Aprobadas las primeras normas corporativas vinculantes en el marco del RGPD

Tras el informe favorable del Comité Europeo de Protección de Datos, la Agencia Española de Protección de Datos ha aprobado las primeras normas corporativas vinculantes en el marco del RGPD.

Protección de datos
Redacción

Según ha hecho pública la Agencia Española de Protección de Datos (AEPD), este organismo ha aprobado  las primeras normas corporativas vinculantes (BCR, por sus siglas en inglés) en el marco del Reglamento General de Protección de Datos (RGPD). De esta forma, y tras el informe favorable del Comité Europeo de Protección de Datos, es una de las primeras normativas que se aprueban en el ámbito europeo. En concreto, las BCR son las políticas de protección de datos asumidas por un responsable o encargado del tratamiento establecido en un Estado miembro para realizar transferencias internacionales de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

El RGPD recoge, en su considerando 110, que “todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta, siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias o categorías de transferencias de datos de carácter personal”.

Por otro lado, el RGPD dispone que la autoridad de control competente aprobará las BCR de conformidad con el mecanismo de coherencia establecido en el artículo 63 del RGPD cuando estas sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados; confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales, y cumplan los requisitos establecidos en el artículo 47.2 del RGPD.

Archivado en: