Javier Puyol, abogado y socio Ecix Group
Como ventajas habituales de la utilización de las “BCR’s”, se suele señalar las siguientes:
a). Facilitar el flujo de datos entre compañías de la multinacional y crean la existencia de un valor añadido dentro de la propia multinacional.
b). De las “BCR’s” posibilitan su aplicación sobre la base del nivel de de segregación deseado sobre un conjunto de datos.
c). Su uso conlleva un menor volumen de tramitaciones administrativas y de burocracia ante la Agencia Española de Protección de Datos.
d). Posibilitan una mayor colaboración con los reguladores y las autoridades de control en la materia.
e). Proporcionan una mayor publicidad del tratamiento de los datos de cada a los titulares de los datos, y de los ciudadanos en general.
f). Facilitan la utilización del «Cloud Computing” entre los sistemas y las relaciones jurídicas internas de un grupo de naturaleza empresarial.
g) Y por último, conllevan un ahorro de carácter económico, como consecuencia de la disminución de las sanciones impuestas por el regulador.
Se suele afirmar que de las “BCR’s” constituyen una garantía de seguridad, y en ese sentido se puede afirmar, lo siguiente:
a). Producen una significativa mejora en la seguridad y en la imagen de la marca del grupo empresarial que las utiliza.
b). Determinan una tendencia hacia un modelo de seguridad documentado y alineado con los estándares propuestos por los organismos competentes en la materia.
c). Y provocan una mayor concienciación y conocimiento del negocio para el grupo empresarial que las utiliza. En este sentido, realizar un esfuerzo por adecuar las medidas de seguridad y la forma de trabajo del Grupo dentro de un entorno multinacional, proporciona la compañía un mayor rendimiento a largo plazo; tanto a nivel económico, como en lo que se refiere a un plano organizativo y social.
En lo que se refiere al alcance de estas normas vinculantes del grupo puede considerarse que las mismas se establecen en la Unión Europea frente al resto del mundo.
Su normativa se concreta básicamente, sin perjuicio de las matizaciones que más adelante se van a efectuar sobre la base de la Directiva 95/46/CE, esto es la Directiva de Protección de Datos de la Unión Europea, como de sobra es conocido.
Los requisitos de aplicación de estas reglas son muy sólidos, toda vez que encuentran su punto de apoyo, tanto la mencionada Directiva, como en las legislaciones internas que han transpuesto la misma.
De las “BCR’s” se encuentran a disposición de todas las organizaciones, revista de estas la naturaleza que tengan, y no se encuentran sometidos a un periodo de validez concreto, sino que por el contrario el mismo es de carácter indefinido, sin perjuicio de que dichas reglas se encuentran sometidas a revisiones periódicas de adecuación al negocio o de actualización, de acuerdo con la normativa en cada caso vigente.
Finalmente, debe indicarse que dichas reglas corporativas están sometidas a controles de auditoría, los cuales deben producirse de manera necesaria y pueden tener un carácter interno o externo al propio grupo empresarial que las adopta.
Al adoptarse reglas corporativas vinculantes por parte de un grupo empresarial, se debe estar en condiciones de demostrar que se mantiene un férreo control sobre todas las empresas del grupo, y ello con independencia de la concreta ubicación geográfica en la que cada una de ellas se cuenta.
Cuanto mayor sea el esfuerzo por unificar la política de seguridad y protección de datos que lleve a cabo una empresa multinacional y más exigente sea la política aplicada, constituye un hecho evidente que mejores serán los resultados obtenidos para dicho grupo en un plazo no demasiado lejano de tiempo.
Con carácter habitual, se suele indicar que en la adopción de las “BCR’s” frente a otro tipo de alternativas en materia de Transferencias Internacionales de Datos (TID), va a aportar a la compañía que las adopte, una serie de ventajas competitivas, entre las que cabe destacar las siguientes: a). Una mayor confianza del cliente. b). Una mayor eficiencia en los procesos de desarrollo. c). Un amplio y más diverso alcance de países destinatario de las mismas. d). Menores riesgos en lo que atañe a la seguridad. e). Reducción de costes de proyectos globales. Una vez analizadas las características y las ventajas de las BCR, procede estudiar su estructura interna.
