Embed Size (px)
DESCRIPTION
“LAS REGLAS CORPORATIVAS VINCULANTES (BINDING CORPORATE RULES) EN MATERIA DE PROTECCIÓN DE DATOS”Barcelona, 1 de abril de 2009. Mar Valverde López1INDICEI. II. III. IV. V.INTRODUCCION ORIGEN EVOLUCION DE LAS BCR CONTENIDO DE LAS BCR CONSIDERACIONES SOBRE LA NATURALEZA VINCULANTE DE LAS BCR PROCEDIMIENTO DE ADOPCION DE LAS BCR SITUACION ACTUAL PERSPECTIVAS DE FUTURO CONCLUSIONESVI.VII. VIII. IX.2LAS REGLAS CORPORATIVAS VINCULANTES (BINDING CORPORATE RULES) EN MATERIA DE PROTECCIÓN DE DATOSI. INT
Citation preview
“LAS REGLAS CORPORATIVAS VINCULANTES (BINDING CORPORATE RULES) EN
MATERIA DE PROTECCIÓN DE DATOS”
Barcelona, 1 de abril de 2009
1
INDICE
I. INTRODUCCION
II. ORIGEN
III. EVOLUCION DE LAS BCR
IV. CONTENIDO DE LAS BCR
V. CONSIDERACIONES SOBRE LA NATURALEZA VINCULANTE DE LAS BCR
VI. PROCEDIMIENTO DE ADOPCION DE LAS BCR
VII. SITUACION ACTUAL
VIII. PERSPECTIVAS DE FUTURO
IX. CONCLUSIONES
2
LAS REGLAS CORPORATIVAS VINCULANTES (BINDING CORPORATE RULES) EN
MATERIA DE PROTECCIÓN DE DATOS
I. INTRODUCCION
La transferencia internacional de datos a jurisdicciones que se consideran como de protección no
adecuada ha venido siendo un problema para las multinacionales desde que se aprobó la
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la
protección de las personas físicas sobre el tratamiento de datos personales y a la libre circulación
de estos datos.
El marco legislativo de la protección de datos de carácter personal ha causado importantes
quebraderos de cabeza a las empresas privadas,- principalmente multinacionales con
representación en diferentes países dentro y fuera de la Unión Europea,- para encontrar
soluciones innovadoras que pudieran conjugar el correcto cumplimiento de la normativa en materia
de protección de datos con sus necesidades comerciales dentro de un marco competitivo. Esta
situación se complica aún más si tenemos en cuenta que la armonización de la normativa surgida
a raíz de la Directiva Europea ha creado diferentes regímenes dentro de la UE, lo cual dificulta la
creación de una solución común para todos los estados miembros. A ello hay que añadir que una
gran parte de los países no pertenecientes a la Unión Europea todavía no disponen de una
normativa propia en materia de protección de datos.
Una de las soluciones que han aparecido para operar en este escenario tan complejo, son las
reglas corporativas vinculantes (binding corporate rules, de ahora en adelante BCR) que consisten
en un código de prácticas basado en los estándares europeos de protección de datos, que las
organizaciones multinacionales que han decidido aprobarlas e incorporarlas a su funcionamiento,
asumen, hacen propio y siguen de forma voluntaria.
II. ORIGEN
Desde la entrada en vigor de la Directiva 95/46/CE, ya mencionada, las empresas privadas
pueden utilizar diferentes procedimientos para legitimizar las transferencias internacionales de
datos, entendiendo como tales aquellas transferencias que se efectúan fuera de la UE. De forma
3
enumerativa podemos referirnos, en primer lugar, a la autorización de una transferencia solicitando
dicha autorización a la autoridad competente en materia de protección de datos del estado
miembro de la UE desde el cual se origina la transferencia. A esta actuación le da cobertura
jurídica el Articulo 26(2) de la Directiva 95/46/CE, que prevé la posibilidad de que los estados
miembros autoricen la transferencia, o transferencias, de datos personales hacia terceros países
que no aseguran un adecuado nivel de protección, donde la organización que desea transferir
acredita que dispone de las medidas de seguridad suficientes para protegerlos.
Otro procedimiento utilizado habitualmente es la utilización de contratos específicos,
procedimiento que ha probado su validez de forma reiterada, más aún desde las decisiones de la
Comisión sobre cláusulas contractuales estándar y las indicaciones aportadas en dicha materia
por el Grupo de Trabajo del Art. 29 de la Directiva 95/46/CE (en adelante Grupo del Art.29) y de
las diferentes autoridades competentes en materia de protección de datos (de ahora en adelante
DPA) que han llevado a las compañías privadas a hacer un uso continuado de este instrumento.
En este sentido, las decisiones de la Comisión sobre cláusulas contractuales estándar permiten a
los Estados Miembros verificar si un exportador de datos ofrece o no las suficientes garantías para
efectuar la transferencia.
No obstante, en el caso de las multinacionales en las que el flujo de datos se produce entre
diferentes interlocutores de forma casi simultánea, ha resultado probado que las cláusulas
contractuales sólo permiten cubrir una pequeña parte del proceso, lo cual hace pensar que para
esos casos tan complejos en los que diferentes operadores resultan implicados, es necesario
incluir unos códigos de conducta internos que puedan ser parte del contrato. Estos códigos
internos están destinados a asegurar que las corporaciones adoptan las garantías suficientes para
que el tratamiento de los datos se produzca de la manera jurídicamente correcta.
Evidentemente, también hay que tener en cuenta aquellos países con un adecuado nivel de
protección, declarado como tal por la Comisión Europea - o, en el caso de España, la Agencia
Española de Protección de Datos, de acuerdo con lo dispuesto en el art. 67 del Real Decreto
1720/2007, por el cual se aprueba el Reglament de desarrollo de la Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter Personal -, que son Suiza, Argentina, Guernsey,
Isla de Man, Jersey, Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley
canadiense de protección de datos y las entidades estadounidenses adheridas a los principios de
“Puerto Seguro” (Safe Harbour). Las transferencias internacionales a estos países, o empresas
adheridas a los acuerdos de puerto seguro, siempre serán más ágiles, al no precisar de
autorización de la DPA.
Finalmente, e ideado para aquellas empresas con representación en múltiples países,
pertenecientes o no a la Unión Europea o, en su caso, que no disponen de acuerdos Safe
4
Harbour, que necesitan de un instrumento lo suficientemente ágil para que, una vez incorporado a
su know-how, permita de forma ajustada a derecho la movilidad de datos entre sus sedes y
filiales; para estos casos surgen, desde la reflexión producida en el seno del Grupo del Art. 29,
las BCR.
Estas reglas se aplican generalmente entre las compañías pertenecientes a un mismo grupo
empresarial, independientemente del lugar donde esté la sede o la nacionalidad de los ciudadanos
los datos de los cuales se procesan, siempre y cuando el tratamiento de los datos se origine en la
Unión Europea (de ahora en adelante UE). El Grupo del Art. 29 señala que hay dos elementos
esenciales que deben estar presentes en todos los casos en los que se acude a las BCR para dar
cobertura a la transferencia de datos: a) su naturaleza vinculante; y b) su carácter ejecutivo desde
el punto de vista jurídico.
No hay que confundir las BCR con los códigos de conducta establecidos en el Artículo 27 de la
misma Directiva (códigos tipo), los cuales se diseñan teniendo en cuenta las necesidades de un
sector profesional concreto. La similitud del término, no obstante, es la que lleva a hablar de BCR
en lugar de “códigos de conducta internos” para evitar así cualquier posible malentendido.
En este escenario, el 3 de junio de 2003, el Grupo del Art. 29 publicó su Documento de Trabajo
(WP 74) sobre BCR para transferencias internacionales de datos. El Grupo de trabajo consideró
que ya que las reglas eran vinculantes (tanto jurídicamente como en la práctica) e incorporaban
los principios esenciales identificados en el Documento de trabajo (WP12) de 24 de julio de 1998,
no había motivo para que las autoridades nacionales no autorizaran las transferencias entre
compañías pertenecientes al mismo grupo multinacional.
III. EVOLUCION DE LAS BCR
Las bases de las reglas corporativas vinculantes fueron fijadas en junio de 2003 por el documento
del Grupo del Artículo 29 (WP 74) sobre transferencias de datos personales a terceros países, en
aplicación del articulo 26(2) de la Directiva de protección de datos. En la parte introductoria de
estas bases ya se menciona el hecho de que las DPA reciben continuamente solicitudes de
transferencias internacionales, que en muchos casos han requerido soluciones contractuales. No
obstante, algunas multinacionales estructuradas de forma compleja y con filiales y empresas
anexas por todo el mundo resultarían más beneficiadas si se decidieran a adoptar “códigos de
conducta internos para transferencias internacionales” (de la misma manera que adoptan códigos
internos para proteger información confidencial, eliminación de la discriminación, implementación
de códigos deontológicos, políticas de respeto al medio ambiente, y muchas otras más). En este
5
sentido el Artículo 26 (2) de la Directiva 95/46/EC ofrece a los Estados Miembros un amplio
margen de maniobra.
Un elemento importante a destacar es que en algunos Estados Miembros las decisiones
unilaterales no producen efectos jurídicos vinculantes frente a terceros (por ejemplo Italia). En
otros países, en cambio, la legislación ha previsto su efecto vinculante, como por ejemplo en
España, el articulo 79.4 del RLOPD, donde se recoge expresamente que las BCR vinculan a las
empresas que las aprueben ante la AEPD y ante los propios afectados. Por ese motivo, el Grupo
de Trabajo reconoce la dificultad de crear unas indicaciones que por un lado sean jurídicamente
vinculantes en materia de protección de datos pero que por otro lado no colisionen con las
legislaciones nacionales.
Así pues, si comparamos los requisitos impuestos por el Artículo 26 (2) de la Directiva, mientras
que para otorgar una autorización de transferencia internacional debe analizarse
fundamentalmente las medidas implementadas para garantizar el adecuado tratamiento del los
datos para ser transferidos a un tercer país; la aprobación de códigos de conducta internos
requiere compaginar las normas internas de la multinacional con el cumplimiento de las
normativas nacionales de todos los países en los cuales se opera, lo cual es, evidentemente
conditio sine qua non para garantizar cualquier autorización, y a su vez, complica el proceso.
Así pues, los principios de protección contenidos en las BCR deben cumplir con los principios
recogidos en la Directiva 95/46/EC. Asimismo dichas normas deben cumplir con las legislaciones
nacionales en materia de protección de datos. Si ambas condiciones se cumplen, los grupos
corporativos pueden estar seguros de que disponen de una auténtica política global sobre
privacidad, y que pueden ser considerados ¨privacy friendly”.
En la misma línea hay que considerar que las BCR son globales y que no puede haber
distinciones respecto a su aplicación. Estas normas deben aplicarse en todo el grupo,
independientemente del lugar de establecimiento de los miembros o de la nacionalidad de los
sujetos cuyos datos personales sean procesados, siempre y cuando el tratamiento se origine en la
Unión Europea, importante consideración, ya que cuando el tratamiento se origina en otra zona
geográfica con requerimientos jurídicos distintos, permite una mayor laxitud en el proceso.
