TRANSFERENCIAS INTERNACIONALES DE DATOS: LAS GARANTÍAS DE LAS NORMAS CORPORATIVAS VINCULANTES (BCR)

Documentos relacionados
Nuevos criterios en el marco de las Transferencias Internacionales de Datos

REGISTRO GENERAL DE PROTECCIÓN DE DATOS Y TRANSFERENCIAS INTERNACIONALES

Transferencias Internacionales. Aspectos Prácticos

Agencia Española de Protección de Datos

NIVEL ADECUADO DE PROTECCIÓN

Transferencias Internacionales de datos y su relación con la adecuación de la Unión Europea

Transferencias internacionales de datos para la prestación de servicios

Aspectos de Protección

Soy nacional de alguno de estos países?

SERVICIO DE REVOCACIÓN CERTIFICADO DE PERSONA FÍSICA

CÓDIGOS DE CONDUCTA, CERTIFICACIONES Y TRANSFERENCIAS INTERNACIONALES

Santiago de Chile Abril Cátedra Interuniversitaria de Derecho y Genoma Humano

25 DE MAYO DE 2017 Centro de Conferencias Fundación Pablo VI Paseo de Juan XXIII, 3. Madrid

ANEXO. del. informe de la Comisión al Parlamento Europeo y al Consejo

AYUDA ECONÓMICA PARA BENEFICIARIOS BECA ERASMUS+ CURSO 2015/16

Supervisión y Régimen Sancionador. Jesús Rubí Navarrete Adjunto a la Directora

Unidad de Educación Superior

Propuesta de DECISIÓN DEL CONSEJO

CERTIFICADO DE REGISTRO DE CIUDADANO DE LA UNIÓN

4º CONGRESO INTERNACIONAL DE PROTECCIÓN DE DATOS Y XIV ENCUENTRO IBEROAMERICANO DE PROTECCIÓN DE DATOS

1) Movilidad de estudiantes para estudios hacia países del programa

Andrés Calvo Medina Unidad de Evaluación y Estudios Tecnológicos. Agencia Española de Protección de Datos

Temario del curso online de Protección de Datos de Carácter Personal (Adaptado al RGPD de la UE)

Información de Alumnos

REGLAMENTO DE EJECUCIÓN (UE) 2018/1935 DE LA COMISIÓN

Ayudas Erasmus para participantes en el programa con Necesidades Especiales

Como de costumbre, quedamos a su disposición para cualquier aclaración al respecto.

Guía para la solicitud de subvenciones para la reubicación temporal

Países participantes Estados miembros de la Unión Europea Los países de la AELC y el EEE

INFORME DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO, AL COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONES

Acuerdo de cooperación entre el FIDA y el Banco de Desarrollo del Consejo de Europa

Propuesta de DECISIÓN DEL CONSEJO

CURSO DE ESPECIALIZACIÓN EN PROTECCIÓN DE DATOS

AYUDA ECONÓMICA PARA BENEFICIARIOS

PROTECCIÓN SOCIAL EN APLICACIÓN DE LAS NORMAS INTERNACIONALES

(Actos cuya publicación no es una condición para su aplicabilidad) COMISIÓN

PROGRAMA/TEMARIO DEL ESQUEMA CONTENIDO

SOLICITUD DE INFORMACIÓN relativa al desplazamiento transnacional de trabajadores en el marco de una prestación de servicios

Transferencia internacional de datos. María José Blanco Antón Secretaria General Agencia Española de Protección de Datos

Decisiones de Adecuación de la Comisión Europea

1. ALOJAMIENTO Y MANUTENCIÓN

Programas internacionales de movilidad del SEPIE

INTERNACIONALIZACIÓN DE LA EDUCACIÓN

Unidad de Educación Superior

Jefatura Provincial de Tráfico de Murcia Abril Jornadas de Actualización Normativa Cuerpos de Policía Local de la Región de Murcia

EDUCACIÓN SUPERIOR. Jornadas de Movilidad Erasmus+ para Educación Superior. Universitat Rovira i Virgili Tarragona, 26 y 27 de junio de 2014

DECISIÓN DE EJECUCIÓN DE LA COMISIÓN. de

PARLAMENTO EUROPEO. Comisión de Transportes y Turismo * PROYECTO DE INFORME

La organización de las Administraciones Públicas 1

EVALUACIÓN DE LA CONFORMIDAD LA CERTIFICACIÓN DE PERSONAS

Transferencias internacionales de datos

Novedades Erasmus+ y Ayudas Económicas programa Erasmus+ en la UPV.

