Las normas corporativas vinculantes son esenciales para garantizar la seguridad y el cumplimiento normativo en las transferencias internacionales de datos dentro de un grupo empresarial.
Las empresas deben asegurarse de que los datos personales que comparten, especialmente fuera del Espacio Económico Europeo (EEE), cumplen con la normativa vigente. Para ello, el Reglamento General de Protección de Datos (RGPD)establece requisitos específicos que deben respetarse.
¿Qué son las normas corporativas vinculantes (BCR) y por qué son clave para tu empresa?
Para conocer en profundidad qué son las normas corporativas vinculantes (BCR) es importante tener en cuenta que vivimos en un mundo cada día más conectado, donde es habitual que las empresas, en su día a día, compartan los datos personales de los que disponen con terceros.
Cuando los terceros con los que se comparten estos datos personales están situados fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega) estaríamos hablando de transferencias internacionales de datos.
Estas transferencias, y los casos en que pueden llevarse a cabo, están reguladas en el Reglamento General de Protección de Datos (RGPD) y en la Ley Orgánica de Protección de Datos (LOPD) en España, con el fin de garantizar que no se menoscabe la protección de los datos de las personas y se cumplan las normas corporativas vinculantes.
Concretamente, la normativa establece que únicamente se podrán realizar transferencias internacionales de datos si el responsable o el encargado del tratamiento cumplen con las condiciones establecidas en el capítulo V del Reglamento General de Protección de datos. El citado Capítulo V del RGPD señala que los responsables y encargados podrán realizar transferencias internacionales de datos los siguientes supuestos:
- Se podrá realizar a países, territorios, o sectores específicos que la Comisión Europea haya declarado que tienen un nivel de protección adecuado.
- En caso de no existir declaración de adecuación de la Comisión Europea, se podrán realizar si se aportan las garantías adecuadas: es en este punto donde encontramos las normas corporativas vinculantes.
Las normas corporativas vinculantes (también denominadas BCR) aparecen definidas en el artículo 4.20 RGPD, de manera que se consideran como tal:
“las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”
Dicho de otro modo, las normas corporativas vinculantes son reglas internas que se establecen dentro de un grupo o unión de empresas que operan en distintos países, con el objetivo de regularizar las transferencias internacionales que realicen entre ellas.
De esta manera se garantiza que las políticas de protección de los datos personales sean las mismas en todos esos países donde operan dichas empresas, y que sean adecuadas en base a la normativa de protección de datos existente a día de hoy en el EEE.
Para que estas normas corporativas vinculantes sean válidas, la Agencia Española de Protección de Datos (AEPD) debe aprobarlas. En base al artículo 47.1 RGPD, la AEPD las aprobará siempre y cuando:
- “Sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados.”
- “Confieran expresamente a los interesados derechos exigibles en relación con tratamiento de sus datos personales.”
- Cuenten con una serie de elementos que se enumeran en el artículo 47.2 RGPD.
¿Cuándo es necesario implementar las normas corporativas vinculantes?
A la hora de determinar si pueden ser necesarias las normas corporativas vinculantes, algunos de los puntos a tener en cuenta son:
Verificar si se están realizando transferencias de datos personales fuera del EEE
Aunque resulte obvio, lo primero que debemos tener en cuenta es si estamos realizando dichas transferencias, ya que no todos los países fuera del EEE tienen reglas de protección de datos tan estrictas como las del EEE.
Verificar si la Comisión Europea ha declarado este tercer país como adecuado
En caso de no existir dicha declaración, habría que acudir a otras garantías. Las normas corporativas vinculantes son uno de esos mecanismos, ya que sirven para asegurar que los datos serán tratados de acuerdo con los estándares de protección de la UE, incluso en países que no han sido declarados adecuados.
Determinar si pertenecemos a un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta
Cuando una empresa forma parte de un grupo o unión internacional de empresas, las transferencias internacionales entre ellas serán algo bastante habitual y regular. Las normas corporativas vinculantes serán una medida apropiada y eficiente que permitirá que las transferencias internacionales habituales y regulares dentro del grupo empresarial se realicen de manera legal y segura.
Sanciones por no cumplir correctamente la normativa de transferencias internacionales de datos
El RGPD y la LOPD establecen un régimen sancionador en materia de protección de datos cuando se incumplen las normas corporativas vinculantes. Concretamente, el RGPD en su artículo 83.4 y 5 establece que las sanciones máximas pueden varias entre:
- 10.000.000 € o, en caso de empresas el 2% del volumen de negocio total anual global del ejercicio financiero anterior (eligiéndose el de mayor cuantía), para las infracciones enumeradas en el art.83.4 RGPD.
- 20.000.000€ o, en caso de empresas el 4% del volumen de negocio total anual global del ejercicio financiero anterior (eligiéndose el de mayor cuantía), para las infracciones enumeradas en el art.83.5 RGPD.
A su vez, la LOPD regula el régimen sancionador, ampliando la regulación del RGPD.
Con todo esto, de forma resumida, podemos indicar que las infracciones se pueden dividir entre:
- Muy graves: aquellas reguladas en el artículo 72 LOPD y aquellas que vulneran los supuestos mencionados en los artículos 83.5 RGPD.
- Graves: aquellas reguladas en el artículo 73 LOPD y aquellas que vulneran los supuestos mencionados en los artículos 83.4 RGPD.
- Leves: aquellas enumeradas en el artículo 74 LOPD.
Explicado este punto, cabe preguntarse ¿dónde se encontrarían las infracciones relacionadas con las transferencias internacionales de datos? El artículo 83.5.c) indica que se sancionarán “con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía” las infracciones relacionadas con “las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 44 a 49”. Asimismo, la LOPD las regula en el artículo 72, indicando que se considerarán infracción muy grave aquellas relacionadas con:
“La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en los artículos 44 a 49 del Reglamento (UE) 2016/679”.
Por tanto, no podemos negar que el hecho de cumplir con la normativa en materia de protección de datos al realizar transferencias internacionales debería ser una prioridad para las empresas, ya que el impacto económico que puede resultar de su incumplimiento es muy grande.
Las normas corporativas vinculantes son fundamentales para garantizar que las transferencias internacionales de datos dentro de un grupo empresarial se realicen de acuerdo con la normativa de protección de datos europea.
Implementar estas normas vinculantes asegura que las políticas de protección de datos sean consistentes y que las empresas puedan operar de forma legal y segura en un entorno internacional.
En Grupo Adaptalia, te ayudamos a cumplir con las normas corporativas vinculantes en tu empresa. Contáctanos hoy y evita sanciones económicas severas por incumplimiento, que podrían tener un impacto significativo en las finanzas de tus empresas.
