Las normas corporativas vinculantes o “binding corporate rules” (“BCR’s) I.
Javier Puyol, abogado y socio Ecix Group
Las normas corporativas vinculantes son una herramienta que puede ser usada para proteger adecuadamente los datos personales cuando se transfiere o procesada fuera la Unión Europea.
Las empresas pueden adoptar estas normas de manera voluntaria y pueden ser utilizadas para las transferencias de datos entre las empresas que forman parte del mismo grupo empresarial, como a continuación se tratará de justificar de manera pormenorizada su funcionamiento.
La situación de los grupos de empresas es la de un número de sociedades en las que el patrimonio de una se compone de acciones de la otra.
El derecho mercantil prevé algunas vigilancias para el control de las entidades así constituidas. El hecho importante a tener en cuenta es que las diferentes sociedades tienen diferenciada su personalidad jurídica, de modo que cada una tiene la suya, a pesar de que una sociedad mercantil esté participada por otra.
De este modo, a los efectos de la Ley Orgánica 15/1.999, cada sociedad mercantil es responsable de los ficheros de datos de su titularidad y debe de aplicar la normativa de protección de datos con respecto de sus tratamientos.
El intercambio de datos entre sociedades del mismo grupo se considera cesión igual que si se realizara entre sociedades de fuera del grupo.
Se necesitará el consentimiento del interesado. La inscripción de ficheros debe realizarse por todas las sociedades siempre que dispongan de datos personales, aunque respondan a las mismas finalidades.
Los contratos con los prestadores de servicios deben celebrarse por todas ellas y, en definitiva, cada una de ellas debe someterse a una adecuación de sus ficheros y sistemas a la Ley Orgánica 15/1.999 y a su Reglamento.
Ocurre que, en casos de modificaciones del responsable del fichero como consecuencia de operaciones de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión del negocio o rama de actividad empresarial o cualquier otra operación de reestructuración societaria de análoga naturaleza que esté contemplada por la normativa mercantil, no se producirá cesión de datos.
No obstante, el responsable deberá proceder a informar a los interesados según marca la Ley Orgánica 15/1.999.
Las “Binding Corporate Rules” o “Reglas Corporativas Vinculantes” (“BCR”) constituyen un modelo alternativo para cumplir con los requisitos que permiten autorizar otras redes internacionales, consistente en la elaboración y aplicación de dichas normas, presentando como característica este modelo, el que es común el caso del grupo de compañías internacionales, y a veces una cierta complejidad en su tramitación.
Fernández de Marcos señala que las BCRs pueden ser definidas como un conjunto de cláusulas vinculantes corporativas que tienen por objeto establecer las prácticas que una entidad lleva a cabo en materia de tratamiento de datos de carácter personal, usualmente con la finalidad de facilitar las transferencias internacionales de datos en el seno de dicha corporación.
Por lo tanto, reiteramos que podrían incluso considerarse un claro precedente, aunque menos ambicioso y complejo, de los estándares de protección de la privacidad.
La Resolución de Madrid, por su parte, en el art. 15 dedicado a las transferencias internacionales aclara: «2. Será posible realizar transferencias internacionales de datos de carácter personal a Estados que no ofrezcan el nivel de protección previsto en el presente Documento, cuando quien pretenda transferir dichos datos garantice que el destinatario ofrecerá dicho nivel de protección; dicha garantía podrá derivarse, por ejemplo, de cláusulas contractuales apropiadas. En particular, cuando la transferencia se lleve a cabo en el seno de organizaciones o de grupos multinacionales, dicha garantía podrá consistir en la existencia de normas internas de privacidad cuya observancia resulte vinculante»
Las “Reglas Corporativas Vinculantes», son un instrumento potenciado por la Unión Europea, enfocado a flexibilizar los movimientos internacionales de datos personales entre un grupo de empresas multinacionales con filiales establecidas incluso fuera del Espacio Económico Europeo (“EEE”).
