Las normas corporativas vinculantes o BCR (por sus siglas en inglés) son directrices alternativas de protección utilizadas por un país miembro para el tratamiento de datos personales. Estas tienen origen jurídico aplicable a empresas u asociaciones de estas.
¿Su función? Estas normas tienen como objetivo brindar una garantía estándar para el traslado internacional de datos personales desde una empresa domiciliada en un país regulado a una empresa situada en otro, donde no se permitiría la transferencia por las leyes que se rigen.
Necesidad de NCV
¿Qué necesidades suplen las NCV? El apego a las NCV es necesario para hacer posible los movimientos mundiales de datos personales entre filiales ubicadas fuera del EEE.
A nivel empresarial las NCV pueden ser tomadas como parte de las políticas de protección de datos, incluso en países donde no se ofrece el debido nivel de seguridad para tranquilidad de sus usuarios.
La urgencia de las organizaciones para aplicar las NCV surge de la necesidad de procesar datos aun cuando sus sedes receptoras se encuentren en lugares con distintos sistemas legales y a su vez culturas, idiomas y ejercicios empresariales.
Por lo cual, mediante estas normas se ofrece un marco jurídico que ahorra la firma de cláusulas contractuales en caso de transferir datos a un miembro de la filial y tiempo al no tramitar permisos ante la AEPD.
La aplicación de estas normas permite una colaboración efectiva entre la organización y las autoridades, lo que evita diferentes sanciones que puedan imponerse por la falta de adecuación y consciencia a la hora de diseñar medidas de seguridad acordes a las leyes.
Alcance de las NCV
Las normas corporativas vinculantes en el RGPD se han establecido en la Unión Europea de cara al mundo, tomando como objeto de resguardo todo dato de carácter personal (clientes, empleados, proveedores) que pueda ser transferido por una empresa establecida en la UE a otro país.
De igual manera, estas normas tienen alcance entre acuerdos realizados de empresas que no necesariamente sean de un mismo grupo, sino también a aquellas que realicen una acción económica en conjunto.
Para poder beneficiarse de las NCV, debe haberse aprobado el procedimiento por parte del ente regulador de la protección de los datos.
¿Hasta dónde llega el alcance de estas normas? Ofrece la protección de datos de manera efectiva y genera mayor credibilidad en las políticas empresariales en las cuales se asegura el cumplimiento normativo en la totalidad de su estructura.
De este modo, siempre se debe asegurar que en medio del grupo de empresas debe existir un miembro de la UE, el cual asegure el cumplimiento de las RGPD y sea el representante de este grupo en caso de petición.
Revisión de las NCV
La AEPD, que es la autoridad de control con respecto al uso de datos, señala que para aprobar las normas corporativas vinculantes estas deben contar con unas características básicas al momento de su revisión.
Características como el otorgamiento de derechos ejercibles por parte de los interesados al realizar el tratamiento de sus datos personales y que, además, estas normas puedan ser llevadas a cabo por todos los miembros del grupo de empresas conjuntamente con sus empleados.
Además, ciertos elementos deben aparecer dispuestos en sus normas ¿Cuáles? Te mostramos a continuación:
- Los traslados de datos deben especificar la categoría, el tipo de tratamientos que se les aplicará y mostrar el tipo de afectados, así como los nombres de los países a los que serán enviados los datos.
- El esquema organizacional con los datos detallados para contactar al grupo empresarial.
- La utilización de fundamentos en cuanto a la protección de datos, como la restricción de la finalidad, la limitación del tiempo de uso y la disminución del volumen en los datos, teniéndose en cuenta como medidas que garantizan la seguridad.
- Los derechos de los titulares de la información a reclamar sobre al tratamiento y presentar inquietudes por la creación de perfiles con sus datos o ser utilizados para tratamientos automatizados, los cuales pueden acarrear indemnizaciones o reparaciones.
- La aceptación del encargado de hacer tratamiento, el cual debe tener presente las consecuencias de las violaciones a la norma y que al ocurrir él será el único responsable.
- Los medios para poder hacer una reclamación.
- La manera de facilitación de la información para los interesados en las NCV.
Revisión periódica del alcance de las NCV
Las NCV, como ya lo hemos descrito, son una herramienta que permite definir un mismo contexto de actuación en cuanto al tratamiento de datos en operaciones internacionales llevadas a cabo por grupos multinacionales, lo que ofrece un nivel adecuado de protección y seguridad.
Ahora bien, es necesaria una revisión periódica del alcance de estas normas que armonice con las disposiciones en las legislaciones de la UE, teniendo especial cuidado a la hora de la aprobación en el contenido de las garantías que expresan hacia los derechos de los titulares de los datos.
De igual manera, ya que el contenido de las NCV de una multinacional puede actualizarse y modificarse, se debe notificar a las Autoridades de Supervisión a las cuales competa sobre cualquier reforma producida en estas que puedan afectar el nivel de protección ofrecido.
Algunos cambios sustanciales que necesitan revisión por parte de las autoridades son la modificación de la lista del grupo vinculado o el cambio de los individuos objeto para el tratamiento de datos personales.