Esta viene determinada por el WP número 154, del Grupo de Trabajo del Artículo 29 de la Directiva Comunitaria 95/46/CE, donde se determinó cual era el contenido mínimo que debía reunir una norma corporativa vinculante, para que desde una perspectiva estrictamente formal, pudiera ser considerada de manera efectiva como tal. En dicho Documento de Trabajo, se determinó la siguiente estructura formal para las mismas:
1. Ámbito de aplicación a). Una descripción del alcance de la aplicación BCR’s y especialmente: – Que se aplicará a las transferencias intra-grupo y procesamiento. – El ámbito geográfico (sólo datos procesados en la Unión Europea, y transferida fuera de la misma, o todos los datos). – El ámbito de aplicación material (por ejemplo, tipo de tratamiento: automático / manual, la naturaleza de los datos: cliente / HR / proveedores). b). Una descripción general de los flujos de datos y los propósitos de la transformación incluyendo: – La naturaleza de los datos transferidos. – Los efectos de la transferencia / procesamiento. – Los datos de los importadores / exportadores de la UE y fuera de la EU.
2. Definiciones a). Una descripción de los principales términos y sus definiciones: – Las definiciones principales (datos personales, datos personales importantes, sujetas datos, controladores, procesador, procesamiento, tercero, las Autoridades de Protección de Datos)., – Otras definiciones relevantes podrían ser insertados en un glosario, como exportador de datos, los datos importador, sede de la UE/EU miembro con responsabilidades delegadas, miembros del GRUPO, responsable de privacidad / función. – El compromiso de interpretar los términos de los BCR de acuerdo con las Directivas de la UE 95/46/CE y 2002/58/CE.
3. Limitación de la finalidad a). Una descripción de los fines para los que los datos son procesados y transferidos y la confirmación de que: – Los datos personales serán transferidos y tratados con fines específicos y legítimos. – Los datos personales no serán tratados posteriormente de manera incompatible con dichos fines. – Los datos sensibles contará con medidas de seguridad adicionales que se estipulan en la UE.
4. Datos de calidad y proporcionalidad. a). Un compromiso que: – Los datos personales deben ser exactos y, cuando sea necesario, estar al día. – Los datos personales deben ser adecuados, pertinentes y no excesivos en relación con los fines para los que se transfieren y se procesan adicionalmente. – Los datos personales no deben ser procesados por más tiempo del necesario para los fines para los la que se obtienen y procesan.
5.Fundamento jurídico del tratamiento de datos personales a). Los datos personales deben ser procesados por los motivos siguientes: – El interesado ha dado su consentimiento de forma inequívoca, o – El tratamiento es necesario para la ejecución de un contrato para el que el interesado sea parte o para tomar medidas a petición del interesado, antes de entrar en un contrato, o – El tratamiento es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto, o – El tratamiento sea necesario para salvaguardar el interés vital del interesado, o – El tratamiento es necesario para el desempeño de una tarea llevada a cabo en el público interés o en el ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o – El tratamiento es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, salvo que se tales intereses no prevalezca el interés o los derechos y libertades fundamentales de los datos del sujeto.
