El Comité Europeo de Protección de Datos (CEPD) ha publicado unas orientaciones sobre las normas corporativas vinculantes (BCRs) para empresas y grupos de empresas que tienen a la ICO como autoridad de control principal.
El CEPD ha publicado unas orientaciones sobre las normas corporativas vinculantes (BCRs) para empresas y grupos de empresas que tienen a la ICO como autoridad de control principal. A medida que se realizan cambios para implementar de manera oficial el Brexit, las empresas también están experimentando muchas modificaciones estructurales y procedimentales y algunas tienen como origen la última sentencia del TJUE en el caso Schrems II. El el CEPD ha realizado un análisis de las consecuencias que ha conducido a la publicación de unas orientaciones en las que señala los cambios necesarios en las normas corporativas vinculantes tras el Brexit, que incluye una tabla sobre el criterio para un cambio de autoridad de control en relación a las BCRs, el cómo y el por qué, y la legislación para cada criterio.
Cambios procedimentales para BCRs autorizadas.
La empresas que realicen transferencias internacionales mediante BCRs aprobadas y que estén sujetas a la ICO necesitarán una nueva autoridad de control principal dentro del Espacio Económico Europeo. Este cambio deberá implementarse antes de que finalice el período de transición del Brexit. Para BCRs ya aprobadas bajo el RGPD, la nueva autoridad de control principal tendrá que emitir una nueva decisión de aprobación, tras recibir la opinión del CEPD.
Sin embargo, esta decisión de aprobación no será necesaria para aquellas BCRs donde la ICO actuó como la autoridad de control bajo la Directiva 95/46/EC.
Cambios de contenido para BCRs autorizadas.
Antes del fin del período de transición del Brexit, las compañías que ostenten BCRs aprobadas con la ICO como la autoridad de control principal tendrán que modificar dichas BCRs y referenciar el orden normativo del Espacio Económico Europeo. Sin estos cambios (o la nueva decision de aprobación, según corresponda), estas empresas o grupos de empresas no podrán utilizar las BCRs para transferencias fuera del Espacio Económico Europeo tras el período de transición.
Cambios procedimentales para nuevas solicitudes de BCRs ante la ICO.
El CEPD insta a cualquier empresa o grupo de empresas que cuenten con BCRs en fase de revisión con la ICO a identificar una nueva autoridad principal según las orientaciones WP263 rev.01 antes del final del período de transición del Brexit. Habrán de contactar con la nueva autoridad de control y proporcionar toda la información necesaria para solicitar que sea su nueva autoridad de control principal en lo que concierne a las BCRs. Ésta entonces iniciará el procedimiento conforme a la opinión emitida por el CEPD.
Las empresas o grupos de empresas pueden transferir su solicitud a la nueva autoridad de control tras la aprobación de la ICO, en cuyo caso la nueva autoridad de control deberá aprobar la nueva aplicación antes del final del período de transición, conforme al artículo 47.1 RGPD.
Cambios de contenido para nuevas solicitudes de BCRs ante la ICO.
Las empresas o grupos de empresas con BCRs en proceso de aprobación por la ICO deberán asegurarse de que sus BCRs refieren el orden normativo del Espacio Económico Europeo con información sobre los cambios previstos, antes del final del período de transición.
Cambios generales para nuevas solicitudes de BCRs.
Cualquier autoridad de control en el Espacio Económico Europeo a la que se le solicite actuar como nueva autoridad de control para las BCRs deberá considerar si es ella la apropiada, caso por caso, conforme al criterio recogido en WP263 y en colaboración con otras autoridades de control que puedan ser de relevancia. El CEPD ha preparado una lista de elementos para BCRs de responsables y encargados de tratamiento que vayan a cambiar sus BCRs con motivo del Brexit.