GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

TRANSFERENCIA DE DATOS PERSONALES A UN TERCER PAÍS

Normas corporativas vinculantes

Es común que los grupos internacionales de empresas, con empresas del grupo en terceros países, transfieran datos personales entre ellos. 

RGPD - Reglas corporativas vinculantes

Esto puede permitirse si desarrollan normas corporativas vinculantes (BCR) que regulen el procesamiento de datos personales. Además, por ejemplo, un grupo de empresas puede establecer normas corporativas vinculantes si ejercen conjuntamente una actividad económica. 

Las normas corporativas vinculantes son un ejemplo de salvaguardia adecuada con arreglo al artículo 46, apartado 2, letra b), del RGPD. Las normas sobre normas corporativas vinculantes se rigen por el artículo 47 del RGPD y por el considerando 110. 

El propósito de las BCR es regular la transferencia de datos personales por parte del grupo a empresas dentro de su propio grupo ubicadas en un tercer país. 

What breaches of the GDPR can lead to an administrative fine?

Las normas corporativas vinculantes deben ser aprobadas

Tenga en cuenta que una autoridad de protección de datos en la UE debe aprobar las normas corporativas vinculantes para que sean válidas. Además, la autoridad de protección de datos debe solicitar un dictamen al Comité Europeo de Protección de Datos (CEPD). Esto incluye a todas las autoridades de supervisión de RGPD de los países de la UE y del EEE. Es importante que la empresa tome las medidas de seguridad adecuadas para proteger los datos personales, algo que se tiene en cuenta a la hora de aprobar normas corporativas vinculantes. 

Aquí puede leer más sobre los criterios para obtener la aprobación de las reglas corporativas vinculantes. 

Ventajas de las Reglas Corporativas Vinculantes

  • Es tanto una prueba como una imagen del compromiso de la empresa con el cumplimiento de las normas de protección de datos. 
  • La empresa trata los datos personales de acuerdo con los principios y normas establecidos en el RGPD. 
  • Todas las empresas dentro del grupo corporativo no tienen que celebrar acuerdos separados con respecto a la transferencia de datos personales entre sí. 
  • El grupo puede tener prácticas consistentes de protección de datos en todas sus empresas. 

Pasos para que se aprueben las normas corporativas vinculantes

1. Autoridad responsable de la protección de datos

La empresa debe proponer y justificar qué autoridad de control del país de la UE será la principal autoridad de protección de datos para el caso. La propuesta debe justificarse sobre la base de determinados criterios. Tenga en cuenta que no son estos criterios los que constituyen un requisito formal, pero que, no obstante, se tienen en cuenta. Estos son algunos factores a tener en cuenta en la evaluación: 

Measures that companies need to take to comply with GDPR
Sociedad matriz

El país dentro de la UE o del EEE en el que está establecida la sociedad matriz del grupo.

What is the definition of anonymised data?
Responsabilidad

El país dentro de la UE o del EEE en el que está establecida la empresa del grupo a la que se ha encomendado la responsabilidad de la protección de datos.

Gestionar el proceso de solicitud

Qué país dentro de la UE o del EEE que la empresa dentro del grupo puede gestionar mejor el proceso de solicitud y aplicar las normas corporativas vinculantes dentro del grupo.

Subjektivt integritetskänsliga personuppgifter
Toma de decisiones para el RGPD

De qué país dentro de la UE o el EEE proviene la mayoría de la toma de decisiones con respecto al RGPD.

Sensitive personal data according to GDPR
País de transferencia

El país dentro de la UE o del EEE desde el que se transferirán los datos personales al tercer país.

2. Send the application

Rellene el formulario de solicitud y envíelo a la autoridad de protección de datos principal. Además, puede ser útil presentar una lista de las empresas del grupo a las que se pretenden remitir las normas corporativas vinculantes, con el fin de facilitar a la autoridad de protección de datos el tratamiento de la solicitud. 

Tenga en cuenta que las empresas deben presentar dos formularios de solicitud separados si las normas corporativas vinculantes se aplican tanto a los responsables como a los encargados del tratamiento. 

3. Evaluación por parte de la autoridad responsable de la protección de datos

Solo porque una empresa hace la evaluación de que una autoridad de protección de datos en un país en particular debe ser la líder. No significa que la autoridad de protección de datos o el Comité Europeo de Protección de Datos lo piensen así. 

Por lo tanto, previa solicitud, la autoridad de protección de datos realizará su propia evaluación en cuanto a si son las más adecuadas como autoridad principal de protección de datos. En caso contrario, podrán enviar la solicitud a otra autoridad de protección de datos que consideren más adecuada. 

4. Presentar propuestas de normas corporativas vinculantes

La sociedad presentará su propuesta de normas societarias vinculantes que haya elaborado. Además, la autoridad de protección de datos podrá solicitar información adicional si considera que la documentación y la información presentadas no están completas. 

5. Examen de la solicitud

A continuación, la solicitud es revisada por la autoridad de protección de datos principal designada. Tenga en cuenta que la autoridad de protección de datos no lleva a cabo la revisión en sí. Al menos otra autoridad de protección de datos participa en la realización de la revisión. Además, todas las demás autoridades de protección de datos de la UE/EEE tienen la oportunidad de emitir su dictamen antes de enviar la solicitud al Comité Europeo de Protección de Datos. 

6. Dictamen del Comité Europeo de Protección de Datos

El Comité Europeo de Protección de Datos emite su dictamen tras haber tenido acceso a toda la documentación e información. Por otra parte, la decisión no es adoptada por el Comité Europeo de Protección de Datos, que se limita a emitir su dictamen al respecto. 

7. Decisión de la autoridad responsable de la protección de datos

Tras el dictamen del Consejo Europeo de Protección de Datos, la empresa tiene la oportunidad de realizar cualquier cambio en su proyecto de normas corporativas vinculantes. Posteriormente, la autoridad principal designada para la protección de datos adoptará una decisión definitiva. Tenga en cuenta, sin embargo, que el tiempo de procesamiento puede verse afectado por el número de información adicional, documentos y similares que pueden ser necesarios. 

MÁS SOBRE LAS TRANSFERENCIAS DE DATOS PERSONALES A UN TERCER PAÍS

Nivel de protección adecuado

Las empresas, ya sean responsables o encargados del tratamiento, están autorizadas a transferir datos personales a un tercer país si el tercer país tiene un nivel adecuado de protección. Solo la Comisión Europea puede tomar una decisión de este tipo. En otras palabras, una empresa no puede concluir por sí misma que un tercer país garantiza un nivel adecuado de protección y, por lo tanto, transfiere allí datos personales. Tenga en cuenta que la decisión de adecuación no tiene que abarcar necesariamente todo un país. También puede ser, por ejemplo, un territorio dentro de ese tercer país, como un estado federal o un sector específico, que se considera que proporciona un nivel adecuado de protección. 

¿Quieres saber más?

Leer más
Scroll al inicio