Posteriormente, en abril de 2005, el Grupo del Artículo 29 hizo públicos dos documentos de
trabajo más:
- un procedimiento de cooperación para consensuar criterios sobre las garantías
adecuadas resultantes de las normas corporativas vinculantes (WP 107); 6
- un modelo de aprobación de las normas corporativas vinculantes (WP 108).7
6
Estos documentos de trabajo estaban destinados a detallar el procedimiento de aprobación de las
BCR y la información que el solicitante debe aportar. De forma resumida, su contenido es el
siguiente:
- en cuanto al procedimiento de cooperación para consensuar criterios, establece un
procedimiento dividido en cuatro apartados:
a) una autoridad de protección de datos es seleccionada para actuar como autoridad de
referencia (principal) en el procedimiento de cooperación. Los criterios de selección
están especificados en el documento de trabajo, siendo el más relevante la ubicación
de la sede corporativa del solicitante.
b) La autoridad de referencia acuerda con el solicitante un borrador que distribuirá entre
el resto de autoridades de protección de datos situadas en los países en los cuales
operen los tratamientos propuestos, para que emitan sus comentarios al respecto.
c) Una vez recibidas las alegaciones y comentarios del resto de autoridades, la autoridad
de referencia traslada sus opiniones al solicitante.
d) Una vez discutidas las posibles diferencias entre la DPA de referencia y el solicitante,
dicho solicitante es invitado a presentar un borrador definitivo que la autoridad de
referencia hará circular entre las otras autoridades a fin de que se pronuncien sobre la
adecuación de las garantías propuestas.
- respecto al modelo de aprobación de las normas corporativas vinculantes, recoge la
información que debe aportarse a una solicitud. Este modelo es muy similar al propuesto
por el ICO en febrero de 2004, de hecho está basado en esa propuesta. El solicitante, por
tanto, debe aportar la información siguiente:
a) la forma en qué las normas vincularán a la organización solicitante, tanto internamente
como externamente;
b) la forma de verificación de su cumplimiento;
c) la descripción del proceso de tratamiento de datos y su flujo dentro de la organización;
d) las medidas de seguridad que se tomarán respecto a los datos personales.
Estos documentos corporativos no se hacen públicos por motivos obvios, ya que forman parte del
know-how propio de la empresa que los aprueba y, hacerlos públicos en su totalidad supondría
exponer a la competencia unos conocimientos que no tienen por qué ser compartidos. En este
sentido hay que hacer hincapié en el deber de secreto que tiene el personal de la DPA que haya
conocido el contenido de los documentos corporativos y que, bajo ningún concepto, puede hacer
público.
IV. CONTENIDO DE LAS BCR
7
La naturaleza vinculante de las BCR implica que los miembros de la corporación, así como sus
empleados, deben comprometerse a cumplirlas estrictamente. En principio, las reglas deben ser
adoptadas por el equipo directivo de mayor responsabilidad del grupo, los cuales deben asegurar
su cumplimiento por el resto de la organización en bloque.
El Grupo del Art. 29 reafirma los principios contenidos en el WP 12, haciendo especial hincapié en
los capítulos 3 (autorregulación de la industria) y al capítulo 6 (procedimientos). Pero estos
principios per se resultan excesivamente teóricos y aportan muy poco a las industrias implicadas y
deben ser desarrollados de forma que puedan ser aplicados de una manera realista y práctica a
los tratamientos que lleven a cabo las empresas y de una manera que permita su comprensión y
aplicación efectiva por aquellos que tengan responsabilidades sobre protección de datos en la
organización.
Desde esta perspectiva, las BCR tienen algo en común con los códigos de conducta recogidos en
el artículo 27 de la Directiva, en el sentido de que se supone que deben superar el nivel abstracto
de la legislación (en este caso los principios del documento de trabajo nº 12, WP 12) y llevarlo al
nivel práctico. Las BCR son soluciones hechas a medida, que incluyen un razonable nivel de
detalle en la descripción de las propuestas de tratamiento, tráfico de datos, implicación interna y
demás requisitos imprescindibles.
Tal como se indica en el artículo 26 (2) de la Directiva, la autorización se otorga respecto a una
transferencia o a un grupo de transferencias, pero en cada caso debe haber una explicación sobre
las transferencias para las que se solicite autorización. El nivel de detalle debe ser suficiente como
para permitir a las DPA asegurarse de que el tratamiento que se pretende llevar a cabo en
terceros países es adecuado (por ejemplo, incluyendo una descripción detallada de las actividades
económicas perseguidas por las diferentes entidades del grupo corporativo).
A título de ejemplo, en el supuesto en que una legislación nacional aplicable disponga de un
régimen de notificaciones detallada, las BCR deberán recoger dichos detalles para establecer la
forma de notificación a la DPA correspondiente por parte de la empresa. Cuando el nivel de detalle
sea inferior, será necesario añadir información suplementaria para dar una adecuada descripción
del las transferencias a terceros países. En ningún caso las BCR pueden obviar los requisitos
establecidos por la legislación europea para notificaciones. Esta particularización de las normas
aplicables en cada Estado o región fuera de la Comunidad evidentemente añade una gran
complejidad a un sistema previsto para desarrollar políticas globales.
Como ayuda para aquellas empresas que estén interesadas en elaborar sus propias BCR , el
Grupo del Art. 29 adoptó en junio de 2008 dos documentos, WP 153 y WP 154, que recogen una
tabla con los elementos y principios que deben recogerse en las BCR y una estructura básica de
8
éstas. Estos documentos constituyen una guía práctica muy útil para asegurar que ningún
elemento imprescindible queda fuera del proceso.
Seguidamente, y de forma esquemática, se enumeran aquellos aspectos esenciales que deben
incluirse en las BCR:
a) Principios básicos:
En cuanto a su contenido, hay que decir que, en atención a su carácter autorregulador, es la
organización que elige vincularse a él quien debe determinarlo en su totalidad. En otras palabras,
no hay un contenido oficial sino que se trata de soluciones ad casum. No obstante, las reglas
deben contener unos principios básicos, que son los siguientes:
- Principio de limitación de la finalidad: los datos serán procesados para una finalidad
específica y, consiguientemente, utilizados para cumplir la finalidad inicial
- Principio de calidad de los datos y proporcionalidad: los datos deben ser exactos y
actualizados, siempre que sea necesario. Los datos deben ser los adecuados, relevantes
y no excesivos en relación con la finalidad para la cual van a ser utilizados.
- Principio de transparencia: los ciudadanos deben ser informados sobre la finalidad del
tratamiento de los datos así como de la identidad del responsable y cualquier otra
información necesaria para asegurar el uso imparcial de los datos.
- Principio de seguridad: el responsable del fichero tomará las medidas técnicas y
organizativas necesarias para minimizar al máximo los riesgos que puedan presentarse
durante el tratamiento de los datos.
- Los derechos de acceso, rectificación, cancelación y oposición: los ciudadanos tienen
derecho a obtener información sobre todos sus datos personales, a rectificarlos cuando no
sean correctos, y a que se cancelen cuando han dejado de ser necesarios. En algunos
supuestos, también deben tener la posibilidad de oponerse a su tratamiento.
- Restricciones a posteriores transferencias: posteriores transferencias de datos personales
sólo pueden ser autorizadas si la entidad a la que se le transfieren también está sujeta a
normas que aseguren un adecuado nivel de protección.
Hay que precisar, no obstante, que existen términos similares con diferentes interpretaciones y
que el concepto de “grupo corporativo” puede variar de un país a otro y puede corresponder a
realidades muy distintas: desde conglomerados más o menos dispersos e independientes, hasta
compañías estructuradas jerárquicamente; desde empresas que comparten actividades
económicas muy similares, hasta grupos empresariales con actividades muy diversas. Obviamente
estas diferencias estructurales y en cuanto a la actividad impactan sobre la aplicación, diseño y
9
alcance de las BCR y son elementos que deben ser tenidos en cuenta por las compañías cuando
deciden implementarlas.
Para conglomerados más relajados jerárquicamente, las BCR posiblemente no sean la mejor
solución ya que la diversidad de formas y el amplio abanico de actividades y tratamientos pueden
hacer muy difícil (sino imposible) su aplicación. Para estos grupos empresariales puede ser más
adecuado empezar diferenciando subgrupos dentro de la misma corporación y, partiendo de esa
segmentación, particularizar las normas.
En la práctica, las multinacionales son el grupo empresarial más interesado en adoptar BCR para
poder regular así las transferencias dentro del grupo y alrededor del mundo. El Grupo del Art. 29
destaca con especial énfasis que las aprobaciones de BCR se limitan a las transferencias o
categorías de transferencias dentro del mismo grupo corporativo, es decir, entre empresas
obligadas por dichas normas.
Las transferencias procedentes de miembros del grupo corporativo ubicados fuera de la
Comunidad con destino a compañías fuera del grupo podrán ser efectivas y jurídicamente válidas
mediante la subscripción de cláusulas contractuales estándar adoptadas por la Comisión Europea
en su Decisión 2001/497/EC (transfers to data controllers) y 2002/16/EC (transfers to data
processors) o en las condiciones en ellas recogidas. De acuerdo con esta decisión, las
transferencias de datos a otro sujeto establecido en un tercer país que no provea una protección
adecuada o no cubierto por una decisión adoptada por la Comisión de acuerdo con el Artículo 25
(6) de la Directiva puede darse si los interesados han dado de forma inequívoca su
consentimiento, en el supuesto de datos de especial categoría, o en otros casos cuando se les ha
dado la oportunidad de oponerse.
b) Información a los interesados
La información mínima que debe darse a los interesados cuyos datos queden sujetos a la
aplicación de las BCR debe contener, en un lenguaje comprensible para ellos:
- la finalidad de la transferencia;
- la identificación del exportador de datos establecido en la Comunidad desde el cual se
originan los datos personales;
- el receptor de los datos y los países de destino;
- una explicación acerca de que, después de la transferencia, los datos serán procesados
por un sujeto no vinculado por las BCR y establecido en un país donde no hay un nivel
adecuado de protección de la privacidad .
