Binding Corporate Rules (BCR): Una poderosa herramienta de compliance

Categories Artículos

Por Cristina Sirera: Asesor Jurídico. CIPP/E. Directora del Programa de Protección de Datos y Seguridad del Instituto de Empresa.

En el mundo global en el que se mueven las organizaciones internacionales, existe una ingente cantidad de normas que deben de ser cumplidas por cada una de las empresas/filiales en los países en los que operan, distintos lo que necesariamente lleva a que estas entidades deban asumir una carga adicional durante su proceso de internacionalización. Entre dichas normas, en un entorno cada vez más digital y tecnológico, es imprescindible destacar la importancia de las normas de protección de datos de carácter personal y seguridad. Esta importancia se ha visto reforzada últimamente como consecuencia de la perdida de seguridad de algunas entidades certificadoras como los “SAFE HARBOUR”.

Las Binding Corporate Rules o Normas Corporativas Vinculantes (“BCRs” y ”NCV” , respectivamente) son la solución para las empresas multinacionales, que exportan los datos personales del Espacio Económico Europeo a otras entidades del grupo situadas en terceros países que no garanticen un nivel adecuado de protección, y una poderosa herramienta de compliance, al armonizar prácticas y procedimientos en materia de protección de datos y garantizar un nivel adecuado de protección de la privacidad en todos los países.

Las BCRs son códigos de conductas vinculantes basados en el cumplimiento por todo el grupo empresarial de normas y políticas en materia de privacidad y protección de datos, que fueron diseñadas -y posteriormente desarrolladas- por el Grupo del Trabajo del artículo 29, como un instrumento, basado en la autorregulación,  que flexibiliza o simplifica los trámites administrativos para legitimar las transferencias de datos personales entre empresas de un mismo grupo a sus filiales ubicadas fuera del Espacio Económico Europeo.

Existen dos Tipos de NCV o BCRs: BCRs de Responsable del Tratamiento y BCRs de encargado de Tratamiento.

Las BCRs proporcionan prácticas uniformes, diseñadas en función de la naturaleza, requisitos y exigencias de cada grupo empresarial, priorizando y creando aquellas prácticas que sean importantes para el grupo, aplicando los principios de privacidad por diseño y defecto y accountability. Dichas normas o códigos deben de estar adaptadas a la actividad empresarial y operacional de la entidad multinacional y/o grupo de sociedades y poseer un enfoque global. Las BCRs deben de ser cumplidas por todos los sujetos que traten datos de carácter personal o estén afectados por el modelo de negocio del grupo de empresas (encargados de tratamiento).

Cumpliendo los mínimos legales establecidos en cada país, pueden implantarse unos niveles de cumplimiento  en materia de protección de datos dentro de toda la organización que ayudan a minimizar la responsabilidad penal de los directivos de la empresa, fomentando la imagen corporativa de las empresas, integrando la Protección de datos personales en la gestión integral de la actividad del grupo empresarial, a través de la concienciación, sensibilización y formación, limitando, por tanto, la responsabilidad corporativa.

A través de las BCRs, se minimiza la responsabilidad penal y se previenen y reducen los riesgos derivados  del incumplimiento de la normativa de protección de datos y privacidad y de las transferencias de datos personales a terceros países, evitando el soporte contractual y documental por cada transferencia individual.

Asimismo, son la herramienta perfecta para anticiparse a los requisitos exigidos en el Proyecto Europeo de Reglamento de Protección de Datos, reduciendo proporcionalmente el impacto y gasto, en algunos casos importantes, que va a producir la adecuación de las empresas al citado Reglamento.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *