Documento del EDPB que establece un procedimiento de cooperación para la aprobación de las Normas Corporativas Vinculantes para responsables y encargados del tratamiento
En el complejo panorama de la protección de datos a nivel global, las Normas Corporativas Vinculantes (BCR, por sus siglas en inglés) surgen como una herramienta esencial para las empresas multinacionales. Estas políticas internas, de carácter obligatorio, permiten legitimar las transferencias internacionales de datos personales dentro de un grupo corporativo, garantizando un nivel de protección equivalente al exigido por el RGPD, incluso fuera de las fronteras de la Unión Europea. Dada su importancia, contar con un procedimiento de aprobación eficiente y armonizado es crucial.
Esta nota jurídica resume y explica el Procedimiento de Cooperación para la Aprobación de las BCR, según lo establecido por el Comité Europeo de Protección de Datos (EDPB). El EDPB, encargado de garantizar la aplicación coherente del RGPD en toda la Unión Europea, ha emitido este procedimiento para facilitar el cumplimiento normativo por parte de los grupos corporativos que transfieren datos personales fuera del Espacio Económico Europeo (EEE). El documento, adoptado el 13 de marzo de 2025, actualiza el documento de trabajo anterior, incorporando la experiencia práctica y buscando optimizar la cooperación entre autoridades de control en el marco del RGPD.
¿A quién se aplica este procedimiento?
Este procedimiento se aplica a los grupos corporativos, tanto responsables como encargados del tratamiento de datos, que desean implementar BCR para legitimar transferencias internacionales de datos personales dentro de su organización. Aplica a empresas establecidas en la UE que transfieren datos a sus filiales fuera de la UE, o a empresas fuera de la UE que transfieren datos desde la UE a su sede central.
¿En qué circunstancias es relevante?
El procedimiento es relevante cuando un grupo corporativo necesita transferir datos personales desde la Unión Europea hacia entidades ubicadas en países que no ofrecen un nivel de protección de datos considerado «adecuado» por la Comisión Europea. En estos casos, las BCR se convierten en un instrumento legal válido para garantizar la protección de los datos transferidos, siempre que sean aprobadas conforme a este procedimiento. Las BCR permiten a las empresas demostrar el cumplimiento de los requisitos del RGPD al transferir datos fuera del EEE.
¿Qué son las BCR?
Las BCR son políticas internas de un grupo corporativo que establecen normas obligatorias de protección de datos para todas las entidades del grupo, independientemente de su ubicación geográfica. Estas normas deben asegurar un nivel de protección de datos esencialmente equivalente al garantizado por el RGPD. La aprobación de las BCR por parte de las autoridades de control competentes legitima las transferencias internacionales de datos dentro del grupo corporativo.
Fases del procedimiento de aprobación
El procedimiento de aprobación de las BCR se desarrolla a través de las siguientes fases, con el objetivo de asegurar la coherencia y eficacia de las normas propuestas:
- Propuesta de Autoridad de Control (AC) líder: el grupo corporativo propone una AC como líder del proceso. Esta elección debe justificarse con criterios objetivos, como la ubicación de la administración central del grupo en Europa, la ubicación de la función de protección de datos centralizada o el lugar donde se toman decisiones sobre el tratamiento de datos. La AC propuesta debe aceptar formalmente su rol de líder.
- Revisión de la documentación: la AC líder revisa en profundidad la documentación presentada por el grupo corporativo, incluido el borrador de las BCR, para verificar que cumplan con los requisitos del RGPD y garanticen una protección adecuada de los datos personales.
- Colaboración con AC coevaluadoras: para asegurar una evaluación exhaustiva, la AC líder comparte el borrador revisado con una o dos AC coevaluadoras, quienes examinan el borrador y aportan sus comentarios y sugerencias a la AC líder.
- Redacción del borrador consolidado: una vez incorporados los comentarios de las AC coevaluadoras, se elabora un borrador consolidado de las BCR. Este se distribuye a todas las AC interesadas, quienes pueden hacer observaciones y proponer modificaciones. El objetivo de esta fase es alcanzar un consenso general sobre el contenido de las BCR.
- Sesiones BCR para resolver diferencias: si surgen controversias o diferencias de opinión durante el proceso de revisión, la AC líder puede convocar sesiones informales llamadas «sesiones BCR», que reúnen a las AC interesadas y a la Secretaría del EDPB para discutir los puntos conflictivos y buscar soluciones consensuadas.
- Opinión del EDPB: una vez alcanzado el consenso entre las AC, la AC líder remite el borrador final de las BCR al EDPB para obtener su opinión. Esta opinión es un elemento clave para asegurar la coherencia y uniformidad en la aplicación del RGPD en toda la UE.
- Aprobación final: finalmente, la AC líder, teniendo en cuenta la opinión del EDPB, adopta formalmente la decisión de aprobar las BCR. Esta aprobación legitima las transferencias internacionales de datos dentro del grupo corporativo, siempre que se cumplan las condiciones establecidas en las BCR.
El documento también especifica en detalle el rol y las responsabilidades de la AC líder en cada fase del procedimiento, define el concepto de “ronda” en el contexto de la revisión de las BCR, y describe el procedimiento para organizar y llevar a cabo las sesiones BCR.
Traducciones
Para facilitar la participación de todas las AC interesadas, el documento estipula que la documentación debe presentarse en el idioma de la AC líder y, cuando sea posible, en inglés. Además, el borrador final de las BCR y las BCR aprobadas deben traducirse a los idiomas de las AC desde cuyos territorios se realicen transferencias de datos.
En resumen, este documento proporciona un marco procedimental claro y detallado para la aprobación de las BCR, promoviendo la cooperación entre autoridades de control y garantizando un nivel adecuado de protección de los datos personales transferidos internacionalmente en el contexto del RGPD.
María comenzó su contacto con el derecho de las nuevas tecnologías en la carrera en la Universidad Complutense de Madrid. Actualmente se encuentra cursando el Máster Universitario en Derecho de las Telecomunicaciones, Protección de datos, Audiovisual y Sociedad de la Información en la Universidad Carlos III de Madrid, con el objetivo de certificarse como DPO.
Artículos Relacionados
El CEPD aclara las normas para el intercambio de datos con las autoridades de terceros países y aprueba la certificación del sello de protección de datos de la UE
The Phone House y la Agencia de Protección de Datos se enfrentan por una multa de 6,5 millones de euros
Videovigilancia en el entorno laboral y protección de datos
Multa a Uber por no garantizar la protección de datos de sus conductores
El delegado de protección de datos no puede presentar alegaciones en nombre de su cliente
Patrones adictivos y protección de datos: un análisis de las prácticas actuales