10
Las auditorias previstas para las BCR deben contener un apartado específico sobre este tipo de
información donde deben constar las revisiones de los contratos de este tipo utilizados por el
grupo corporativo. La corporación debe poner a disposición de la DPA y de los interesados el
contenido de estos contratos en las condiciones contenidas en las Decisiones de la Comisión
antes mencionadas.
c) Actualizaciones:
Otro elemento a considerar es la actualización de las normas. Es obvio que los grupos
corporativos cambian constantemente su forma de actuar y que, por lo tanto, puede darse el caso
de que las prácticas de tratamiento de datos cambien y no se correspondan con las transferencias
que se autorizaron en su día. El Grupo del Art. 29 considera que las empresas pueden hacer
actualizaciones, sin necesitar de una nueva solicitud de autorización, siempre y cuando se den las
siguientes circunstancias:
a) no se llevará a cabo ninguna transferencia de datos personales a un nuevo miembro hasta
que el exportador verifique que el nuevo miembro está efectivamente vinculado por las
BCR y puede asegurar su cumplimiento,
b) un responsable identificado o un departamento del grupo empresarial debe llevar una lista
actualizada de miembros y un registro de todas las actualizaciones; también debe dar toda
la información necesaria al respecto a los interesados y a las DPA cuando así lo
requieran,
c) todas las actualizaciones de las normas y los cambios en la lista de miembros deben ser
enviadas una vez al año a la DPA garantizando las autorizaciones con una breve
explicación que justifique el cambio.
d) Requisitos de cumplimiento y garantía
Todas las BCR deben contener unas previsiones expresas que garanticen un nivel de
cumplimiento correcto tanto dentro como fuera de la Unión Europea. La asunción de políticas de
privacidad internas por parte de las oficinas centrales debe ser considerada únicamente como un
primer paso para asegurar el correcto cumplimiento de las BCR. El grupo empresarial debe poder
demostrar también que estas políticas son conocidas, entendidas y aplicadas efectivamente por
los empleados de todo el grupo, los cuales reciben la formación adecuada y tienen la información
necesaria en todo momento, por ejemplo mediante un apartado específico en la intranet del
grupo. El grupo corporativo también debe disponer de un personal adecuado, que actúe con el
soporte de la alta dirección, dedicado a supervisar y asegurar el cumplimiento de las normas.
11
Las normas deben incluir la previsión de auditorias, internas o externas, por auditores acreditados
que reporten directamente al consejo de dirección. Las DPA recibirán una copia de dichas
auditorias donde constarán las actualizaciones de dichas normas.
Las BCR deben indicar, también, que el deber de cooperación con las DPA incluye también la
aceptación de que las auditorias puedan ser llevadas a cabo, bien por inspectores de las DPA,
bien por auditores independientes en nombre de la autoridad supervisora. Esta previsión debe
hacerse cuando las auditorias internas o externas previstas en el párrafo anterior, no puedan
hacerse por cualquier circunstancia, no contengan información relevante para asegurar el
mantenimiento de la autorización o la urgencia de la situación requiera una participación directa de
la DPA, con sus propios inspectores o con inspectores independientes.
Estas auditorias deberán llevarse a cabo de acuerdo con la legislación aplicable y con las
competencias investigadoras de las DPA. En cualquier caso, las auditorias deberán realizarse con
completo respeto a la confidencialidad y a los secretos comerciales y se limitarán exclusivamente
a verificar el cumplimiento de las BCR.
e) Reclamaciones:
Las BCR deben incluir un sistema que permita que tanto las reclamaciones de los particulares
como el ejercicio de los derechos ARCO, sean debidamente atendidos por una unidad claramente
identificada y dedicada a ese fin que centralice este tipo de actuaciones. Los responsables de
protección de datos o las personas que tramiten dichas reclamaciones deberán poseer la
independencia suficiente en el ejercicio de sus funciones. También se promoverá el uso de
mecanismos alternativos para la resolución de conflictos, con la posible colaboración de la DPA
cuando así sea adecuado, de acuerdo con lo dispuesto en cada legislación.
f) El deber de cooperación con las DPA :
Como ya señaló el Grupo del Art. 29 en su WP 12, uno de los elementos más importantes para
asegurar la adecuación de un sistema de autorregulación es la previsión de un nivel de soporte y
ayuda adecuado para los particulares. Es imprescindible evitar que el particular se quede solo
ante un problema que tenga que ver con el uso de sus datos personales y hay que dotarle del
soporte institucional y empresarial necesario para que pueda vehicular sus reclamaciones y que
éstas lleguen a buen fin.
Posiblemente éste es uno de los elementos más importantes de las BCR para las transferencias
internacionales de datos: las normas deben contener compromisos de cooperación con las DPA
12
que permitan que los particulares puedan beneficiarse del soporte institucional previsto en el WP
12.
Tanto el grupo empresarial en su conjunto como cada una de las empresas que lo integran deben
comprometerse a aceptar de forma clara y sin ambigüedades las auditorias antes indicadas.
También debe haber un compromiso claro en el sentido de que el grupo en su conjunto y cada una
de las empresas que lo integran aceptarán las indicaciones de la DPA competente en aquello
relativo a la interpretación y aplicación de las BCR. Las indicaciones de la DPA competente deben
consistir en recomendaciones dirigidas al grupo corporativo como respuesta a un cuestionario,
como resultado de una denuncia o queja presentada por un particular interesado o a iniciativa
propia de la DPA.
Antes de aprobar alguna iniciativa en firme, la DPA competente debe consultar el parecer del
grupo corporativo, de los particulares implicados y de aquellas otras DPA que puedan resultar
vinculadas de acuerdo con el procedimiento de coordinación fijado en el WP 74 del Grupo del Art.
29. Las indicaciones de la DPA dictadas en esta materia pueden ser hechas públicas.
Sin menoscabo de las consecuencias propias de cada legislación estatal, el rechazo firme y/o
continuado del grupo corporativo a cooperar o a cumplir con las indicaciones de la DPA
competente comportará la suspensión o la retirada de la autorización tanto por la misma DPA que
la otorgó como por cualquier otra DPA que haya participado en el proceso, siempre y cuando su
legislación nacional le permita hacerlo. Esta decisión deberá tener el valor de un acto
administrativo impugnable ante la jurisdicción competente de acuerdo con lo dispuesto en la
legislación nacional. Será notificado a la Comisión Europea y a las otras DPA comprometidas y
podrá hacerse público.
g) Responsabilidad:
g.1. Derecho general a obtener una indemnización adecuada .
Las normas deben indicar que los particulares podrán beneficiarse de las garantías dispuestas en
los Artículos 22 y 23 de la Directiva (o aquellas otras que hayan adoptado los Estados miembros
según la forma en la que se haya traspuesto la Directiva en cada una de sus legislaciones) de la
misma forma y con el mismo alcance que pudieran beneficiarse si el tratamiento llevado a cabo
por el grupo corporativo estuviera bajo la competencia directa de la Directiva o de cualquier
legislación nacional que la hubiera traspuesto.
El propósito de estas previsiones es garantizar que las autorizaciones otorgadas por las DPA no
limitarán el ejercicio de derechos ni la posibilidad de percibir indemnizaciones por perjuicios
13
ocasionados, por parte de los particulares, de las que se hubieran beneficiado en el supuesto en el
que el tratamiento de datos se hubiera producido dentro del territorio de la Unión Europea.
Para complementar este derecho, las normas deben contener previsiones sobre responsabilidad y
la jurisdicción competente ante la cual se podrán ejercer estos derechos.
g.2. Normas sobre la indemnización
En primer lugar, las oficinas centrales (en el caso de que se encuentren en territorio de la Unión
Europea) o en su caso el miembro europeo en el que se hayan delegado las competencias sobre
protección de datos, deberán aceptar la responsabilidad de iniciar las acciones necesarias para
remediar aquellas actuaciones de otros miembros del grupo corporativo que se encuentren fuera
de la Comunidad y, en su caso, de pagar la correspondiente indemnización por los perjuicios
ocasionados que resulten del incumplimiento de las BCR por parte de cualquier miembro
vinculado por ellas.
El grupo corporativo debe asegurar ante la DPA que las oficinas centrales ubicadas en la Unión
Europea o el responsable en protección de datos domiciliado en territorio comunitario, dispone de
los suficientes recursos para hacer frente a las posibles indemnizaciones por incumplimiento de
las BCR, o bien que dispone de las garantías suficientes para hacerles frente (por ejemplo,
mediante un seguro de responsabilidad civil).
Las oficinas centrales en la UE o la empresa con responsabilidades sobre protección de datos
deberán aceptar que la interposición de la demanda se produzca en territorio Comunitario y
también que pagarán la indemnización correspondiente en los casos siguientes:
a) en aquellos casos en los que se reclamen perjuicios causados por incumplimiento de las
BCR;
b) en aquellos casos en los que no se reclamen perjuicios causados, pero el particular
interesado no esté satisfecho con las reparaciones que resulten de la tramitación interna
de la demanda, queja o reclamación.
Cuando los representantes en la Unión Europea puedan demostrar que el miembro del grupo
corporativo en un tercer país no es responsable del acto que causó el perjuicio reclamado por el
interesado, podrán descargarse de cualquier responsabilidad.
En cuanto a la carga de la prueba, las normas también deben contener la previsión de que será el
representante escogido por el grupo corporativo ante la DPA quien deberá demostrar que el
miembro del grupo ubicado en un tercer país no es responsable del incumplimiento que haya
producido el perjuicio reclamado por el particular, en lugar de ser el particular el que tenga que
14
demostrar que la compañía domiciliada en el tercer país está efectuando un tratamiento contrario
a las BCR (lo cual podría ser casi imposible de probar para el particular y en cualquier caso podría
suponer un esfuerzo desproporcionado en tiempo y dinero para él).
h) Jurisdicción competente:
Los grupos corporativos deben aceptar, también, que los particulares puedan interponer acciones
judiciales contra el grupo corporativo y que puedan escoger jurisdicción entre:
a) la jurisdicción de la empresa donde se origina la transferencia, o
b) la jurisdicción de las oficinas centrales europeas, o
c) la jurisdicción de la empresa europea en la que se han delegado las responsabilidades
sobre protección de datos.
En este caso se aplicarán los principios y normas sobre jurisdicción aplicable contenidos tanto en
la Directiva como en las leyes nacionales aplicables.
i) Transparencia
Además de lo previsto en los artículos 10 y 11 de la Directiva y en las leyes nacionales que la
trasponen, los grupos corporativos deben probar que los particulares son conocedores de que sus
datos personales están siendo comunicados a los otros miembros del grupo corporativo fuera de
la Unión Europea en base a las autorizaciones otorgadas por las DPA basadas en las BCR. Los
particulares, asimismo, deben conocer de la existencia de las normas corporativas vinculantes y
deben poder acceder a su contenido de una forma que les resulta comprensible.
El motivo principal de esta obligación viene determinado por la importancia de que los grupos
corporativos sean capaces de demostrar que los particulares tienen información accesible y
fácilmente comprensible para ellos sobre las principales obligaciones del grupo en lo que a
protección de datos se refiere. Este deber de información a los particulares se extiende, no sólo a
las BCR autorizadas en su día, sino también a las sucesivas actualizaciones.
