Por Alonso Hurtado, socio de Information Technology de ECIJA

Las tecnologías de la información, el aumento de las exportaciones y la necesidad de que nuestras empresas y organizaciones comiencen a actuar de forma global, teniendo presencia en otros mercados, ya sea a través de filiales, sedes propias o a través de acuerdos con socios locales en esos mercados ha provocado, que cada vez más, sea necesario utilizar herramientas e instrumentos normativos globales que permitan, además de una mayor capacidad de adaptación a la hora de afrontar el cumplimiento de determinadas normas, la estandarización de unos niveles mínimos de cumplimiento para todos los sujetos implicados en el desarrollo del modelo de negocio de la organización.

Debe tenerse en cuenta que, salvo contadas excepciones en los que la normativa se encuentra homogeneizada y estandarizada para un conjunto de Estados (Unión Europea), las organizaciones multinacionales están sometidas a un innumerable número de regulaciones y normas, en muchas ocasiones completamente diferentes y basadas en principios jurídicos distintos lo que necesariamente lleva a que estas entidades deban asumir una carga adicional durante el importante proceso de internacionalización, de nuestras compañías.

En este marco es donde surge lo denominado como Binding Corporate Rules o BCR’S. Las BCR’S son normas cuya finalidad última es permitir a las empresas multinacionales transferir datos personales del Espacio Económico Europeo (EEE) a sus filiales ubicadas fuera del mismo de conformidad con la normativa comunitaria y nacional de protección de datos, constituyéndose por tanto en normas internas adoptadas por un grupo multinacional de empresas, que define una política común, en lo que respecta a transferencias internacionales de datos entre compañías del grupo ubicadas en países que no proporcionan un nivel adecuado de protección.

No obstante, no debemos olvidar que son muchos los sectores que, siguiendo el mismo criterio de autorregulación que promueve el concepto de BCR’s han llevado a cabo el desarrollo de importantes desarrollos normativos encaminados a lograr el establecimiento de sistemas de regulación y cumplimiento normativo homogéneos para todas sus sedes y miembros, logrando un cumplimiento global, al mismo tiempo que específico, de diferentes ámbitos normativos.

No obstante, y a pesar de las semejanzas existentes, son varias las cuestiones en las que los códigos de conducta y las BCR’s presentan diferencias que deben ser muy tenidas en cuenta por cualquier tipo de organización que se plantee la posibilidad de llevar a cabo la adopción de este tipo de normas internas

 

Las BCR’s son por tanto normas elaboradas por parte de las organizaciones con presencial multinacional, que se caracterizan por ser:

a)    Vinculables o exigibles legalmente, sólo en este caso se cumplen requisitos art. 26.2

b)    Aplicables a un grupo de empresas o entidades sometidas al control de la entidad matriz.

c)    Son normas, cuyo cumplimiento puede ser exigido de forma externa por parte de terceras entidades oficiales e independientes.

d)    Dotan a las organizaciones multinacionales de un marco común bajo el que poder realizar transferencias internacionales de datos de forma ágil, sencilla y cumpliendo el marco normativo comunitario.

Hasta el momento, son muchas las organizaciones con presencia internacional que han optado por desarrollar y someter a validación sus BCR’s logrando niveles de cumplimiento plenos y una mayor agilidad y facilidad a la hora de realizar transferencias internacionales de datos. Actualmente compañías como General Electric, Philips, Accenture, Michelin, BP, HP, JPMorgan, Ebay, Linklaters, Citi Group, Novartis, Deutsche Post, entre otras, han optado por proceder al desarrollo y aprobación de un BCR’s, cuyo ámbito de aplicación es tanto las transferencias internacionales de datos personales, como otros ámbitos, tales como la protección de consumidores y usuarios.

Desde el punto de vista de las ventajas que aporta a las compañías disponer de unas BCR’s, podemos destacar las siguientes:

a)    Lograr dar cumplimiento a los principios de los arts. 25 y 26 Directiva Europea 95/46/CE.

b)    Lograr armonizar prácticas y procedimientos en materia de protección de datos.

c)    Reducir y prevenir riesgos derivados de las Transferencias Internacionales a terceros países.

d)    Evitar soporte contractual por cada transferencia individual.

e)    Comunicación externa de la política del Grupo . Fomento Imagen Corporativa.

f)     Guía interna para empleados para la gestión de datos personales. Concienciación.

g)    Protección de datos personales integrada en la gestión integral de la actividad del Grupo.

Desde el punto de vista práctico, toda entidad que esté interesada en llevar a cabo el desarrollo de unas BCR’S, siguiendo las recomendaciones establecidas por el Grupo de Trabajo del Artículo 29 en el documento WP 74, debe tener en cuenta las siguientes recomendaciones para lograr el efectivo cumplimiento normativo

1)    Dotar a la redacción de las BCRs de un enfoque adaptado y adecuado a las particularidades propias del sector concreto en el que vayan a ser aplicadas.

2)    Definir claramente los procedimientos para llevar a cabo la aplicación y desarrollo del cumplimiento de las BCR’S, tanto en las organizaciones ubicadas en Estados cuyo nivel de cumplimiento sea adecuado, como en aquellos en los que sean considerados terceros Estados.

3)    Lograr a la hora de establecer la regulación el equilibrio entre las particularidades de las normas nacionales, y la complejidad que la aplicación de las mismas normas a nivel global, cuestión ésta que debe ser considerada crucial para lograr la efectividad de las BCR’S.

4)    Definir el flujo de datos, especialmente aquellos transnacionales, que lleve a cabo la compañía.

5)    Incluir en todo caso cláusulas que garanticen un nivel de cumplimiento de la normativa de protección de datos de nivel alto.

6)    Programar y realizar auditorías periódicas de sus sistemas de tratamiento de datos personales, con especial atención a los tratamientos de carácter trasnacional, de tal forma que se garantice un nivel de cumplimiento alto en todo momento, así como la monitorización plena del mismo.

7)    Llevar a cabo el establecimiento de un procedimiento estándar que permita realizar la tramitación de reclamaciones de forma ágil, sencilla y ajustada en todo caso a los plazos legalmente establecidos, contando con mecanismos de control para garantizar el cumplimiento de las obligaciones.

8)    Establecer procedimientos ágiles, estándares y sencillos para lograr la cooperación con las autoridades en materia de protección de datos personales, siendo éste uno de los aspectos principales que deben ser tenidos en cuenta para lograr el apoyo pleno de la autoridad de protección de datos a la que se presente la autorización y en su caso homologación de las BCR’S.

9)    Disponer regulación específica que establezca de forma universal y específica el derecho de todos los titulares de datos personales a obtener la reparación e indemnización adecuada.

10) Elegir adecuadamente la autoridad de protección de datos que gestionará el procedimiento de autorización con el resto de autoridades, para lo que la entidad deberá tener en cuenta que:

  • Deberá prevalecer como principal criterio de elección el domicilio social de la entidad solicitante.
  • En todo caso, la autoridad de protección de datos designada debe tener capacidad para decidir si son la entidad más adecuada dadas las circunstancias o por el contrario sería conveniente remitir el caso a otra entidad.

 

El procedimiento de autorización a seguir para lograr la aprobación, una vez seleccionada y validada la autoridad de protección de datos competente, será el siguiente:

 

 

 

 

 

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.