TRANSFERENCIAS INTERNACIONALES DE DATOS: LAS GARANTÍAS DE LAS NORMAS CORPORATIVAS VINCULANTES (BCR) Julián Prieto Hergueta Subdirector General Registro General de Protección de Datos
Las Transferencias Internacionales de Datos A PAÍSES CON NIVEL DE PROTECCIÓN ADECUADO SUPUESTOS DEL ARTÍCULO 26 DE LA DIRECTIVA 95/46 Y 34 DE LA LOPD GARANTÍAS SUFICIENTES PARA LA PROTECCIÓN DE LA VIDA PRIVADA Y LOS DERECHOS Y LIBERTADES FUNDAMENTALES Y SU EJERCICIO: A través de CLÁUSULAS CONTRACTUALES A través de NORMAS CORPORATIVAS VINCULANTES (BINDING CORPORATES RULES BCR-) de Grupos multinacionales de empresas que: Además de las garantías adecuadas, garanticen el cumplimiento de los principios de la LOPD y su Reglamento Resulten vinculantes para las empresas del Grupo y exigibles conforme al ordenamiento español La autorización del Director para las transferencias implica la exigibilidad de las BCR por la Agencia y por los afectados (art. 70.4 RLOPD)
Las Transferencias Internacionales de Datos Movimientos internacionales de datos EEE No transferencia internacional Resto países transferencias internacionales Sin Autorización AEPD Autorización AEPD garantías Países con Nivel Adecuado -Suiza - Argentina - USA (Safe Harbor) - - Nueva Zelanda Otros supuestos Art. 34 Interés vital Consentimiento Interés público contractuales BCR Responsable Encargado Responsable Responsable Responsable Encargado Encargado Subencargado Contratos «ad hoc»
BCR QUÉ SON LAS BCR? Normas adoptadas en el seno de grupos multinacionales con sucursales y filiales en países dentro y fuera del EEE para las transferencias de datos entre ellas, desde las entidades en el EEE con destino a las entidades fuera del EEE (razón principal) Alternativa a las cláusulas modelo, pero también algo más: Establecen estándares de protección de datos Garantizan el cumplimiento de los estándares frente a los afectados Establecen procedimientos para garantizar su cumplimiento, tanto dentro como fuera del Grupo NATURALEZA Instrumentos de autorregulación, similar a los códigos de conducta Son soluciones a la medida de cada grupo. Nunca estándares generales, como los de las cláusulas contractuales.
BCR Normas Corporativas Vinculantes para Responsables (BCR-C) WP 74, WP 107, WP 108, WP 133, WP 153, WP 154, WP 155, del Grupo de Autoridades Europeas de Protección de Datos art. 29 Ámbito: transferencias internacionales de datos desde empresas del Grupo establecidas en el EEE a empresas del Grupo fuera del EEE. Las empresas del Grupo pueden actuar como encargadas del tratamiento Transferencias fuera del Grupo conforme al esquema de garantías Normas Corporativas Vinculantes para Encargados (BCR-P) WP 195, WP 195a y WP 204 Transferencias entre entidades del mismo Grupo que tratan los datos como encargados del tratamiento Grandes prestadores de servicio
BCR Responsables del Tratamiento
BCR Encargados del Tratamiento
Contenido de las BCR CONTENIDO BCR RESPONSABLES (WP153 y WP154) PRINCIPIOS Y DERECHOS DE PROTECCIÓN DE DATOS Limitación de fines, calidad y proporcionalidad de los datos, legitimidad tratamiento, derechos ARCO, seguridad y confidencialidad de los datos FLUJOS DE INFORMACIÓN Y FINES DEL TRATAMIENTO SUFICIENTEMENTE DETALLADOS RESTRICCIÓN TRANSFERENCIAS ULTERIORES ACREDITACIÓN OBLIGATORIEDAD INTERNA Y EXTERNA ESTIPULACIÓN EN FAVOR DE LOS AFECTADOS Derecho a obtener reparación e indemnización MECANISMOS PARA SU CUMPLIMIENTO Publicidad, transparencia, acceso a las BCR por los afectados, formación, red de DPO, procedimientos de reclamación, sanciones, auditoría COOPERACIÓN CON LAS AUTORIDADES DE CONTROL PROCEDIMIENTO DE ACTUALIZACIÓN JURISDICCIÓN