V. CONSIDERACIONES SOBRE LA NATURALEZA VINCULANTE DE LAS BCR
Las organizaciones responden a sus necesidades sobre tratamiento de datos partiendo de
regímenes jurídicos y culturas diversas así como de distintas filosofías de negocio y prácticas
empresariales. Es obvio que, por lo tanto, cada multinacional recoge en las BCR su especial forma
de hacer. No obstante, hay un elemento que debe estar presente en todos los sistemas en el caso
de que pretendan introducir garantías suficientes para efectuar transferencias a terceros países: la
15
naturaleza vinculante de las normas corporativas, tanto de forma interna como externa, es decir
frente a terceros.
a) Naturaleza vinculante de las BCR dentro del grupo corporativo
Es necesario hacer una distinción previa entre el problema del cumplimiento de las normas y su
vinculación jurídica frente a terceros.
Por supuesto que la valoración de la “naturaleza vinculante” de estas normas corporativas implica
un compromiso legal (vinculación jurídica frente a terceros) así como su naturaleza vinculante en
la práctica, es decir respecto a su cumplimiento. Aún en el caso en el que la vinculación jurídica de
los compromisos unilaterales o contratos puedan crear los mismos efectos, desde el punto de vista
conceptual, la realidad demuestra que la vinculación jurídica en escenarios transfronterizos es muy
compleja y puede suponer esfuerzos desproporcionados para los sujetos implicados. De la misma
forma, es necesario asegurar que las normas internas no sólo sean jurídicamente vinculantes sino
también vinculantes en la práctica.
La naturaleza vinculante de las BCR en la práctica debe comportar, por lo tanto, que tanto los
miembros del grupo corporativo como cada uno de sus empleados están obligados a cumplir la
normativa interna. Para conseguir este fin, pueden incluirse en la normativa interna sanciones
disciplinarias para el caso de incumplimiento de dichas normas (que podrán incluirse en el
contrato laboral, convenios colectivos, etc); procedimientos para asegurar que cada empleado
reciba la información que necesita de forma individual y efectiva; programas formativos especiales
para empleados y subcontratistas, etc. Este tipo de elementos permitirán apreciar hasta qué punto
los empleados del grupo corporativo son conscientes de la existencia de la normativa aprobada y
están obligados a cumplirla.
Evidentemente al Grupo del Art. 29 no le corresponde establecer la forma en que las
multinacionales deben garantizar internamente la vinculación u obligación de los empleados de
cumplir las normas, pero los grupos corporativos deben ser conscientes de que ninguna
autorización prosperará a menos de que pueda garantizarse el cumplimiento interno de las BCR
mediante formas realmente efectivas.
La naturaleza vinculante interna de las BCR debe ser lo suficientemente clara y ajustada a la
realidad para poder garantizar su cumplimiento fuera del territorio comunitario, normalmente bajo
la responsabilidad de las sedes europeas del miembro europeo del grupo en el que se hayan
delegado las responsabilidades concernientes a protección de datos, las cuales deberán adoptar
las medidas necesarias para garantizar que los miembros situados fuera del territorio UE ajustan
sus tratamientos de datos a los estándares contenidos en las BCR.
16
Es imprescindible que en cualquier caso siempre exista un miembro del grupo corporativo
establecido en la Unión Europea que sirva de interlocutor con la DPA y que pueda demostrar que
existen las suficientes garantías en protección de datos. Si las oficinas centrales del grupo están
en otro territorio, deberá delegarse en un miembro establecido en la Unión Europea dicha
responsabilidad. Es importante destacar que, por lo tanto, el que asegura el cumplimiento de las
garantías propuestas se hace responsable también de su efectivo cumplimiento.
b) Vinculación jurídica de las BCR frente a terceros interesados y frente a las DPA
Los propietarios de los datos protegidos por las BCR pueden convertirse en terceros beneficiarios
tanto por los efectos legales de decisiones unilaterales (en aquellos supuestos en que la ley
nacional así lo permita) como por los acuerdos contractuales firmados entre los miembros del
grupo corporativo con esa finalidad. Los terceros interesados deben disponer de la posibilidad de
acudir ante las DPA y ante los tribunales para hacer efectivos sus derechos.
El Grupo del Art. 29 le da gran importancia a la existencia de ambas vías. Aunque en principio
pueda parecer más sencillo que el interesado pueda interponer una demanda o queja ante la
DPA y que de esta manera, y en base al compromiso de colaboración entre institución y empresa
se pueda resolver cualquier problema, hay dos motivos que justifican que, incluso en el supuesto
en que el dicho sistema sea altamente efectivo, el derecho de acudir ante un tribunal sigue siendo
necesario:
a) porque el deber de cooperación nunca podrá garantizar al 100% el cumplimiento de todas
las normas y porque los interesados no siempre estarán totalmente de acuerdo con las
puntos de vista de las DPA;
b) porque las competencias de las DPA pueden variar ligeramente de un territorio a otro (por
ejemplo: algunas DPA no pueden imponer sanciones) y, en cualquier caso, ninguna de
ellas puede acordar indemnizaciones, en cuyo caso no queda más remedio que acudir
ante los tribunales para poder conseguirlas.
A pesar de estas medidas, el Grupo del Art. 29 insiste en la gran importancia que tiene que las
BCR se cumplan realmente, ya que es fundamental que se incorpore la autorregulación como una
práctica habitual.
Otro aspecto a considerar es que las diferencias entre las normas civiles y administrativas pueden
condicionar que los compromisos unilaterales sean considerados o no como suficientes para
originar derechos a favor de los interesados.
17
En algunos casos puede no existir ninguna duda al respecto. Por ejemplo, en determinados
Estados miembros como Alemania y Austria, el compromiso de una empresa de respetar los
principios de protección de datos contenidos en un código de conducta constituye una clara fuente
de obligaciones para la empresa y de derechos para el interesado. En otros países, como por
ejemplo España, donde las fuentes de las obligaciones vienen básicamente de la ley y de los
contratos, esta figura de los compromisos unilaterales como fuente de obligaciones es dudosa. Por
lo tanto, en aquellos casos en los que sí pueda generarse el debate, el grupo corporativo debe
asegurarse mediante los acuerdos contractuales necesarios, que el compromiso se cumpla
efectivamente y que su cumplimiento pueda ser reclamado efectivamente por los interesados,
incluso pudiendo acudir ante los tribunales para solicitar su efectivo cumplimiento y, en su caso, la
indemnización procedente. Estas medidas deberán tomarse teniendo en cuenta el derecho privado
de cada Estado miembro.
Los derechos reconocidos a los interesados deben incluir, al menos, aquellos garantizados por la
Decisión de la Comisión 2001/947/EC en las cláusulas contractuales estándar entre exportador e
importador de datos, - lo cual confirma la importancia de dichas cláusulas contractuales -. Estos
son1 (
- que en el supuesto en que la transferencia comporte categorías especiales de datos, el
interesado haya sido informado, o sea informado antes de su transferencia, de que sus
datos serán transferidos a un tercer país que no dispone de la protección adecuada
(cláusula 4b de la Decisión)
- a obtener una copia de las BCR en el caso de que así lo requiera (cláusulas 4c y 5e)
- a obtener respuesta en un plazo razonable a sus dudas sobre el tratamiento de sus datos
fuera de la Comunidad (cláusulas 4d y 5c)
- a comunicar que un miembro de la corporación vinculado por las BCR no está cooperando
con la DPA competente y/o no está siguiendo las indicaciones dadas por la DPA sobre el
tratamiento de los datos transferidos (cláusula 5c)
- a comunicar que la legislación aplicable a cualquiera de los miembros de la corporación
fuera de la Comunidad impide el cumplimiento de sus obligaciones respecto a las BCR
(cláusula 5ª)
- a declarar que el tratamiento de datos personales de cualquier miembro de la corporación
vinculado por las normas no es conforme con las BCR (cláusula 5b)
- a reclamar responsabilidades, o en su caso compensaciones, de acuerdo con los términos
estipulados en las BCR (cláusula 6)
Estos acuerdos contractuales no necesitan ser complejos o demasiado extensos. Sólo deben ser
instrumentos que permitan a los interesados ejercitar sus derechos en aquellos países donde
1 Para facilitar la referencia, se indican entre paréntesis las cláusulas correspondientes de la Decisión de la Comisión sobre cláusulas contractuales estándar.
18
puedan existir dudas sobre la vinculación jurídica de los compromisos unilaterales. En algunos
casos ésto podrá cumplirse simplemente añadiendo una simple cláusula a un contrato ya existente
entre los miembros del grupo corporativo, por ejemplo en aquellos casos donde los contratos entre
las oficinas centrales y las filiales garanticen la aplicación interna de las BCR, añadir una cláusula
sobre “terceros beneficiarios” puede ser suficiente para cumplir con este requerimiento.
En cuanto a la vinculación jurídica de las BCR respecto a la DPA, es evidente que cuando se
solicita una autorización para una transferencia internacional, el grupo corporativo queda vinculado
directamente respecto a dicha DPA, u otra que pueda resultar competente, para asegurar el
cumplimiento de las garantías propuestas (en este caso las BCR). Sin que ello suponga que sea la
misma DPA que las ha autorizado la que deba garantizar su cumplimiento (por ejemplo: pudiendo
recurrir a un tribunal).
Por encima de todo, no obstante, hay que insistir en el hecho de que el interesado debe disponer
de la posibilidad de ejercitar sus derechos ante la DPA o los tribunales correspondientes.
c) Legislación aplicable a los miembros del grupo corporativo
Las BCR deben contener una previsión clara sobre el supuesto de que un miembro del grupo
empresarial considere que la legislación nacional que le resulta aplicable puede impedir el
cumplimiento de sus obligaciones respecto a las BCR y que por lo tanto puede tener una
consecuencia negativa en cuanto a las garantías que tenga la obligación de cumplir. En este caso,
el miembro deberá informar inmediatamente a las oficinas centrales, o a las oficinas responsables
de las BCR dentro del territorio europeo, con la única excepción de aquellos supuestos en los que
la legislación nacional lo prohíba (por ejemplo: en el caso de una investigación criminal para
preservar la confidencialidad de las actuaciones).
Las oficinas centrales en la UE o el miembro delegado, deberán decidir y consultar a las DPA en
ese sentido a fin de encontrar una solución adecuada.
Uno de los requisitos que serán verificados por las DPA es que la legislación aplicable en terceros
países en los que estén ubicados los diferentes miembros del grupo corporativo y donde se
pretenda que surtan efecto las BCR deberán cumplir con los requisitos mínimos de una
democracia. Los intereses recogidos en el Artículo 13 de la Directiva 95/46/EC serán el límite
permitido a la efectividad de las BCR.2
2 Cuando los límites constituyan una medida necesaria para la salvaguarda de: a) la seguridad del Estado, b) la defensa, c) la seguridad pública,
19
VI. PROCEDIMIENTO DE ADOPCION DE LAS BCR
a) Dentro del grupo corporativo:
Podemos resumir el procedimiento de adopción e implementación de las BCR, dentro del grupo
corporativo, en los pasos siguientes:
1. En primer lugar, debe aprobarse internamente por la empresa, concretamente por el
órgano decisorio más elevado como el consejo de administración o similar, un breve
documento (de máximo 3 páginas) destinado a explicar el concepto y el objetivo principal
al staff directivo de la organización.
