento sobre la aplicación del artículo 26.2 de la Directiva 95/46/CE a las normas corporativas vinculantes.
- Working Paper 107: Documento sobre la competencia de las Autoridades de Control europeas en el procedimiento coordinado de aprobación las normas corporativas vinculantes.
- Working Paper 108: Modelo de solicitud de autorización de transferencia internacional basada en normas corporativas vinculantes en el ámbito del procedimiento coordinado.
- Working Paper 133: Recomendación 1/2007 Aplicación estándar para la aprobación de normas corporativas vinculantes.
- Working Paper 153: Cuadro que establece la relación de los elementos y principios que deben contener las normas corporativas vinculantes.
- Working Paper 154: Cuadro que establece la estructura de las normas corporativas vinculantes.
- Working Paper 155: Preguntas más frecuentes sobre normas corporativas vinculantes.
- Working Paper 195: Documento de Trabajo 02/2012. Tabla de elementos y principios ha de tener en cuenta por el Encargado de Tratamiento en las normas corporativas vinculantes.
Igualmente, los artículos 46 y 47 del RGPD, establecen los mecanismos de regularización de las transferencias internacionales de datos mediante este procedimiento.
Sin lugar a duda, las normas corporativas vinculantes constituyen, como se ha señalado, la solución recomendada desde los órganos supervisores de protección de datos de la Unión Europea, para regular de forma correcta transferencias internacionales de datos personales en estructuras multinacionales, tanto dentro de las sociedades del mismo grupo, como aquellas uniones de empresas dedicadas a una actividad económica conjunta.
Constituyen, por tanto, la solución idónea para asegurar la adecuación de transferencias internacionales de datos en el marco de empresas con presencia internacional a las exigencias más avanzadas establecidas por la normativa nacional e internacional de protección de datos aplicable, máxime en una sociedad digital e internacional, donde los flujos de datos y prestaciones de servicios implican un movimiento constante de la información. No debe olvidarse que. éstas, aportan una solución única y homogénea para toda la estructura multinacional de la empresa, con la ventaja añadida de ser validadas y aprobadas por las autoridades competentes en toda la Unión Europea con carácter previo a su difusión e implementación, aspectos que asientan una mayor seguridad jurídica y, por tanto, una mitigación de los riesgos asociados en este tipo de tratamientos.
Finalmente, con las normas corporativas vinculantes, se estaría en condiciones de demostrar su máxima diligencia en el cumplimiento de una normativa que, como es bien conocido, es otro de los aspectos que recoge el Reglamento General de Protección de Datos. Dicha prueba de buena diligencia contribuye a:
-
Asegurar el cumplimiento normativo en toda la estructura empresarial y uniones de empresas, con fuerte implantación fuera del ámbito de la Unión Europea.
-
Armonizar prácticas y procedimientos en materia de protección de datos en toda la estructura organizativa, aplicando un mismo estándar de cumplimiento normativo en el ámbito de privacidad para todo el grupo, con independencia de su ubicación territorial.
-
Evitar multiplicidad de soportes contractuales aplicables a cada transferencia internacional de datos personales dentro de la estructura empresarial.
-
Eliminar trámites burocráticos repetitivos para cada transferencia internacional dentro del grupo con destino a filiales y terceros ubicados fuera de la Unión Europea.
-
Protección de datos personales efectiva, integrada en la gestión integral de la actividad de la empresa.
-
Homogeneizar y dar una solución única a una multiplicidad de tratamientos de información y las pautas a seguir por el personal encargado de los mismos.
-
Así como, la mejora de la imagen corporativa de la empresa e incremento del valor de sus políticas de buen gobierno corporativo
