La AEPD ha aprobado las primeras normas corporativas vinculantes (BCRs) bajo el RGPD. La AEPD ha ejercido como autoridad líder y ha recibido el informe positivo del Comité Europeo de Protección de Datos (CEPD).
La AEPD ha publicado su opinión final en relación al borrador de las primeras normas corporativas vinculantes presentado por el Grupo Fujikura Automotive Europe, dos meses después de que el CEPD las aprobase. El documento se incluirá en el registro de decisiones que han estado sujetas al mecanismo de consistencia, e implica que Fujikura Automotive Europe Group podrá, de ahora en adelante, utilizar dichas BCRs para la transferencia de datos a miembros del grupo en terceros países, con las garantías adecuadas.
¿Qué son las BCRs?
El RGPD define las normas corporativas vinculantes como las “políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.
Una vez aprobadas por la autoridad de control competente, las BCRs son consideradas un instrumento válido para para la transferencia de datos personales a terceros países con las adecuadas garantía de seguridad.
¿Cuál es el proceso de aprobación de las BCR?
En primer lugar, la autoridad de control líder se encarga de comprobar que el borrador de las BCRs incluye todos los requisitos recogidos en el artículo 47.2 RGPD. Entonces, y conforme al mecanismo de consistencia previsto en los artículos 63 y 64.1 RGPD, el CEPD emite su opinión, tras la cual, de nuevo la autoridad de control líder es la que debe comunicar su decisión final, la cual, de ser positiva, concluirá con la inclusión de las normas en el registro correspondiente.
How did the process apply to this case?
En virtud del considerando 110 RGPD, “Todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias”.
De vuelta al caso que nos ocupa, el borrador de BCRs fue en primer lugar preparado por Fujikura Automotive Europe Group y la AEPD se encargó de revisarlo como autoridad de control líder. En consecuencia, la AEPD proporcionó su decision inicial al CEPD que, a principios de este año, lanzó su informe, por el cual consideraron que las BCRs contenían, efectivamente, una serie de medidas que aseguraban una protección de los datos personales equivalente a aquella garantizada por el RGPD. Ahora, dos meses después, la AEPD las ha aprobado y ha comunicado su decisión final al CEPD.