Contenido de las BCR CARÁCTER OBLIGATORIO DE LAS BCR 1. Obligatoriedad interna Obligatorias para todas las unidades de la empresa Obligatorias para los empleados Establecimiento de mecanismos de control Información Formación Auditoría Gestión de reclamaciones Sanciones 2. Obligatoriedad externa Sometimiento a la jurisdicción de la APD y los Tribunales del Estado del exportador y de la sede del Grupo en la UE o del miembro con responsabilidades en protección de datos Carga de la prueba del cumplimiento sobre el responsable del fichero Garantías del grupo para cubrir posibles responsabilidades
Contenido de las BCR CARÁCTER OBLIGATORIO DE LAS BCR RELACIÓN CONTRACTUAL (CONTRATOS O ACUERDO INTRAGRUPO) DECLARACIÓN UNILATERAL POLÍTICAS DE GRUPO QUE INCLUYAN LAS REGLAS APLICACIÓN EN ESPAÑA LA AUTORIZACIÓN DEL DIRECTOR DE LA AEPD IMPLICA LA EXIGIBILIDAD DE LAS BCR POR LA AEPD Y POR LOS AFECTADOS CUYOS DATOS SON OBJETO DE TRATAMIENTO (ART. 70.4 RLOPD)
Contenido de las BCR PRINCIPALES CARACTÉRISTICAS BCR ENCARGADOS (WP195 y WP204) Necesario contrato de prestación de servicios con el responsable del tratamiento. El tratamiento de los datos se realiza con arreglo a las instrucciones del responsable con la obligación de retornar los datos al final del contrato El responsable está fuera del Grupo Autorización/notificación de las transferencias por el responsable, sobre la base de las BCR de encargados La asistencia al responsable como núcleo de las BCR: Transparencia, accesibilidad, cooperación, medidas de seguridad, subencargados Reclamaciones: traslado a los responsables, sólo se tramitan en caso de acuerdo o si el responsable ha desaparecido o es insolvente Auditoría también posible por el responsable
Procedimiento de Aprobación de las BCR PROCEDIMIENTO DE COOPERACIÓN Y PROCEDIMIENTO DE RECONOCIMIENTO MUTUO (21: Austria, Bélgica, Bulgaria, Chipre, República Checa, Estonia, Francia, Alemania, Islandia, Irlanda, Italia, Letonia, Liechtenstein, Luxemburgo, Malta, Países Bajos, Noruega, Eslovaquia, Eslovenia, España y Reino Unido) FINALIDAD: EVITAR QUE CADA AUTORIDAD SE PRONUNCIE POR SEPARADO
Procedimiento de Aprobación de las BCR FASES DEL PROCEDIMIENTO: o Elaboración previa de las BCR o Presentación de las BCR ante la autoridad que se considere líder o Revisión de las BCR o Participación de las APD o Adopción de las BCR o Autorización para Transferencias internacionales
Procedimiento de Aprobación de las BCR ELABORACIÓN PREVIA DE LAS BCR El Grupo multinacional es el encargado de elaborar las BCR. El papel de las APD (la Autoridad líder) es el de prestar asesoramiento y asistencia, pero la redacción de las BCR corresponde al Grupo, tanto para su presentación como de las revisiones a las que dé lugar el procedimiento de cooperación Antes de su presentación, incluso de su elaboración, es aconsejable contactar con la AEPD para: Informar del proyecto y obtener asesoramiento para su elaboración y tramitación Determinar si la Agencia debería ser la autoridad líder
Presentación de las BCR PRESENTACIÓN DE LAS BCR ANTE LA AUTORIDAD QUE SE CONSIDERE LÍDER Solicitud estándar (WP 133 para responsables y WP 195a para encargados) y la documentación en formato electrónico en la lengua de la APD líder y en inglés Justificación de la elección de la APD: El lugar de la empresa matriz o de la sede central del Grupo La ubicación de la sede europea del Grupo La ubicación de la empresa del Grupo con responsabilidades delegadas en materia de protección de datos La ubicación de la empresa con mejor posición (gestión, carga administrativa) para tramitar la solicitud y hacer cumplir las BCR El lugar donde se adopten la mayor parte de las decisiones sobre la finalidad y los medios de tratamiento Los EM de la UE desde los que se producen la mayor parte de las transferencias fuera del EEE La APD líder consulta a las demás APD si tienen objeciones (2 semanas)