2. Seguidamente, debe crearse un documento genérico que contenga diferentes pasos y
reglas, que será distribuido entre la organización. Este documento es el que deberá ser
sometido a autorización de la DPA.
3. Deberán crearse también, documentos específicos que contengan normas suplementarias
que deban ser utilizadas de forma exclusiva por determinados departamentos ( por
ejemplo: recursos humanos, marketing, ….)
En cuanto al procedimiento de aprobación de las reglas, el Grupo del Art. 29 propone la adopción
de procedimientos que permitan que la autorización que se otorgue a una compañía por parte de
una autoridad de un estado miembro sea reconocida por las otras autoridades reguladores de los
otros estados miembros donde la compañía opere.
b) Tramitación de las BCR ante las DPA:
Los grupos empresariales interesados en conseguir la aprobación de sus BCR deben poder utilizar
un procedimiento coordinado entre las diferentes DPA implicadas en el proceso. El principal
objetivo es que las empresas puedan utilizar un único procedimiento ante un Estado Miembro que
les permita obtener el beneplácito de las diferentes DPA de los Estados Miembros donde el grupo
opera. Para conseguir este objetivo, el Grupo del Art. 29 ha aprobado varios documentos de
trabajo que deben servir de guía a las empresas.
d) la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la deontológica en las profesiones reglamentadas;
e) un interés económico y financiero importante de un Estado miembro o de la Unión Europea, incluyendo los asuntos monetarios, presupuestarios y fiscales;
f) una función de control, de inspección o reglamentaria relacionada, aunque sólo sea ocasionalmente, con el ejercicio de la autoridad pública en los casos a los que hacen referencia las letras c), d) y e),
g) la protección del interesado o de los derechos y libertades de otras personas.
20
El 25 de noviembre de 2004, el Grupo del Art. 29 aprobó el WP 102 que contiene una lista con
aquellos elementos que debe chequear una empresa respecto a su proyecto para conseguir la
aprobación de las BCR. Posteriormente, el 14 de abril de 2005, aprobó el WP 108 que contiene un
listado más conciso con el mismo propósito. Finalmente, el 10 de enero de 2007, aprobó la
Recomendación 1/2007 sobre la solicitud estándar para aprobar las BCR para la transferencia de
datos personales, WP 133. Concretamente, estos documentos de trabajo contienen las preguntas
que debe hacerse una empresa en el momento de plantearse el diseño de sus BCR. Las
preguntas son las siguientes:
1. ¿Ante qué DPA debo presentar el proyecto?
. Si las oficinas centrales o el consejo de administración están ubicados en un Estado
miembro de la UE, se deberá presentar la solicitud ante la DPA de dicho Estado miembro.
. Si no está claro el lugar donde están situados el consejo de administración o las oficinas
centrales, o si están ubicados fuera de la UE, deberá presentarse la solicitud ante la DPA
más apropiada según los criterios que después se enumeran.
. En la solicitud debe constar el motivo por el cual la DPA ante la que se ha presentado la
solicitud se considera la más apropiada. Los factores que deben tenerse en cuenta
incluyen los siguientes:
o el domicilio de las oficinas centrales del grupo (que será el elemento al que se de
mayor prioridad);
o el domicilio de la compañía que tenga delegadas las responsabilidades sobre
protección de datos;
o el domicilio de la compañía que esté mejor situada (en términos de funciones
directivas, administración …) para gestionar la solicitud y para implantar las BCR
en el grupo;
o el lugar donde se tomen mayores decisiones respecto a las finalidades y los
procedimientos adecuados para llevarlas a cabo;
o los Estados miembros de la UE donde se realicen la mayor parte de las
transferencias fuera del Espacio Económico Europeo.
Hay que tener en cuenta que estos criterios no son inamovibles y que la DPA ante la cual
se solicite la aprobación de las BCR podrá decidir de forma discrecional cuál es el
elemento que tiene mayor peso para tomar la decisión y, en su caso, redirigirá la solicitud
a otra DPA más apropiada.
2. ¿Cuál es la información relevante que debe contener el proyecto?
Es necesario aportar un documento separado que contenga:
. la persona de contacto dentro de la organización que se hará responsable de las posibles
cuestiones que surjan sobre las BCR;
21
. toda la información relevante que justifique la elección de la DPA, incluyendo la
estructura básica del grupo y la naturaleza y estructura de los tratamientos en la UE/EEA,
poniendo especial atención en describir el lugar de toma de decisiones, el domicilio de las
filiales en la UE, las finalidades y los propósitos de los tratamientos, los lugares hacia
donde se transfieren los datos en terceros países y los lugares desde donde se transfieren
(este aspecto es necesario para determinar el “punto de entrada de la DPA”);
. un documento donde se resuma como se han solucionado los requisitos del WP 74;
. todos los documentos que comprendan las BCR que serán adoptadas por la
organización (p.ej: políticas internas, códigos, noticias, procedimientos y contratos
relevantes para ponerlas en práctica). Las DPA también verificarán la forma en la que la
protección de datos se está llevando a cabo en el grupo en el momento de la solicitud.
Las empresas tendrán que tener en cuenta que, mientras que algunas autoridades están
sujetas por su legislación nacional por el compromiso de no desvelar información
presentada que forme parte de un proceso de autorización, otras no. Por lo tanto, si
alguna de la documentación presentada tiene la consideración de “secreto comercial”
deberá señalarse de forma apropiada en los documentos concretos. No obstante, la
decisión de hacer público su contenido será tomada por cada DPA de acuerdo con la
normativa nacional que le resulte de aplicación sobre acceso a la información. Además,
toda aquella información que sea necesario para que otra DPA implicada en el proceso de
aprobación pueda pronunciarse, deberá hacérsele llegar.
3. ¿Qué medidas se adoptan para conseguir que las BCR sean efectivamente vinculantes,
tanto dentro del grupo como frente a terceros?
Las normas deben ser efectivamente vinculantes tanto dentro de la organización como
frente a terceros. En este sentido, y considerando que existen muchas maneras de
conseguir este objetivo, deberá tenerse en cuenta tanto la estructura de la organización,
como su tamaño, los procedimientos adoptados, así como las leyes nacionales de los
Estados miembros donde esté domiciliada la organización.
3.1.Vinculación dentro de la organización, entre las diferentes empresas del grupo:
- debe asegurarse el cumplimiento de las BCR dentro de la organización, este elemento es
especialmente importante cuando no hay oficina central o cuando la oficina central esté
fuera de la UE. La forma de conseguirlo dependerá de la estructura de la organización y
puede estar sujeto a la legislación nacional de los Estados miembros donde las compañías
estén ubicadas.
22
- a título de ejemplo se pueden considerar los elementos siguientes, los cuales no tienen la
consideración de lista cerrada:
. normas corporativas o contratos que se puedan utilizar respecto a los otros miembros del
grupo;
. declaraciones unilaterales o compromisos aceptados por el consejo de administración
que vinculen a los otros miembros del grupo;
. otras medidas regulatorias, como por ejemplo obligaciones contenidas en estatutos
dentro de un marco legal definido:
. incorporación de las normas dentro de los principios generales de la organización junto
con las adecuadas políticas, auditorías y sanciones.
Cada uno de estos elementos sugeridos tendrá un efecto distinto en los diferentes Estados
miembros, por ejemplo, las declaraciones unilaterales no serán vinculantes desde el punto
de vista jurídico en algunos Estados. En este caso, será necesario contar con el debido
asesoramiento local para poder solucionar este aspecto.
3.2 Compromisos adquiridos dentro de la organización respecto de los empleados
Deberá especificarse cómo vinculan las BCR respecto a los empleados, por ejemplo
mediante obligaciones incluidas en ciertas cláusulas de su contrato laboral, relacionando
el incumplimiento de las normas sobre protección de datos con sanciones disciplinarias,
incluyendo cláusulas específicas en los convenios colectivos, etc. También deberá
constar la formación prevista para la plantilla y el compromiso de los senior (¿), así como
el cargo de la persona responsable dentro de la organización encargada del cumplimiento
de las normas.
3.3.Cómo vinculan las BCR a los subcontratistas que tratan los datos.
Hay que demostrar como las BCR vinculan a los subcontratistas, por ejemplo, con el tipo
de cláusula contractual utilizada y las consecuencias de su incumplimiento.
3.4.Cómo vinculan las BCR de forma que puedan ser alegadas por los particulares:
. Los particulares sujetos al ámbito de aplicación de las BCR deben poder impulsar su
cumplimiento tanto frente a la misma compañía como frente a los tribunales.
. La jurisdicción ante la que pueden presentarse los particulares para el ejercicio de sus
derechos puede ser tanto la del Estado miembro donde la compañía origine la
23
transferencia de datos como la del domicilio de las oficinas centrales o del miembro con
responsabilidades delegadas sobre protección de datos.
. La solicitud debe incluir el procedimiento en concreto que debe seguir el particular para
poder hacer efectivo su derecho frente a la organización.
. A título de ejemplo, deberá poder probarse que si una compañía tiene sus oficinas
centrales en Bélgica, y es ante la DPA de ese país que se ha presentado la solicitud, y una
de las compañías del grupo situada en Italia incumple las BCR, el particular debe poder
presentar su reclamación ante la compañía infractora en Italia o ante las oficinas centrales
en Bélgica.
. La solicitud debe probar que la compañía dispone de los medios suficientes para hacer
frente a las posibles indemnizaciones por perjuicios producidos por incumplimiento de las
BCR, bien sean las oficinas centrales, bien la compañía con responsabilidades delegadas.
. Debe especificarse claramente, también, la parte de la organización responsable de las
reclamaciones, así como la forma en la que los particulares pueden hacer efectivos sus
derechos.
. Debe dejarse claro que la carga de la prueba respecto a un posible incumplimiento de las
BCR, corresponde a la empresa que origine la transferencia, a las oficinas centrales
europeas o a la entidad con responsabilidades delegadas, independientemente del lugar
donde se produzca este incumplimiento.
. La solicitud debe reconocer a los particulares los derechos recogidos en la Directiva
95/46/EC.
. La solicitud debe incluir también la confirmación de que la compañía cooperará con las
DPA de acuerdo con las decisiones tomadas por la autoridad supervisora y aceptaran el
consejo de las autoridades, de acuerdo con las interpretaciones del WP 74.
4. Acreditación de su cumplimiento: previsión de auditorías.
4.1. De acuerdo con lo dispuesto en el WP 74, las BCR deben prever la existencia de
auditores internos, externos o una combinación de ambos.
4.2. El documento que establezca los estándares de protección de datos, u otro
documento interno, deberá incorporar un plan de auditoría. Los resultados de estas
auditorías deberán entregarse a las DPA en el caso en que así lo soliciten. La DPA
competente tiene que poder comprobar que el programa de auditoría cubre
adecuadamente todos los aspectos de las BCR, incluyendo los métodos para asegurar
que las medidas correctivas se han llevado a cabo. El plan de auditoría también debe
permitir a la DPA poder llevar a cabo la auditoría ella misma si así lo estima procedente.
