Hasta ahora, las autorizaciones para las transferencias internacionales de datos de carácter personal que concedía la Agencia Española de Protección de Datos estaban, principalmente, soportadas sobre la base de un contrato con las cláusulas contractuales tipo previstas en alguna de las Decisión de la Comisión Europea. El 9 de junio de 2009, la Agencia dictó una Resolución de autorización de transferencias internacionales de datos, en base, no a unas cláusulas contractuales tipo, sino en base a las llamadas Binding Corporate Rules (BCRs).
Pero, ¿qué son las BCRs? La BCRs son un conjunto de reglas o cláusulas corporativas vinculantes que tienen por objeto establecer las prácticas que una entidad lleva a cabo en materia de tratamiento de datos de carácter personal con la finalidad de facilitar las transferencias internacionales de datos en el seno de dicha corporación. Las BCRs constituyen un instrumento que los grupos multinacionales pueden hacer valer ante las autoridades de protección de datos, para garantizar la legalidad de las operaciones de transferencia de datos en su organización, independientemente de que el país de destino garantice o no un “adecuado nivel de protección” conforme a la normativa vigente en el país de origen de los datos.
En la Resolución anteriormente mencionada, la Agencia establece que, para que las BCRs puedan ser consideradas como garantías suficientes para fundamentar la autorización de transferencias internacionales de datos en el seno de un grupo internacional, deben recoger:
· La delimitación del ámbito de aplicación de las BCRs, no pudiendo exceder del propio grupo en cuyo seno han sido adoptadas.
La delimitación del alcance de las transferencias que pretendan llevarse a cabo, pudiendo referirse a todos los tratamientos efectuados en el seno del grupo o a categorías determinadas. Tales categorías pueden delimitarse por el colectivo de sujetos afectados o por las finalidades que justifican las transferencias que pretenden garantizarse.
· La incorporación de las garantías necesarias de respeto a la protección de la vida privada y el derecho de la protección de datos de los afectados, las cuales deberían corresponderse a las exigibles a la legislación de un determinado Estado para que pueda determinarse que el nivel de protección de datos resulta adecuado.
· El carácter vinculante de las BCRs para las empresas del grupo y su exigibilidad conforme al ordenamiento español. Esta obligatoriedad debe tener una proyección externa.
Este instrumento de actuación ya aparecía recogido en el artículo 26.2 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos donde se establece que “Sin perjuicio de lo dispuesto en el apartado 1, los Estados miembros podrán autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado con arreglo al apartado 2 del artículo 25, cuando el responsable del tratamiento ofrezca garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.”
Como tal instrumento, y por su relevancia práctica, ha sido reiteradamente analizado por el Grupo de Trabajo del artículo 29 de la Directiva dando lugar a la adopción de diversos documentos de trabajo, no obstante, en la legislación española no encontrábamos ningún referente específico en la materia.
En este sentido, con el fin de solventar una carencia de la anterior legislación, una de las grandes novedades que introdujo el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal en su artículo 70.4, es la referencia expresa a las BCRs, como instrumento para obtener la autorización para la transferencia internacional de datos por parte de la Agencia. En este sentido establece que “también podrá otorgarse la autorización para la transferencia internacional de datos en el seno de grupos multinacionales de empresas cuando hubiesen sido adoptados por los mismos normas o reglas internas en que consten las necesarias garantías de respeto a la protección de la vida privada y el derecho fundamental a la protección de datos de los afectados y se garantice asimismo el cumplimiento de los principios y el ejercicio de los derechos reconocidos en la Ley Orgánica 15/1999, de 13 de diciembre, y el presente Reglamento.”
Recientemente, y en esta línea, cabe resaltar que la Resolución de Madrid, nacida en el seno de la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, celebrada el 5 de noviembre de 2009, recoge en su artículo 15 dedicado a las transferencias internacionales que “Será posible realizar transferencias internacionales de datos de carácter personal a Estados que no ofrezcan el nivel de protección previsto en el presente Documento, cuando quien pretenda transferir dichos datos garantice que el destinatario ofrecerá dicho nivel de protección; dicha garantía podrá derivarse, por ejemplo, de cláusulas contractuales apropiadas. En particular, cuando la transferencia se lleve a cabo en el seno de organizaciones o de grupos multinacionales, dicha garantía podrán consistir en la existencia de normas internas de privacidad cuya observancia resulte vinculante”.
Mucho queda por avanzar, pero, en todo caso, las BCRs deben ser vistas como un instrumento que facilita la transferencia internacional de datos y la aplicación de la normativa sobre protección de datos. Igualmente deben ser consideradas como un instrumento propicio para fomentar el desarrollo y aplicación de unos estándares de privacidad.
FUENTE: www.icnr.es