Validación de las BCR VALIDACIÓN DE LAS BCR La APD líder procede a la revisión de las BCR junto con otras dos APD a las que invita a colaborar en dicha tarea (correvisoras) Las observaciones y comentarios que se realicen por las tres APD se trasladan por la autoridad líder al Grupo a fin de que los tenga en cuenta y, en su caso, presente una nueva versión de las BCR, que será nuevamente revisada Se puede necesitar más de un borrador
Participación de las APD PARTICIPACIÓN DE LAS APD Concluida la fase de revisión, la APD líder remite el proyecto definitivo de BCR a: Las APD partes del procedimiento de reconocimiento mutuo para conocimiento Las demás APD que disponen de un mes para realizar comentarios
Adopción de las APD PROCEDIMIENTO DE RECONOCIMIENTO MUTUO Cuando una APD (la autoridad líder) considere que las BCR cumplen con los requisitos establecidos por el GT 29, las APD parte del procedimiento de reconocimiento mutuo aceptarán su opinión Las APD partes del procedimiento de reconocimiento mutuo aceptan esta opinión como base suficiente para obtener el permiso o la autorización nacional necesaria para las transferencias internacionales de datos entre los miembros del Grupo
Adopción de las APD ADOPCIÓN DE LAS BCR Una vez recibida la conformidad la APD líder notifica al solicitante y al Grupo del 29 que el procedimiento de BCR se ha completado Necesidad de solicitar autorización ante las APD nacionales, según cada normativa. La LOPD y el RLOPD exigen autorización del Director AEPD previa solicitud basada en BCR
Autorización para Transferencias Internacionales Dependerá de las legislaciones nacionales En España es necesaria la autorización. Procedimiento de autorización (arts. 137 140 RLOPD) REQUISITOS Solicitud: Requisitos legales Los exportadores del Grupo establecidos en España Los importadores del Grupo (fuera del EEE) Los ficheros a los que afectan las transferencias La finalidad de la transferencia Acreditación de la representación del solicitante Las BCR en español Acuerdo APD que apruebe las BCR (opcional)
Las BCR en la Propuesta de Reglamento Europeo de Protección de Datos RECONOCIDAS POR PRIMERA VEZ EN LA NORMATIVA DE PROTECCIÓN DE DATOS EUROPEA SE CONFIGURA COMO UNA DE LAS GARANTÍAS APROPIADAS PARA PODER REALIZAR TRANSFERENCIAS INTERNACIONALES DE DATOS SIN NECESIDAD DE AUTORIZACIÓN ESPECÍFICA BCR DE RESPONSABLES Y DE ENCARGADOS (P.E. SUPRIME LOS ENCARGADOS Y HABLA DE SUBENCARGADOS INCLUIDOS EN EL ÁMBITO DE LAS BCR) APROBACIÓN POR LA AUTORIDAD DE CONTROL POR EL MECANISMO DE COHERENCIA
Las BCR en la Propuesta de Reglamento Europeo de Protección de Datos CONTENIDO MÍNIMO Estructura del Grupo y contacto de todos los miembros Transferencias, categorías de datos, afectados, tratamientos, fines, países de destino Carácter jurídicamente vinculante Principios protección de datos Derechos afectados y medios para ejercerlos en los EM Aceptación responsabilidad por actuación de miembros fuera UE Información BCR a los interesados Tareas DPO Mecanismos para garantizar la verificación del cumplimiento Procedimiento para su modificación y comunicación Mecanismos cooperación con las autoridades
Situación BCR BCR RESPONSABLES ENCARGADOS COMPLETADAS 67 9 EN TRAMITACIÓN 30 5 Experiencia AEPD (a 31 diciembre de 2014) Autorizaciones Director AEPD: 23 Actuaciones como autoridad correvisora de BCR: 22 Situación a 20/02/2015
Conclusiones LAS BCR PROPORCIONAN Al Grupo: Flexibilidad en cuanto a su contenido Adaptabilidad a las características específicas del grupo de empresas Guía para la gestión y tratamiento de datos por los empleados Suprime la necesidad de contratos entre entidades del Grupo exportadoras e importadoras A los afectados: Publicidad y conocimiento de sus derechos Procedimientos ágiles para su ejercicio Al sistema: Desarrollo de la cultura de protección de datos Colaboración con las autoridades de control Los Grupos interesados en elaborar BCR cuentan con la PLENA DISPONIBILIDAD DE LA AGENCIA
www.agpd.es 7.ª sesión anual abierta de la Agencia Española de Protección de Datos