4.3. No es necesario que se incluya en los resultados de la auditoría que se notifiquen a
las DPA, aspectos no relacionados con la protección de datos. Las DPA no necesitan
saber nada sobre la dirección del grupo corporativo, excepto en aquello referido a la
24
protección de datos. Tampoco debe incluirse ninguna información considerada como
secreto comercial. Sólo deberá incluirse aquella información que cumpla los requisitos
establecidos en el WP 74, aunque es evidente que en algunos casos los otros tipos de
información estarán relacionadas y tendrán que presentarse también, ya que no será
posible separar las unas de las otras.
4.4. Toda la información que se entregue a una DPA tiene el carácter de estrictamente
confidencial y la información de carácter comercial no se entregará a terceras partes
(como otras DPA) sin el consentimiento de la empresa.
4.5. Es necesario incluir los acuerdos tomados en materia de protección de datos como
resultado de las auditorías y la manera en la que estos resultados son implantados dentro
de la organización (por ejemplo: información de los resultados a los responsables y su
posición jerárquica dentro de la estructura organizativa).
5. Descripción de los tratamientos y de los flujos de información.
5.1. Las BCR deben identificar los elementos siguientes:
- la naturaleza de los datos, por ejemplo si las BCR se refieren sólo a un tipo de
datos (como recursos humanos) o si se refieren a varios tipos. En el supuesto en
el que las normas se refieran a varios tipos de datos, deberá indicarse en la
solicitud, así como el tipo de garantías establecidas para su protección;
- las finalidades del tratamiento de dichos datos;
- el número y extensión de las transferencias dentro del grupo cubierto por las
BCR. Es necesario incluir detalles sobre:
. cualquier miembro del grupo dentro de la UE desde el que se efectúen
las transferencias,
. cualquier miembro del grupo fuera de la UE donde se envíen las
transferencias.
- también hay que incluir la forma en la que las BCR actúan en las transferencias
que efectúe el grupo, distinguiendo entre si operan únicamente respecto a las
transferencias originadas en la UE, o en todas las transferencias que efectúe el
grupo.
6. Garantías de protección de los datos.
6.1. Las normas deben incluir una descripción clara de los estándares de garantías
adoptadas para protección de datos, de acuerdo con lo establecido en la Directiva
95/46/EC y debe incluirse la forma en la que esos requisitos serán cumplidos por la
organización.
25
6.2. En particular, las BCR deben incluir los elementos siguientes: transparencia e
imparcialidad para los particulares, límites a la finalidad, asegurar la calidad de los datos,
seguridad, derechos individuales de acceso, rectificación y oposición al tratamiento,
cancelación de los datos , y restricciones a las transferencias fuera de la multinacional
cubiertas por las normas.
7. Mecanismos para avisar de los cambios y registrarlos.
7.1 Debe existir un sistema para informar a las otras partes de la organización y a las DPA
de cualquier cambio que pueda darse en las BCR, de acuerdo con lo dispuesto en el
párrafo 4.2 del WP 74. Las DPA sólo necesitan conocer aquellos cambios que afecten de
forma significativa el cumplimiento de la protección de datos. Los cambios administrativos,
por ejemplo, no necesitan ser notificados a menos que impacten de forma significativa en
el tratamiento de datos recogido en las BCR. La DPA de referencia también debe
comprometerse a notificar a la empresa de cualquier requisito especial que deba
comunicarse a otras autoridades.
El Grupo del Art. 29 es consciente de la importancia de la notificación de cualquier autorización
otorgada a los otros Estados Miembros y a la Comisión Europea tal como dispone el Art. 26 (3) de
la Directiva. Estas notificaciones deben complementarse con otras actividades de cooperación
antes de otorgar las autorizaciones. Esta cooperación prevista en el Art. 28 debe actuar sobre todo
en aquellos casos en los que una decisión nacional pueda tener efectos en otro Estado Miembro.
c) Procedimiento de cooperación entre las DPA
En cuanto al procedimiento de cooperación entre las DPA, el Grupo del Art. 29 adoptó el 14 de
abril de 2005 el WP 107, en el que se establece la tramitación que debe seguirse entre las
autoridades para aprobar las normas presentadas por las compañías. En este documento de
trabajo se dispone que, una vez que las empresas hayan elaborado la documentación de acuerdo
con los contenidos que establece el WP 108 (en referencia al 102), deberán presentarse ante la
DPA que encabece el procedimiento de aprobación común con dos ejemplares de dicha
documentación, uno en papel y otro en formato electrónico para facilitar así su distribución
posterior. En esta documentación la compañía deberá justificar sus intenciones, entre otros, la
naturaleza y la estructura general de los tratamientos en la Unión Europea, con especial atención
en remarcar el principal lugar de toma de decisiones, la ubicación y naturaleza de las filiales en la
Unión Europea, el número de empleados o particulares implicados, las finalidades y objetivos del
tratamiento, los países des de los que se origina el tratamiento y aquellos terceros países a los
cuales se transfieren los datos.
26
La DPA de referencia, que encabezará el procedimiento de autorización conjunta, deberá
pronunciarse, en primer lugar, sobre su condición de líder en el proceso. En el caso de que
considere que existen justificaciones suficientes para aceptar este compromiso, la DPA se dirigirá
a las otras DPA implicadas para que en el período de dos semanas puedan pronunciarse al
respecto. Este plazo podrá ampliarse a dos semanas más si así lo solicitan las DPA requeridas.
En el supuesto de que la DPA ante la cual se ha presentado la solicitud, considere que no es la
más apropiada para dirigir el proceso, deberá justificarlo de forma razonada e indicar ante qué
autoridad deberá interponerse. Las DPA implicadas en el proceso deberán tomar una decisión al
respecto en el plazo máximo de un mes desde la presentación de la solicitud.
Una vez que la DPA de referencia se haya pronunciado, y haya aceptado su competencia en el
procedimiento, se iniciarán las negociaciones con la compañía solicitante a fin de conseguir un
“borrador consolidado” que se distribuirá entre todas las DPA implicadas para que puedan hacer
los comentarios que consideren adecuados. El plazo recomendado para llevar a cabo este trámite
no podrá exceder de un mes, excepto en el supuesto en el que existan circunstancias
excepcionales.
La DPA de referencia notificará estos comentarios a la compañía interesada a fin de que pueda
incorporarlos al borrador o, en su caso, discutir su contenido si así lo considera necesario. Una vez
que la DPA verifique que los comentarios han sido incluidos por la compañía de una manera
satisfactoria, la invitará a presentar un “borrador definitivo”, el cual será notificado a las otras DPA,
a fin de que lo confirmen y manifiesten su conformidad con la adecuación de las garantías
propuestas.
Esta confirmación tendrá el carácter de acuerdo entre todas las DPA en el proceso para otorgar la
correspondiente autorización, incluso a nivel nacional, si así es necesario. En cualquier caso, las
formalidades adicionales que deban cumplirse en cada Estado, como por ejemplo notificaciones o
formalidades administrativas, deberán ser cumplimentadas también.
El Presidente del Grupo del Art. 29 será informado de esta decisión y la comunicará
inmediatamente con las otras DPA de la Unión Europea o del Espacio Económico Europeo vía
CIRCA.
Respecto a las traducciones, la norma general y sin perjuicio de otro tipo de traducciones
requeridas por las normas, el WP 107 establece que tanto la primera versión como los borradores
posteriores serán presentados en la lengua de la DPA de referencia y en inglés. En cuanto al
borrador final, éste será traducido a los idiomas de las DPA concernidas en el proceso.
27
d) Preguntas más frecuentes sobre BCR
El 24 de junio de 2008, el Grupo del Art. 29 aprobó el WP 155, documento que fue revisado el 10
de diciembre de 2008, en el cual se incluyen las preguntas más frecuentes que se plantean por las
compañías en el momento de elaborar sus BCR. A título de ejemplo podemos destacar las
siguientes:
1. ¿Las BCR se aplican a todos los datos personales tratados por la compañía?
La respuesta es no. Sólo se aplican a aquellos datos personales sujetos al ámbito de aplicación de
la Directiva 95/46/EC y transferidos fuera de la Unión Europea hacia países que no se consideren
de un adecuado nivel de protección. No obstante se recomienda que las multinacionales que
utilicen BCR tengan una política de protección de los datos personales en general ya que se ha
demostrado que es mucho más efectivo y más fácilmente entendible por el personal seguir una
política general sin tener que hacer distinciones respecto al origen de los datos tratados. También
es interesante para las compañías poder demostrar su firme compromiso respecto a mantener
unos elevados niveles de privacidad pudiendo autocalificarse como “privacy friendly”.
2. ¿Se aplican las BCR a aquellos que tratan los datos que no sean parte del grupo?
No. Sólo aquéllos que traten los datos y sean parte del grupo o traten los datos en nombre de otro
miembro del grupo tendrán que respetar las BCR. Las BCR pueden incluir normas específicas
dedicadas a miembros del grupo que actúen como encargados del tratamiento, de acuerdo con lo
dispuesto en los Artículos 16 y 17 de la Directiva 95/46/EC.
Los encargados de tratamiento que no sean parte del grupo corporativo y que actúen en nombre
de un miembro del grupo no es necesario que estén vinculados por las BCR. Sin embargo, estos
encargados del tratamiento deberán trabajar únicamente bajo las órdenes del controlador y
deberán estar vinculados por cláusulas contractuales específicas u otras formas jurídicas de
acuerdo con lo dispuesto en los Artículos 16 y 17 de la Directiva 95/46/EC.
Si los encargados del tratamiento que no sean parte del grupo, están ubicados geográficamente
fuera de la UE, los miembros del grupo tendrán que cumplir también con los requisitos dispuestos
en los Artículos 25 y 26 de la Directiva 95/46/EC en lo referido a transferencias internacionales a
fin de asegurar un adecuado nivel de protección. Las compañías pueden justificar la adecuación
de sus actuaciones mediante cláusulas contractuales estándar adoptadas por la Comisión
Europea para transferencias a un encargado del tratamiento fuera de la UE o sujetando a los
encargados del tratamiento mediante previsiones incluidas en las BCR.
En cualquier caso, está claro que las BCR deben poner orden en estas situaciones.
28
4.Cuando se produce un incumplimiento de las BCR fuera de la UE, ¿qué miembro del grupo es
responsable?
Independientemente de la existencia de responsabilidades para la entidad que exporta datos
personales fuera de la UE, de acuerdo con lo dispuesto en la Directiva 95746/EC, las BCR deben
definir claramente la entidad ubicada en la UE que acepte la responsabilidad por cualquier
incumplimiento de las normas por cualquier miembro del grupo fuera de la UE. Esta
responsabilidad sólo debe extenderse a los datos tratados desde la UE sujetos a las normas.