6. Fundamento jurídico de tratamiento de datos sensibles a). Tratamiento de datos sensibles es prohibido esperar si: – El interesado ha dado su consentimiento explícito al tratamiento de las personas sensibles datos, salvo que la legislación aplicable lo prohíba, o – El tratamiento es necesario para los fines del cumplimiento de las obligaciones y derechos específicos del tratamiento en materia de Derecho laboral en la medida en que es autorizado por la legislación y ésta prevea garantías adecuadas, o – El tratamiento sea necesario para salvaguardar el interés vital del interesado o de otra persona, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento, o – El tratamiento se lleva a cabo en el curso de sus actividades legítimas y con adecuada garantías por una fundación, asociación o cualquier otro organismo sin fin de lucro, con un condición política, filosófica, religiosa o sindical objetivo y en que el tratamiento se refiera únicamente a los miembros del cuerpo o de las personas que mantengan regularmente póngase en contacto con él en relación con sus objetivos, y que los datos no se comuniquen a terceros sin el consentimiento de los interesados, o, – El tratamiento se refiera a datos confidenciales que se haya hecho manifiestamente públicos los datos sujeto; o – El tratamiento de datos sensibles es necesario para el reconocimiento, ejercicio o defensa de demandas judiciales, o – El tratamiento de los datos sensibles se requiere para los fines de prevención medicina, el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios de salud, y donde los datos sensibles son procesados por un salud sujeto profesional en la legislación nacional o las normas establecidas por las autoridades nacionales competentes cuerpos a la obligación de secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.
7. La transparencia y la información correcta a). Un compromiso para hacer que el BCR sea un instrumento de fácil disposición para todos los interesados. Por otra parte, sus BCR’s describirá el objeto manera los datos son informados de la transferencia y tratamiento de sus datos personales. b). Un compromiso que antes de los datos se procesan los interesados se les dará la siguiente información: – La identidad del responsable del tratamiento (s) y de su representante, si lo hubiere; – Los efectos del tratamiento al que se destinan los datos; – Cualquier otra información tal como: i) los destinatarios o categorías de destinatarios de los datos. ii) la existencia del derecho de acceso y el derecho a la rectificación de los datos relativos en la medida en que dicha información suplementaria resulte necesaria, habida cuenta de la específica circunstancias en que se obtengan los datos, para garantizar un tratamiento equitativo con respecto a los datos del sujeto. Cuando los datos no hayan sido recabados del propio interesado, la obligación de informar a los datos sujetos no se aplica si la difusión de la información al interesado resulte imposible o exija esfuerzos desproporcionados o el registro o la comunicación está expresamente prevista por la ley.
8 – Derechos de acceso, rectificación, supresión y bloqueo de los datos: a). Un compromiso que: – Todo interesado tiene derecho a obtener, sin restricciones y con una periodicidad razonable y sin retrasos ni gastos excesivos de una copia de todos los datos relativos a ellos que son procesada. – Todo interesado tiene derecho a obtener la rectificación, supresión o bloqueo de los datos en particular porque los datos son incompletos o inexactos. – Cada interesado tiene derecho a oponerse, en cualquier momento, convincente legítimo motivos relacionados con su situación particular, al tratamiento de sus datos personales, a menos que el procesamiento es requerido por la ley. Cuando la oposición es justificada, el tratamiento debe cesar. – Todo interesado tiene derecho a oponerse, previa petición y sin cargo de, al tratamiento de datos personales que le conciernen para fines de venta directa. – Una explicación de cómo los interesados pueden tener acceso a sus datos personales.
9. Decisiones individuales automatizadas a). Un compromiso que no es posible evaluar o decisión acerca de la persona, determinando de manera significativa los efectos les será basada únicamente en un tratamiento automatizado de sus datos a menos que esa decisión: – Se toma en el marco de la celebración o ejecución de un contrato, siempre que el solicitud para la celebración o la ejecución del contrato presentada por los datos materia, se han satisfecho o que existan medidas apropiadas para salvaguardar sus intereses legítimos, tales como la posibilidad de defender su punto de vista, o, – Está autorizado por una ley que establezca medidas para salvaguardar los datos del sujeto intereses legítimos.