POBLACIÓN EN JEREZ DE LA FRONTERA, SEGÚN PROCEDENCIA Nacidos en España Nacidos en la misma Comunidad Nacidos en la misma

Diario Oficial de la Unión Europea

(Actos no legislativos) REGLAMENTOS

Movilidades Erasmus+ Prácticas Internacionales para estudiantes 2014/2015

DECLARACIONES CONJUNTAS DE LAS PRESENTES PARTES CONTRATANTES Y DE LAS NUEVAS PARTES CONTRATANTES EN EL ACUERDO

CLÁUSULAS CONTRACTUALES («ENCARGADOS A SUBENCARGADOS DEL TRATAMIENTO»)

REGLAMENTO DE EJECUCIÓN (UE) 2017/1272 DE LA COMISIÓN

(Actos no legislativos) REGLAMENTOS

La Migración a la SEPA en España: Escenario y Desafíos

CONVOCATORIA ERASMUS+ K103 GRADO SUPERIOR CENTRO INTERNACIONAL POLITÉCNICO MOVILIDAD PARA PRÁCTICAS CURSO ACADÉMICO 2018/2019

CARTAGENA DE INDIAS DE JUNIO 2011

Diálogo Estructurado: reuniones entre jóvenes y responsables de la toma de decisiones en el ámbito de la juventud.

ERASMUS+ ACCIÓN CLAVE 1: Movilidad para el aprendizaje

Análisis jurídico de la PRL en los procesos de internacionalización: responsabilidades e interrelación con la normativa laboral

CONVOCATORIA DE BECAS ERASMUS+ PRÁCTICAS CURSO 2018/2019

PROGRAMA DE MOVILIDAD ERASMUS PARA PERSONAL DOCENTE DE LA UNIVERSIDAD DE GRANADA, curso 2016/2017

Fibra Óptica. Producto Fecha Actualización Antes Ahora

Situación de la Factura Electrónica Grado de Implantación en Europa

MOVILIDAD PROFESIONAL en EUROPA. Facultad de CC de la SALUD y del DEPORTE 9 Marzo 2016

Se adjunta a la atención de las delegaciones un documento sobre el asunto de referencia aprobado por el Consejo JAI el 20 de julio de 2015.

(Actos no legislativos) REGLAMENTOS

Coste de vida en Europa

Creación e inscripción de ficheros Transferencias internacionales Códigos tipo Medidas de seguridad Inspección y potestad sancionadora

BASES DE LA CONVOCATORIA:

CONVOCATORIA DE BECAS ERASMUS-PRÁCTICAS CURSO 2017/2018

Educación Superior. Oportunidades en la acción clave 1 (KA1) movilidad del personal y de los estudiantes ERASMUS+

El 72% de los ciudadanos europeos desconocen la existencia de las autoridades nacionales o agencias de protección de datos. 1

Instituciones y consorcios que participaron en el curso académico

Career Services. Convocatoria para prácticas Erasmus /19. Becas Erasmus + para realizar prácticas en empresas de Europa

CERTIFICADO DE RESIDENCIA PERMANENTE DE CIUDADANO DE LA UNIÓN

Ayudas Económicas programa Erasmus+ en la UPV.