En este sentido, las normas corporativas vinculantes(«BCR»), desde el ámbito comunitario han sido catalogadas como normas internas (por ejemplo, un código de conducta) aprobadas por el grupo multinacional de empresas que definen su política global con respecto a las transferencias internacionales de datos personales en el mismo grupo empresarial a entidades ubicadas en países que no proporcionan un nivel adecuado de protección.
Según indica Aparicio Salom, en la actualidad sin perjuicio de ciertas dudas que pudieran plantearse un principio, que debe afirmar que el criterio de la Agencia Española de Protección de Datos con relación al concepto de “Grupo de Empresas” es un informe, entendiendo que la vinculación que puede existir entre las sociedades que integran un grupo empresarial no puede ser tenido en consideración que en el análisis de las circunstancias que concurren en una sesión de datos.
El fundamento de esta doctrina está en que la existente de un grupo, que es la situación en que se encuentran las sociales cuando una posee en su patrimonio acciones de otra por encima de un mínimo, sólo se contempla el derecho mercantil para determinar ciertos controles jurídicos en el funcionamiento de dichas entidades.
En definitiva, debe entenderse que la existencia de un grupo de empresas no impide que cada una de las sociedades integradas en el mismo mantenga diferenciada imprima su personalidad jurídica.
Por tanto, a todos los efectos jurídicos, la circunstancia de que una sociedad que participará por otra no afecta al hecho de que cada una de ellas tenga su propia personalidad jurídica, de modo que la comunicación de datos se produce entre dos personas distintas, sin que exista una previsión legal que flexibilice los requisitos para la legitimidad de dicha sesión, que, por ello, sólo podrá realizarse con arreglo a las limitaciones y garantías que establece la ley con carácter general.
Las normas corporativas vinculantes no deben ser considerada como la única o la mejor herramienta para la realización de transferencias internacionales, pero si como un elemento adicional donde el uso de instrumentos existentes (es decir, decisiones de la Comisión sobre las cláusulas contractuales o las Principios de Puerto Seguro en su caso) parecen ser especialmente problemáticos.
Las “BCR’s” se definen, sobre la base del Artículo 29 de la Directiva 95/46/CE de Protección de Datos, un conjunto de normas vinculantes para las filiales extra comunitarias del grupo empresarial en relación a los datos personales transferidos.
Asimismo, se encuentran recogidas dentro del Reglamento de Desarrollo de la Ley Orgánica 15/1.999, de Protección de Datos de Carácter Personal, concretamente en el apartado 4º del artículo 70.
El concepto de “Grupo de Empresas”, debe interpretarse, de acuerdo con el Expositivo Vigésimo Octavo del Proyecto de Reglamento General, por aquel que: “Está constituido por una empresa que ejerce el control y las empresas controladas, en virtud de lo cual la empresa que ejerce el control debe ser la empresa que pueda ejercer una influencia dominante en las otras empresas, por razones, por ejemplo, de propiedad, participación financiera, las normas que la rigen o el poder de hacer que se cumplan las normas de protección de datos personales”.
Los datos sometidos al cumplimiento de estas reglas son aquellos que en algún momento son procesados en el espacio económico europeo, quedando excluido las transferencias entre otras filiales del grupo fuera de la Unión Europea.
A los efectos de buscar soluciones constructivas de cara a resolver los problemas legales derivados de las transferencias internacionales de datos, las empresas, desde una perspectiva global, a nivel grupo, han optado de forma minoritaria por una solución para solventar esta cuestión. Y esta solución se denomina, como ha quedado dicho como “Reglas Corporativas Vinculantes” («BCR»), que son normas internas (por ejemplo, un código de conducta) aprobadas por el grupo multinacional de empresas que definen su política global con respecto a las transferencias internacionales de datos personales en el mismo grupo empresarial a entidades ubicadas en países que no proporcionan un nivel adecuado de protección.