10. Seguridad y confidencialidad. Un compromiso que las medidas técnicas y organizativas adecuadas para proteger los datos personales han llevado a cabo contra la destrucción accidental o ilícita o su pérdida accidental, alteración, divulgación o acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos a través de una red, y contra cualquier otra forma de tratamiento ilícito. Visto el estado de la técnica y el coste de su aplicación, dichas medidas garantizar un nivel de seguridad adecuado a los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse. A este respecto, los datos sensibles deben ser procesados con medidas de seguridad mejoradas.
11 – Las relaciones con los procesadores que son miembros del grupo. a). Una explicación de cómo los datos personales están protegidos a través de un procesador que es miembro del grupo. En particular, el requisito de: – El controlador debe elegir un tratamiento que reúna garantías suficientes en relación con las medidas de seguridad de carácter técnicas y organizativas que rigen la tramitación que se llevarán a cabo, y debe garantizar el cumplimiento de dichas medidas. – El controlador deberá indicar al procesador por escrito vía contractual, de acuerdo con la ley aplicable y el presente contrato se estipula entre otras: i) Que el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento. ii) Las normas relativas a la seguridad y confidencialidad que corresponde a la procesador
12. Restricciones a la transferencia y traslado del aeropuerto a procesadores externos y controladores (no los miembros del grupo). a). Una explicación de las medidas adoptadas para restringir las transferencias y las transferencias en adelante fuera del grupo y el compromiso de que: – Procesadores externos ubicados dentro de la UE o en un país reconocido por la UE Comisión y garantizar un nivel adecuado de protección estarán obligados por un escrito acuerdo que establezca que el tratamiento sólo actúa siguiendo instrucciones del responsable del controlador y será responsable de la aplicación de la seguridad adecuada y medidas de confidencialidad. – Todas las transferencias de datos a los controladores externos situados fuera de la UE deben respetar la Normas europeas sobre los flujos de datos transfronterizos (artículos 25-26 de la Directiva 95/46/CE: para ejemplo haciendo uso de las cláusulas contractuales de la UE aprobados por la UE Comisión 2001/497/CE o 2004/915/CE o por otros medios contractuales adecuados de acuerdo con los artículos 25 y 26 de la Directiva de la UE). – Todas las transferencias de datos a los procesadores externos situados fuera de la UE deben respetar las normas en relación con los procesadores (artículos 16-17 Directiva 95/45/CE) además de las normas en los flujos transfronterizos de datos (artículos 25-26 de la Directiva 95/46/CE).
13. Programa de capacitación Un compromiso de proporcionar una formación adecuada en las BCR al personal que haya permanente o acceso regular a los datos de carácter personal, participan en la recogida de datos de carácter personal o en el desarrollo de herramientas para procesar los datos personales.
14. Programa de Auditoría a). Un compromiso para auditar el cumplimiento del grupo con los BCR y que, en particular: – El programa de auditoría abarca todos los aspectos del BCR, incluyendo métodos para garantizar que las acciones correctivas se llevarán a cabo. – Dicha auditoría debe llevarse a cabo sobre una base regular (especificar el tiempo) por el interior o equipo de auditoría externa acreditada o previa solicitud expresa del funcionario de privacidad / función (o cualquier otra función competente en la organización) – Los resultados de todas las auditorías deben ser comunicados al oficial de privacidad / función (o cualquier otra función competente en la organización) y al consejo de administración. – Las autoridades de protección de datos pueden recibir una copia de las auditorías practicadas a petición. – El plan de auditoría debe permitir que las autoridades de protección de datos que tienen el poder para llevar a cabo una auditoría de protección de datos si es necesario. – Cada miembro del grupo deberá aceptar que puedan ser auditados por los datos Autoridades de protección y que van a seguir los consejos de la Protección de Datos Autoridad, sobre cualquier asunto relacionado con esas reglas.