De acuerdo con lo dispuesto en el WP 74, en la mayor parte de los casos serán las oficinas
centrales del grupo las que acepten dicha responsabilidad, siempre y cuando estén establecidas
en la UE. Cuando estén situadas fuera de la UE, el WP 74 permite que se designe a un miembro
establecido en dicho territorio que acepte las responsabilidades en esta materia. Estas
responsabilidades incluyen el pago de indemnizaciones por daños producidos por la violación de
las BCR por cualquier miembro del grupo vinculado a ellas, y pueden ampliarse a otros conceptos.
No obstante, en algunos casos en los que la estructura corporativa sea especialmente compleja,
de forma que no permita designar una entidad única que se haga cargo de estas
responsabilidades, el Grupo del Art. 29 considera adecuado que, cuando el grupo pueda
demostrar el motivo por el cual no es posible designar una única entidad responsable, podrán
proponer otros mecanismos de responsabilidad que actúen de manera más efectiva y eficiente
dentro de la organización.
Una posibilidad puede ser la de crear un mecanismo de responsabilidad solidaria entre
importadores y exportadores de datos similar a lo dispuesto en el documento sobre Cláusulas
contractuales estándar 2001/497/EC de 21 de junio de 2001, o definir un esquema de
responsabilidad alternativa o subsidiaria basada en las obligaciones previstas en documento sobre
Cláusulas contractuales estándar 2004/915/EC de 27 de diciembre de 2004. Una última
posibilidad, especial para aquellas transferencias que se efectúen desde controladores a
encargados del tratamiento es la de aplicar los mecanismos de responsabilidad establecidos en el
documento sobre Cláusulas contractuales estándar 2002/16/EC de 27 de diciembre de 2001.
Las DPA aceptarán cualquiera de estas soluciones alternativas para definir responsabilidades ad
casum, teniendo en cuenta aquella que resulte más cómoda para el solicitante. No obstante,
deberán asegurarse que los particulares serán asistidos en el ejercicio de sus derechos y que no
resultarán perjudicados por la solución escogida.
29
4. ¿Deben contener las BCR una regulación específica que permita que el particular denuncie ante
la DPA por la violación de las normas?
Así es. A pesar de las limitaciones geográficas y objetivas de las BCR, y el hecho de que los
particulares interesados tengan reconocido de forma efectiva el derecho, en su ley nacional, de
denunciar frente a la DPA a la entidad exportadora, es importante que también conste en las
normas el derecho de los particulares a denunciar ante la misma compañía por vulneración de las
BCR
5. ¿Debe ponerse a disposición de los particulares la información sobre sus derechos como
terceros?
El WP 74 establece como requisito que tanto las BCR como los procedimientos establecidos para
denunciar el incumplimiento de las normas y solicitar la reparación de los daños causados, deben
ser fácilmente accesibles para los particulares. La existencia de derechos reconocidos a terceros y
su contenido es un elemento importante para los particulares en el momento de valorar cuáles son
las reparaciones que puede solicitar. Algunas compañías han decidido, por motivos legítimos, no
incluir los derechos de terceros en el documento principal de las BCR, sino colocarlos en un
documento separado. En estos casos, éste documento debe ser transparente y fácilmente
accesible para cualquier persona que pueda beneficiarse de esos derechos.
6. ¿Qué nivel de detalle tienen que incluir las BCR respecto de los tratamientos y transferencias de
datos personales dentro del grupo?
Las BCR deben incluir una descripción general de las finalidades principales del tratamiento y de
los tipos de datos transferidos. Por ejemplo, el grupo puede explicar en sus normas que las
transferencias se han hecho a las otras entidades del grupo por motivos de movilidad del personal,
por lo tanto, los datos sobre recursos humanos se envían a Alemania, Estados Unidos y Singapur
para su almacenamiento y archivo, y que anualmente, estos datos sobre recursos humanos se
mandan después a las oficinas centrales para definir las políticas retributivas anuales.
7. ¿Deben exponerse las BCR en un documento único que incluya las obligaciones del grupo y los
derechos de los particulares?
Si, las BCR incluyen en un documento único tanto las obligaciones del grupo como los derechos
de terceros, es más fácil hacer su revisión y también las hace más transparentes y accesibles para
los particulares. Este documento, si así se considera necesario, puede ser completado con
información adicional de gran importancia, como por ejemplo políticas, líneas de actuación,
programas de auditoría y formación, etc.
30
Esta es la estructura que se propone como ejemplo en el WP 154 adoptado el 24 de junio de
2008, que proporciona un marco para las BCR. No obstante, no es obligatorio tener las BCR en un
documento único.
8. ¿Qué terminología deben utilizar los solicitantes de autorización de las BCR?
Las BCR son una herramienta, con efectos internos y externos, que permite obtener un nivel
apropiado de de protección de datos personales de acuerdo con lo dispuesto en la Directiva
95/46/EC. Por lo tanto, las denominaciones y definiciones de las BCR deben coincidir con las de la
Directiva europea para evitar malas interpretaciones y facilitar las autorizaciones por parte de la
DPA.
Esto no impide que las compañías utilicen su propio lenguaje, con el mismo significado por
supuesto, si así es más fácil que el personal y los clientes entiendan su contenido y la
implementación de las BCR sea más efectiva.
VII. SITUACION ACTUAL
En diciembre de 2005, la ICO aprobó a General Electric las primeras BCR que tomaban a la
autoridad británica como DPA principal o de referencia para coordinar un procedimiento que
afectaba a una docena de DPA’s de diferentes estados miembros.
General Electric, como muchas otras multinacionales, sopesó todas las posibilidades antes de
optar por las BCR. Por lo tanto, consideró que el acuerdo de puerto seguro con los EUA era
insuficiente ya que no comprendía las instituciones financieras, las cuales formaban una parte
significativa del grupo. Este inconveniente, unido a la posibilidad de integrar las BCR dentro de la
cultura corporativa de una forma más cercana a los empleados, y de convertirlo en un documento
más ágil, adecuado para una estrategia global, fue lo que hizo optar a la compañía por esta
solución. GE decidió empezar por utilizar las BCR para regular todo el proceso de transferencia de
datos de empleados, lo cual permitió transmitir la imagen de preocupación por ellos y por sus
derechos fundamentales que repercutió positivamente en su imagen corporativa.
En esta línea de trabajo, en octubre de 2006, el ICO publicó una guía de transferencias
internacionales fuera del Espacio Económico Europa en la que se incluían todas las posibilidades
en este campo, desde los clásicos contratos hasta los acuerdos Safe Harbour como las BCR.
31
En el mismo período de tiempo, otras muchas multinacionales estuvieron a la expectativa para ver
cómo funcionaban las BCR en General Electric. BP, Philips, Daimler Chrysler entre otras,
estuvieron esperando para ver el resultado antes de decidirse a aprobar las suyas propias y no fue
hasta abril de 2007 el Grupo Philips consiguió la aprobación de las BCR por parte del ICO.
A pesar de estas ventajas, algunas empresas continúan optando por los acuerdos de puerto
seguro con EUA o los contratos con cláusulas específicas, dependiendo de su ámbito territorial de
actuación y de los problemas que encuentran al intentar coordinar doce DPA distintas en materia
de protección de datos como hay actualmente en la Unión Europea. No obstante, durante el año
2008, quince solicitudes esperaban para ser aprobadas en las oficinas del Information
Commisionner Office, ya que la habían escogido como DPA de referencia para tramitar su
aprobación. Otras tantas estaban esperando su aprobación en diferentes DPA europeas.
En octubre de 2008, nueve países de los veintisiete Estados miembros, anunciaron que habían
acordado dar su reconocimiento recíproco para la aprobación de BCR. Los países eran Francia,
Alemania (tanto la DPA federal como las de los länder), Irlanda, Italia, Letonia, Luxemburgo,
Holanda, España y el Reino Unido. Estos países habían acordado reconocer las BCR que se
enviaran entre ellos mediante el procedimiento de coordinación establecido.
En noviembre de 2008, la prensa recogía la noticia de que la empresa Fluidra, grupo multinacional
dedicado al desarrollo de aplicaciones para el uso sostenible del agua, había iniciado los trámites
ante la Agencia Española de Protección de Datos para la aprobación de sus normas corporativas
vinculantes. Esta empresa, por lo tanto, es la primera en presentar una solicitud ante la Agencia
Española.
VIII. PERSPECTIVAS DE FUTURO
Para algunas multinacionales con necesidades crecientes en materia de privacidad, las BCR son
actualmente una buena solución; para otras, no. Ciertamente, la cooperación entre las DPA
europeas debe mejorarse, ya que un procedimiento que necesita del escrutinio de las normas por
cada una de las DPA implicadas en el proceso no es el más ágil posible. Esta situación lleva a
pensar que tal vez sería necesario establecer un sistema de reconocimiento mutuo que
estableciera unos requisitos mínimos comunes de tal forma que permitiera a cada DPA tomar sus
propias decisiones, sabiendo que las demás estarán de acuerdo. En este sentido, las propias
DPA europeas están solicitando un procedimiento más ágil y simplificado, ya que la negociación
de las cláusulas con el resto de autoridades y con la empresa solicitante también consume buena
parte de sus propios recursos y del tiempo de todas las partes implicadas.
32
A título de ejemplo cabe destacar que en diciembre de 2007 se publicó la noticia de que los
Países Bajos están simplificando la aprobación de BCR mediante una forma especial de
“externalización” del servicio. Esto supone que la empresa solicitante se convierte en una especie
de “controlador” de sus afiliados en países con protecciones no adecuadas. El controlador
solicitará permiso para los afiliados ante la DPA y dará ejemplos prácticos del tipo de
transmisiones de datos efectuadas. Las compañías tendrán que actualizar la lista de controladores
a la DPA de los Países Bajos cada seis meses. Esto significa que el controlador se responsabiliza
de otros procesos de transmisión de datos aparte de aquéllos en los que él participa.
Por el momento, sólo la DPA de los Países Bajos ha adoptado este tipo de medidas, pero ésta y
otras medidas similares y dirigidas al mismo objectivo, la agilización de los trámites de aprobación
de las BCR, serán discutidas en la próxima reunión del Grupo del Artículo 29,
También está previsto que se introduzcan cambios en esta línea en la modificación de la Data
Protection Act, que entró en vigor en el 2001.
Otra línea de trabajo que se está abriendo en estos tiempos es la consecución de unos estándares
mínimos internacionales. Estos estándares mínimos, que empezaron a discutirse en la reunión
internacional de DPA que tuvo lugar en Barcelona en diciembre de 2008, tienen como objetivo
conseguir que todos los Estados aprueben unos mínimos de protección respecto a los datos
personales y su tratamiento, de forma que el flujo de información entre las empresas sea más ágil
y más sencillo. No obstante, teniendo en cuenta el diferente estado de la regulación de este
derecho fundamental en el derecho comparado, sin duda será necesario esperar un período de
tiempo más elevado para poder llegar a un compromiso general que pueda actuar como guía para
las empresas que se muevan en este campo.
