Binding Corporate Rules: Una poderosa herramienta de compliance
|Cristina Sirera
Asesor Jurídico. Experto en Privacidad y Protección de Datos
ELZABURU
En el mundo global en el que se mueven las empresas internacionales, existe una ingente cantidad de normas que deben de ser cumplidas por cada una de las empresas/filiales en los países en los que operan. Entre dichas normas, en un entorno cada vez más digital y tecnológico, es imprescindible destacar la importancia de las normas de protección de datos de carácter personal y seguridad. Esta importancia se ha visto reforzada últimamente como consecuencia de la perdida de seguridad de algunas entidades certificadoras como los “SAFE HARBOUR”.
Las Binding Corporate Rules o Normas Corporativas Vinculantes (“BCRs” y ”NCV” , respectivamente) son la solución para las empresas multinacionales, que exportan los datos personales del Espacio Económico Europeo a otras entidades del grupo situadas en terceros países que no garanticen un nivel adecuado de protección, y una poderosa herramienta de compliance, al armonizar prácticas y procedimientos en materia de protección de datos y garantizar un nivel adecuado de protección de la privacidad en todos los países.
Las BCR son códigos de conductas vinculantes basados en el cumplimiento por todo el grupo empresarial de normas y políticas en materia de privacidad y protección de datos.
Las BCRs fueron diseñadas y posteriormente desarrolladas por el Grupo del Trabajo del artículo 29, como un instrumento, basado en la autorregulación, que flexibiliza o simplifica los trámites administrativos para legitimar las transferencias de datos personales entre empresas de un mismo grupo a sus filiales ubicadas fuera del Espacio Económico Europeo. Existen dos Tipos de NCV o BCRs: BCRs de Responsable del Tratamiento y BCRs de encargado de Tratamiento.
Las BCR proporcionan prácticas uniformes, diseñadas en función de la naturaleza, requisitos y exigencias de cada grupo empresarial, priorizando y creando aquellas prácticas que sean importantes para el grupo, aplicando los principios de privacidad por diseño y defecto y accountability. Dichos códigos deben de estar adaptados a la actividad empresarial y operacional de la entidad multinacional y/o grupo de sociedades y poseer un enfoque global. Las BCR tienen carácter vinculante y deben de ser cumplidas por todos los sujetos que traten datos de carácter personal o estén afectados por el modelo de negocio del grupo de empresas (encargados de tratamiento).
Cumpliendo los mínimos legales establecidos en cada país, pueden implantarse unos niveles mínimos de cumplimiento en materia de protección de datos dentro de toda la organización que ayudan a limitar la responsabilidad penal de los directivos de la empresa, fomentando la imagen corporativa de las empresas, integrando la Protección de datos personales en la gestión integral de la actividad del grupo empresarial, a través de la concienciación, sensibilización y formación, limitando, por tanto, la responsabilidad corporativa.
A través de las BCRs, se minimiza la responsabilidad penal y se previenen y reducen los riesgos derivados del incumplimiento de la normativa de protección de datos y privacidad y de las transferencias de datos personales a terceros países, evitando el soporte contractual y documental por cada transferencia individual. Asimismo, son la herramienta perfecta para anticiparse a los requisitos exigidos en el Proyecto Europeo de Reglamento de Protección de Datos, reduciendo proporcionalmente el impacto y gasto, en algunos casos importantes, que va a producir la adecuación de las empresas al citado Reglamento.