Normas corporativas vinculantes

Protocolo estándar europeo de protección de datos para uso global

El Grupo de Trabajo del Artículo 29 de la Unión Europea (hoy Junta Europea de Protección de Datos ) desarrolló Normas Corporativas Vinculantes ( NCV ) para permitir que las corporaciones multinacionales , las organizaciones internacionales y los grupos de empresas realicen transferencias intraorganizacionales de datos personales a través de fronteras de conformidad con Ley de Protección de Datos de la UE . Las BCR son un marco para disponer de diferentes elementos (acuerdos legales internos, políticas, formaciones, auditorías, etc.) que permiten el cumplimiento de la normativa de protección de datos de la UE y la protección de la privacidad. Las BCR se desarrollaron como una alternativa a las "cláusulas contractuales estándar" (SCC) ^{[1] y al ahora desaparecido} Puerto Seguro de la UE del Departamento de Comercio de EE. UU. (que era sólo para organizaciones estadounidenses, pero ha sido declarado inválido).

Las BCR deben ser aprobadas por la autoridad de protección de datos de cada estado miembro de la UE (como la CNIL en Francia y la AEPD en España) en los que la organización dependerá de las BCR. ^[2] La UE ha desarrollado un proceso de reconocimiento mutuo según el cual las NCV aprobadas por la autoridad de protección de datos de un estado miembro (conocida como autoridad "principal") y otras dos autoridades "codirectoras", pueden ser aprobadas por los otros estados miembros pertinentes. quienes pueden hacer comentarios y solicitar enmiendas. ^[3] Otros Estados miembros, que no forman parte del proceso de reconocimiento mutuo, también participarán en la autoridad principal y aplicarán su proceso de revisión independiente dentro de un plazo limitado. El proceso general de aceptación del BCR suele tardar entre 6 y 9 meses. Este plazo no incluye la configuración de Protección de Datos requerida, que debe implementarse dentro de la empresa para cumplir con la directiva vigente y su implementación local.

Las NCV suelen formar políticas de privacidad globales intracorporativas estrictas, un conjunto de prácticas, procesos y directrices que satisfacen los estándares de la UE y pueden estar disponibles como un medio alternativo para autorizar transferencias de datos personales (por ejemplo, bases de datos de clientes, información de recursos humanos, etc.) fuera de la empresa. de Europa. Las NCV se consideran el régimen más "sólido" y aceptado para las transferencias de datos. ^[4]

Cabe señalar que, si bien originalmente fueron diseñadas para brindar fundamento legal a las transferencias internacionales, las NCV se convirtieron de facto en una demostración corporativa de su capacidad para cumplir "en general" con los requisitos de procesamiento de datos personales. Una empresa que tenga BCR aplica este marco independientemente de las transferencias internacionales y debe verse como parte del "Gobierno Corporativo" o "Gobierno de Datos". ^{[ cita necesaria ]}

Referencias

1. "Cláusulas contractuales tipo (CEC)". Comisión Europea . Consultado el 11 de abril de 2022 .
2. "Reglas corporativas vinculantes (BCR)". Comisión Europea . Consultado el 11 de abril de 2022 .
3. Dumont, David; Pateraki, Anna. "Una guía para normas corporativas vinculantes" (PDF) . Huntonak.com . Ley Bloomberg . Consultado el 11 de abril de 2022 .
4. Feiler, Lucas; Seinen, Wouter. "Las BCR como una alternativa sólida al Escudo de privacidad y las SCC". Asociación Internacional de Profesionales de la Privacidad . Consultado el 11 de abril de 2022 .

enlaces externos

• https://edpb.europa.eu/our-work-tools/accountability-tools/bcr_en