En cualquier caso, es evidente que el Grupo del Art. 29 tiene todavía mucho que decir en este
aspecto. Según las palabras de su presidente, Sr. Peter Schaar, el Grupo decide en qué materias
debe concentrar sus esfuerzos basándose en los siguientes criterios:
- ¿es un problema que se repite en diferentes Estados miembros?
- ¿existe un motivo político que justifique la urgencia de la preocupación?
- ¿cuántas personas pueden estar afectadas por ese problema?
- ¿tiene el Grupo del Art. 29 una oportunidad real de dar una solución al problema o de
aportar alguna idea al respecto, tanto sea jurídica, como política o técnica?
De acuerdo con estos principios, la transferencia de datos personales a terceros países es uno de
los aspectos más preocupantes en materia de protección de datos, especialmente el trabajo en
red de alcance mundial. En este sentido, las BCR son un aspecto en el que es necesario continuar
33
trabajando para dar respuesta a las necesidades de las empresas sobre certeza jurídica,
aplicación práctica y agilidad en la tramitación.
IX. CONCLUSIONES
Aparte de la reducción significativa de las barreras administrativas, las BCR tienen también un
importante efecto interno que no puede ser conseguido mediante otros instrumentos: concienciar
a todos los individuos involucrados en el proceso sobre la importancia de la privacidad y de la
protección de datos dentro de las compañías, ya que deben ser implementadas de forma activa
por todos los empleados para mantener las transferencias de datos dentro de la legalidad.
Para conseguir este objetivo, las BCR deben formar parte de las normas corporativas internas.
Necesitan ser reforzadas por los procedimientos internos ya existentes y requieren la supervisión
de un Responsable de Privacidad, o Personal Data Officer, que dirija el proceso dentro de la
compañía. Este proceso contribuye a la difusión de la protección de la privacidad en el mundo
empresarial mucho más que cualquier decisión de la Comisión Europea, cláusulas contractuales u
otros instrumentos, ya que contribuye a modificar la cultura empresarial pasando a formar parte de
ella. Asimismo, esa cultura no acaba restringida al ámbito empresarial, sino que acaba
extendiéndose también a la vida privada de los empleados que transmiten el concepto.
Respecto a las otras alternativas posibles, hay que considerar los aspectos positivos y negativos
de cada una de ellas. Los acuerdos de Safe Harbour con Estados Unidos tienen mucha
aceptación en el sector, y en muchas situaciones son indudablemente la mejor de las soluciones,
pero sin entrar en detalle respecto a sus pros y sus contras, hay que tener en cuenta que sólo
actúan en aquellas transferencias que puedan realizarse a los Estados Unidos, y que por lo tanto
no pueden utilizarse en un entorno de alcance mundial.
En cuanto a las Cláusulas contractuales modelo, es cierto que producen una mayor certeza,
particularmente a corto plazo, pero pueden crear auténticos quebraderos de cabeza en grandes
organizaciones que tengan un gran número de transferencias subsidiarias, particularmente si la
estructura del grupo está siendo modificada continuamente, por ejemplo, mediante adquisiciones,
fusiones u otros negocios jurídicos similares.
Por este motivo, en cuanto se materialicen las diferentes opciones que permitan la agilización del
proceso de aprobación de las BCR y su implementación dentro de las multinacionales, las BCR
pueden marcar la diferencia en aquello referente a las transferencias internacionales de datos
34
dentro del mundo empresarial como forma de difusión del derecho a la protección de datos de
carácter personal.
En cualquier caso, hay unos elementos básicos que todo proyecto de BCR debe tener en cuenta:
las binding corporate rules constituyen un elemento de política de privacidad global. De acuerdo
con las palabras de Nuala O’Connor Kelly, Senior Counsel de General Electric, las BCR son una
política de privacidad de estilo americano con sustancia legal europea. Esto quiere decir que la
política es fácil de leer, incluye indicaciones fáciles de seguir y, teniendo en cuenta la importancia
del documento, son relativamente breves. Se intenta que sea un documento para que los
empleados puedan leerlo y utilizarlo como un documento de referencia. En cuanto a la sustancia
europea, el documento recoge los mejores principios del marco legal establecido en Europa sobre
protección de datos. Este documento debe estar redactado en todas las lenguas utilizadas por los
empleados en los diferentes países en los que esté establecida la empresa que los apruebe de
forma que pueda ser utilizado fácilmente por todos ellos.
En conclusión, las BCR pueden reflejar más que el cumplimiento de una normativa o el respeto a
diferentes culturas; pueden reflejar una cultura empresarial respetuosa con los derechos de los
ciudadanos que redunde en beneficio de la empresa que las implante.
35
BIBLIOGRAFÍA
-Article 29 Data Protection Working Party:
. Working document: transfers of personal data to third countries: applying article 26 (2) of the
EU Data Protection Directive to BCR for international data transfers, WP 74, June 3d, 2003.
. Model checklist. Application for approval of Binding Corporate Rules, WP 102, November
25th, 2004.
. Working document setting forth a co-operation procedure for issuing common opinions on
adequate safeguards resulting from BCR, WP 107, april 14th, 2005
. Working document establishing a model checklist application for approval of Binding
Corporate Rules, WP 108, April 14th, 2005
. Recommendation 1/2007 on the Standard Application for Approval of Binding Corporate
Rules for the transfer of personal data, WP 133, January 10th, 2007
. Working document on frequently asked questions (FAQs) related to BCR, WP 155 rev.02,
december 10th, 2008
-AEPD. Informe sobre TID. Julio 2007. Paginas 25, 33, 34
-ARTICULOS:
Cervera Navas, L (2003). Primera aproximación a las “Binding Corporate Rules” para la
transferencia de datos personales a terceros países. Datospersonales.org ( La revista de
la Agencia de Protección de Datos de la Comunidad de Madrid), Nº. 4, 2003.
Saltzman, I y Rittweger, C. (2003). Data Transfers: Binding Corporate Rules – Germany
takes the Workings Party’s Lead. World Data Protection Report.
Cervera Navas, L (2004). Binding Corporate Rules: A new data protection tool for
multinational companies. World Data Protection Report.
Addruse, A y Rowe, H. (2004). Cross-Border transfers of personal data from the U.K.: The
role of binding corporate rules. World Data Protection Report.
Watts, M (2004). Transferring personal data from the EU: when binding corporate rules are
not the answer. World Data Protection Report.
Watts, M (2004). Transferring Personal Data from the E.U.: Are Binding Corporate Rules
the Answer? World Data Protection Report. Vol. 4, n. 3, p. 10-12
Howitt, P (2004). Exporting Data: Binding Corporate Rules and exporting sensitive data.
Data protection law and policy. Vol. 1 Issue 2
36
Ustaran, E (2004). Data Transfer: Binding corporate rules: FAQ. Data protection law and
policy. Vol. 1 Issue 9
European Union. Binding corporate rules: european fast-track approved. World Data
Protection Report (2005)
Ustaran, E (2005) Adopting Binding Corporate Rules: an action plan. World Data
Protection Report
Terstegge, J (2005). BCR: Binding Corporate Rules: the data transfer solution . Data
protection law and policy. Volume 2 Issue 6
Millard, C. (2005) : Data Transfer: Binding Corporate Rules: the way ahead clears, Data
protection law and policy. Volume 2 Issue 5
Binding corporate rules - checklist for applications. Privacy and Data Protection. Volume
5, Issue 5 (2005)
Ustaran, E (2005) Binding Corporate Rules - making it happen -.Privacy and Data
Protection. Volume 5, Issue 4
Ustaran, E (2005) Binding Corporate Rules - making them work-. Privacy and Data
Protection. Volume 5, Issue 4
O’Connor Kelly, N. (2006) Binding Corporate Rules: BCRs: a model for the future, Data
protection law and policy. Volume 3 Issue 4
Bond, R (2006) International Data Transfers: First U.K. Authorisation of Binding Corporate
Rules. World Data Protection Report.-London.- Vol. 6, n. 2, p. 6-10
Kuner, C (2006) United kingdom. First approval of Binding Corporate Rules by DPA. World
Data Protection Report.
Brooks, G (2006) Information Commissioner approves Philips’s Binding Corporate Rules.
World Data Protection Report.
O’Connor Kelly, N (2006) Binding Corporate Rules: BCR: a model for the future.
Dataprotectionlaw&policy. Vol 3, Issue 4.
Schaar, P (2006) Challenges for European Data Protection - Key aspects of the activity of
the Art. 29 Working Party . Data Protection Review
Watts, M. (2006) : Are Binding Corporate Rules Ready for 'Prime Time'?, “Privacy and
data protection” Volume 6, Issue 5
ICO (2006). Guidance on international transfers. Data Protection Review.
Netherlands simplifies use of BCRs in outsourcing. Privacy laws & business international
newsletter. (2007)
Wojtan, B (2007) Binding corporate rules: an honest appraisal from the U.K. Information
Commissioner’s Office. World Data Protection Report.
Rees, P y Hodgkinson, D (2007) Transferring Personal Data Outside the E.E.A.- Binding
Corporate Rules Update. World Data Protection Report.- London.- Vol. 7, n. 4, p. 15-16
Europe. New binding corporate rules website to be launched. World Data Protection
Report (2008)
37
Rudgar, S (2008) BCR: Binding Corporate Rules update. Data protection law & policy. Vol
5, Issue 5.
EU Data Protection Authorities Issue New, Consolidated Guidance on Binding Corporate
Rules. Information Law and Privacy Update of Sidley Austin LLP (2008)
The Article 29 Working Party held its 67th plenary session in Brussels on October 2, 2008.
Press Release. Article 29 Data Protection Working Party.
Standeford, Dugie (2008). Developments in BCRs and beyond. Privacy Laws & Business
International Newsletter.
Aplin, D.G. (2008): Working Party discusses BCRs, E-Discovery, Traveler Data, Internet
Issues at Fall Meeting. Privacy & Security Law Report. Vol 7, Nº 40, pp 1474-1475.
Ustaran, E. (2009): Binding Corporate Rules: A Blueprint for Global Privacy Compliance.
Privacy & Security Law. Nº1, Vol. 8, pp 27-30.
- CITAS EN LÍNEA:
- Information Commisioner’s Office (ICO). International transfers and Binding corporate rules
authorisation. W:informationcommissioner.gov.uk
- “Rsc. La empresa Fluidra solicita la aprobación de sus normas corporativas vinculantes”.
elEconomista.es. 26 de noviembre de 2008. <http://ecodiario.eleconomista.es/empresas-
finanzas/noticias/885434/11/08/Rsc-la-empresa-fluidra... (consulta: 27 de noviembre de 2008)
38
TAGS:
Binding corporate rules
BCR
DPA
Grupo del Art. 29
Directiva
Comisión
Grupo corporativo
Oficinas centrales
Estado miembro
Interesados
Vinculante
Tribunales
Actualización
Transferencia
39