El propósito de las “BCR’s” no es otros que el ser utilizadas por empresas multinacionales con el fin de ofrecer garantías suficientes para la protección de los derechos de privacidad y fundamentales y las libertades de los individuos en el sentido del artículo 26 (2) de la Directiva 95/46/CE para todas las transferencias de datos personales protegidos por una ley europea.
Consideraciones sobre el carácter vinculante de las normas corporativas.
Las Organizaciones tienen la necesidad de responder a sus necesidades de procesamiento de datos teniendo en consideración la existencia de diferentes sistemas jurídicos y culturas y filosofías, y asimismo a diferentes prácticas empresariales.
Desde la limitada experiencia en el funcionamiento de estos instrumentos, es evidente que casi todas las compañías multinacionales abordan este asunto de una manera diferente.
Hay, sin embargo, un elemento que se encuentra presentes en todos los sistemas, relativo a si han de utilizarse las mismas con la finalidad de aportar una salvaguarda o garantía a las transferencias de datos a terceros países, y ello se concreta en la naturaleza vinculante de las normas corporativas, tanto desde una perspectiva interna como hacia el mundo exterior, es decir, con relación a la exigibilidad jurídica de dichas normas.
Con relación al carácter vinculante de las normas corporativas dentro del grupo corporativo cabe señalar lo siguiente. Una primera distinción se puede hacer con relación a la cuestión atinente a la eficacia del cumplimiento de tales normas, y los problemas derivados de su exigibilidad legal. En efecto, la determinación de la «obligatoriedad» de tales normas corporativas implica una común evaluación de su carácter vinculante en Derecho o su exigibilidad legal, y de su eficacia en la práctica, es decir, todo lo relativo a su cumplimiento.
Incluso cabe plantearse la exigibilidad jurídica de dichos compromisos unilaterales y si los mismos poseen semejantes efectos a los que produce, por ejemplo un contrato, y, consecuentemente con ello, si estas circunstancias pueden ser demostradas desde un punto de vista conceptual.
En este sentido, debe indicarse que la realidad de la observancia de los derechos en escenarios transfronterizos es siempre muy compleja, y puede implicar su acreditación un esfuerzo desproporcionado para los sujetos que llevan a cabo los tratamientos de datos de carácter personal.
Por lo tanto, vale la pena determinar las razones y los modos que propicien que las normas internas no sólo sean legalmente ejecutivas, sino también lo sean de manera obligatoria en la práctica. En cuanto al carácter vinculante de las normas en la práctica, cabe señalar a este respecto, que ello implicaría que los miembros de un grupo de sociedades, así como de cada uno de los empleados dentro de él, se sientan obligados a cumplir con las normas internas.
A este respecto, los elementos correspondientes podrían incluir la existencia de sanciones disciplinarias en caso de violación de las reglas, individuales y eficaces información de los trabajadores, el establecimiento de programas de educación especial para los empleados y subcontratistas, etc.
Todos estos elementos, podrían establecer por qué los individuos dentro del grupo de empresas se sientan obligados a cumplir con estas reglas. Desde el punto de vista interno, no corresponde al Grupo de Trabajo de Trabajo del artículo 29 de la Directiva 95/46 la obligación de estipular la forma en que los grupos de sociedades deben garantizar que todos los miembros se encuentren efectivamente vinculados o sientan obligados por las reglas corporativas, aunque algunos ejemplos son bien conocidos tales como la aplicación de las políticas o códigos internos cuya observancia si es responsabilidad de dicho grupo de empresas.
Asimismo, los grupos de sociedades deben tener en cuenta que cuando se solicitan un reconocimiento o validación de las “BCR’s” tienen que acreditar la vinculación y la obligatoriedad de todas las empresas del grupo de sociedades con las normas cuyo reconocimiento se pretenda.
Las características internas de las reglas deben ser claras y lo suficientemente explícitas para poder garantizar el cumplimiento de las reglas dentro y fuera de la Unión Europea, determinándose la responsabilidad del miembro europeo de dicho grupo de sociedades que debe adoptar bajo su responsabilidad las medidas necesarias para garantizar que cualquier miembro extranjero ajuste sus actividades de procesamiento a los compromisos contenidos en dichas reglas corporativas vinculantes.
Como punto de partida debe indicarse que siempre tiene que haber un miembro de dicho grupo, es decir, un miembro de la Unión Europea perteneciente al grupo de empresas que proporcione garantías suficientes y, además que pueda hacer frente a cualquier petición que le efectúe una autoridad de protección de datos.
Si la sede del grupo empresarial estuviera en otro ámbito territorial fuera de la Unión Europea, deberá existir una delegación de responsabilidades en favor de un miembro de dicho grupo que tenga su sede en la UE.
En ese sentido, las “BCR’s” aseguran que todas las transferencias se hacen dentro de un grupo se benefician de un nivel adecuado de protección.
Esta es una alternativa a la empresa a tener que firmar cláusulas contractuales cada vez que necesita para transferir datos a un miembro de su grupo, y puede ser preferible cuando se convierte en una carga para firmar cláusulas contractuales tipo para cada transferencia realizada dentro de un grupo.
Como propósitos habituales perseguidos por la puesta en marcha de estas normas corporativas vinculantes desde la Comisión europea se señalan las que se indican a continuación.
Una vez aprobado en el marco del procedimiento de cooperación de la Unión Europea, las “BCR proporcionar un nivel de protección suficiente a las empresas para conseguir la autorización de las transferencias de las autoridades nacionales de protección de datos («DPA»).
Cabe señalar que el BCR no proporcionan una base para las transmisiones realizadas fuera del grupo.
El artículo 29, Grupo de Trabajo ha subrayado que el hecho de que este trabajo documento se centran en normas corporativas vinculantes (o códigos de conducta más tradicional terminología) no debe interpretarse como una indicación de que las soluciones contractuales han sido superadas.
Por el contrario, después de las decisiones de la Comisión relativas a la norma contractual cláusulas y la orientación considerable proporcionados por este Grupo de Trabajo y las autoridades de protección de datos nacionales, las empresas están haciendo un amplio uso de estos instrumentos de forma muy manera positiva y alentadora (por ejemplo, las cláusulas contractuales con muchos partidos a del contrato).
El Grupo del artículo 29 considera que el potencial de las cláusulas contractuales sólo ha empezado a ser explotado por los operadores. Dos cuestiones bien diferenciadas, deben ser señaladas en este respecto.
En primer lugar, las decisiones de la Comisión relativa a las cláusulas contractuales que un Estado miembro desde la determinación de que un exportador de datos listo para entrar en un contrato de acuerdo con la las cláusulas contractuales no ofrece garantías suficientes para que la transferencia tenga lugar, salvo en las circunstancias particulares fijadas por las decisiones de la Comisión.
Es decir, las cláusulas contractuales tipo son una herramienta útil y práctica – en el momento ya está disponible para operadores – legalmente reconocidos y adoptados en la Unión Europea y nacional nivel, lo que proporciona un nivel de igualdad, suficiente de garantías armonizadas para los operadores y los datos de los sujetos.
Al mismo tiempo, los Estados miembros tienen derecho a considerar otras acuerdos contractuales, siempre que, sin duda, garantizar un nivel suficiente de protección de los datos personales en cuestión.
En segundo lugar, también parece posible, sobre la base de la utilización de las cláusulas contractuales, prever el uso de las reglas corporativas vinculantes para permitir, bajo ciertas condiciones, transferencias sucesivas a otros destinatarios distintos del importador de datos sin otros contratos siendo necesario con estos receptores adicionales.
Parece que hay una interesante combinación de considerar las soluciones contractuales y el uso de la unión normas corporativas que puedan superar los obstáculos que plantea la falta de efectos jurídicos de compromisos unilaterales de algunos Estados miembros.
Por lo tanto, la circulación de los datos personales dentro de los miembros del grupo empresarial podría ser permitido por esta solución, dado las garantías necesarias se lleven a cabo.