15. Cumplimiento y supervisión del cumplimiento. a). Un compromiso de nombrar al personal adecuado (por ejemplo, una red de funcionarios de privacidad), con la parte superior apoyo a la gestión para supervisar y garantizar el cumplimiento de las normas. b). Una breve descripción de la estructura interna, el papel y las responsabilidades de la red o privacidad funcionarios o función similar creado para garantizar el cumplimiento de las normas. Por ejemplo, que el director de privacidad asesora al consejo de administración, se ocupa de la protección de datos Investigaciones de las autoridades, informa anualmente sobre el cumplimiento, garantiza el cumplimiento a nivel global nivel y que los agentes de privacidad puede ser responsable por el manejo de quejas locales a partir de datos sujetos, de informar sobre asuntos importantes de privacidad para el director de privacidad y de garantizar cumplimiento a nivel local.
16. Acciones en caso de una legislación nacional que impiden el respeto de las BCR. Un compromiso claro de que cuando un miembro del grupo tiene razones para creer que la legislación que le sea aplicable impide a la empresa cumplir con sus obligaciones en virtud de las “BCR’s” y tiene un efecto sustancial en las garantías ofrecidas por las reglas, que rápidamente se informar a la sede de la Unión Europea o el miembro de la Unión Europea con responsabilidades delegadas de protección de datos o la otra función relevante privacidad (excepto donde esté prohibido por la aplicación de la ley autoridad, como la prohibición en la legislación penal para preservar la confidencialidad de una ley aplicación investigación). Además, el compromiso de que cuando existe un conflicto entre el derecho nacional y el compromisos en el “BCR” la sede de la Unión Europea, el miembro de la UE con la protección de datos delegada responsabilidades o la otra función Privacidad, tendrá validez una decisión responsable en lo que acción a tomar y consultará a las autoridades competentes de protección de datos en caso de duda.
17. Mecanismos internos de Quejas. a). Un compromiso de poner en marcha un proceso de tramitación de reclamaciones donde: – Cualquier interesado podrá quejarse de que cualquier miembro del grupo no está cumpliendo con el BCR. – Las quejas serán tratadas por un departamento claramente identificado la persona que debe disfrutar de un nivel adecuado de independencia en el ejercicio de sus funciones.
18.Tercer derechos de los beneficiarios del partido. a). Una declaración clara de que los derechos BCR conceder a los interesados para hacer cumplir las normas como de terceros beneficiarios. Los derechos deben cubrir los recursos judiciales en caso de violación de los derechos garantizadas y el derecho a recibir una indemnización (véanse los artículos 22 y 23 de la Directiva de la UE). b). Una declaración de que los interesados pueden optar por presentar sus créditos antes: – La jurisdicción del exportador de datos situados en la Unión Europea, o- La jurisdicción de la sede de la UE / el miembro de la Unión Europea con responsabilidades delegadas, o – Antes de las autoridades de protección de datos competentes. – Un compromiso que todos los interesados beneficiando de los derechos de la tercera parte beneficiaria también deben tener acceso fácil a esta cláusula.
19. Responsabilidad. a). Un compromiso que: – Ya sea sede de la Unión Europea o de los Estados miembros de la Unión Europea con responsabilidades delegadas aceptar responsabilidad y se comprometen a adoptar las medidas necesarias para remediar los actos de otro. – Los miembros del grupo de empresas fuera de la Unión Europea y al pago de una indemnización por cualesquiera daños producidos por la violación de los “BCR’s” por los miembros del grupo. – La carga de la prueba se mantiene, ya sea con la sede de la Unión Europea o de los Estados miembros de la Unión Europea con responsabilidades delegadas para demostrar que el miembro fuera de la Unión Europea no se hace responsable resultante de la violación de los daños y perjuicios reclamados por el interesado. Si la sede de la Unión Europea o de los Estados miembros de la UE con responsabilidades delegadas puede probar que el miembro de fuera de la UE no es responsable de la violación, podrá quedar exento de cualquier responsabilidad.
20. Asistencia mutua y cooperación con las autoridades de protección de datos. a). Un compromiso que: – Los miembros del grupo deberán cooperar y prestarse asistencia mutua para controlar una solicitud o denuncia de un particular o de una investigación o indagación de Protección de Datos Autoridades. – Entidades que seguir los consejos de las autoridades de protección de datos en todas las cuestiones con respecto a la interpretación de las “BCR’s”.
21. Actualizaciones de las normas. Un compromiso de informar cualquier cambio significativo en la “BCR” o en la lista de miembros para todos los miembros del grupo ya las autoridades de protección de datos para tener en cuenta modificaciones del entorno regulatorio y la estructura de la empresa y, más concretamente que: – Algunas modificaciones podría exigir una nueva autorización de las Autoridades de Protección de Datos. – Actualizaciones de las “BCR’s” o en la lista de los miembros del grupo sometido a las “BCR’s” son posible sin tener que volver a solicitar una autorización siempre que: i) Una persona identificada mantener una lista totalmente actualizada de los miembros de las “BCR’s” y seguimiento y registrar todos los cambios a las reglas y proporcionar la necesaria información a los interesados o las autoridades de protección de datos que lo soliciten. ii) no se efectúa la transferencia a un nuevo miembro hasta que el nuevo miembro está efectivamente ligado por el BCR y puede entregar su cumplimiento. iii) Cualquier cambio en los “BCR’s” y/o la lista de miembros se notificará una vez al año a las autoridades de protección de datos que conceden las autorizaciones con un breve explicación de las razones que justifican la actualización. Un compromiso que las modificaciones sustanciales de las reglas también se comunicará a la datos de los sujetos.
22. Relación entre las leyes nacionales y las “BCR’s”. a). Una explicación que: – Cuando la legislación local, por ejemplo, la legislación de la Unión Europea, exige un mayor nivel de protección de los datos personales que tendrán prioridad sobre las “BCR’s”. – En ningún caso la información será procesada de acuerdo a la legislación aplicable de conformidad por el artículo 4 de la Directiva 95/46/CE y la legislación local pertinente
23. Disposiciones finales
a). Entrada en vigor
b). Período transitorio
c).Documentación que debe proporcionarse a las Agencias de Protección de Datos – Impreso de solicitud normalizado (WP133) – Cualquier otra documentación que pueda demostrar que los compromisos en el BCR se respetan, por ejemplo: i). Las políticas de privacidad por el procesamiento (por ejemplo, la Política de Privacidad de Clientes, HR Privacidad Política) para informar a los interesados (por ejemplo, clientes, empleados) acerca de la forma en que la Compañía protege sus datos personales ii). Directrices para los empleados que tienen acceso a datos personales por lo que fácilmente puede comprender y aplicar las reglas establecidas en las BCR (por ejemplo, directrices sobre cómo para responder a una queja presentada por un interesado, sobre la forma de proporcionar información a los interesados, en adecuadas de seguridad / confidencialidad medidas a observar) iii). La protección de datos de auditoría plan y programa definido con las personas pertinentes (Internos / externos auditores acreditados de la empresa) iv).Ejemplos y / o explicación del programa de formación v). Documentación que demuestre que el miembro que está en el origen de la transferencia de datos fuera de la Unión Europea y, o bien la sede de la UE o de los Estados miembros de la UE con responsabilidades delegadas tiene activos suficientes para permitir el pago de indemnización por daños y perjuicios derivados de la infracción de las “BCR’s”. vi). Descripción del sistema de reclamaciones internas vii). Lista de entidades vinculadas por las BCR’s. viii). Política de seguridad para los sistemas de procesamiento de datos personales de la Unión Europea. ix).Proceso de certificación para asegurarse de que todas las nuevas aplicaciones de procesamiento de datos en la Unión Europea cumplen lo pactado en las BCR’s. xi). Los contratos-tipo que se utilizarán con los procesadores de datos (miembro o no miembro del Grupo) de procesamiento de datos de la Unión Europea. xii). Descripción del trabajo de los oficiales de protección de datos u otras personas a cargo de los datos protección en la Compañía”.