Quito Ecuador EXTRACTO

LA ACTIVIDAD PESQUERA MUNDIAL. UNA REVISIÓN POR PAÍSES

Jornadas anuales de difusión Erasmus+ 30 años Cambiando vidas, abriendo mentes

Protección Social en la Unión Europea (PSE)

Ayudas Económicas programa Erasmus+ en la UPV

PROTECCIÓN SOCIAL EN APLICACIÓN DE LAS NORMAS INTERNACIONALES

La gestión de proyectos de movilidad de estudiantes de Educación Superior entre países del programa

Nuevos planes de estudio. Axular Lizeoa 19 de noviembre de 2008

L 90/106 Diario Oficial de la Unión Europea

La gestión de proyectos de movilidad de estudiantes de Educación Superior entre países del programa

Departamento de Becas

Movilidad de Personal para Formación entre Países del Programa - Convocatoria 2016

Transcripción:

TRANSFERENCIAS INTERNACIONALES DE DATOS: LAS GARANTÍAS DE LAS NORMAS CORPORATIVAS VINCULANTES (BCR) Julián Prieto Hergueta Subdirector General Registro General de Protección de Datos

Las Transferencias Internacionales de Datos A PAÍSES CON NIVEL DE PROTECCIÓN ADECUADO SUPUESTOS DEL ARTÍCULO 26 DE LA DIRECTIVA 95/46 Y 34 DE LA LOPD GARANTÍAS SUFICIENTES PARA LA PROTECCIÓN DE LA VIDA PRIVADA Y LOS DERECHOS Y LIBERTADES FUNDAMENTALES Y SU EJERCICIO: A través de CLÁUSULAS CONTRACTUALES A través de NORMAS CORPORATIVAS VINCULANTES (BINDING CORPORATES RULES BCR-) de Grupos multinacionales de empresas que: Además de las garantías adecuadas, garanticen el cumplimiento de los principios de la LOPD y su Reglamento Resulten vinculantes para las empresas del Grupo y exigibles conforme al ordenamiento español La autorización del Director para las transferencias implica la exigibilidad de las BCR por la Agencia y por los afectados (art. 70.4 RLOPD)

Las Transferencias Internacionales de Datos Movimientos internacionales de datos EEE No transferencia internacional Resto países transferencias internacionales Sin Autorización AEPD Autorización AEPD garantías Países con Nivel Adecuado -Suiza - Argentina - USA (Safe Harbor) - - Nueva Zelanda Otros supuestos Art. 34 Interés vital Consentimiento Interés público contractuales BCR Responsable Encargado Responsable Responsable Responsable Encargado Encargado Subencargado Contratos «ad hoc»

BCR QUÉ SON LAS BCR? Normas adoptadas en el seno de grupos multinacionales con sucursales y filiales en países dentro y fuera del EEE para las transferencias de datos entre ellas, desde las entidades en el EEE con destino a las entidades fuera del EEE (razón principal) Alternativa a las cláusulas modelo, pero también algo más: Establecen estándares de protección de datos Garantizan el cumplimiento de los estándares frente a los afectados Establecen procedimientos para garantizar su cumplimiento, tanto dentro como fuera del Grupo NATURALEZA Instrumentos de autorregulación, similar a los códigos de conducta Son soluciones a la medida de cada grupo. Nunca estándares generales, como los de las cláusulas contractuales.

BCR Normas Corporativas Vinculantes para Responsables (BCR-C) WP 74, WP 107, WP 108, WP 133, WP 153, WP 154, WP 155, del Grupo de Autoridades Europeas de Protección de Datos art. 29 Ámbito: transferencias internacionales de datos desde empresas del Grupo establecidas en el EEE a empresas del Grupo fuera del EEE. Las empresas del Grupo pueden actuar como encargadas del tratamiento Transferencias fuera del Grupo conforme al esquema de garantías Normas Corporativas Vinculantes para Encargados (BCR-P) WP 195, WP 195a y WP 204 Transferencias entre entidades del mismo Grupo que tratan los datos como encargados del tratamiento Grandes prestadores de servicio

BCR Responsables del Tratamiento

BCR Encargados del Tratamiento

Contenido de las BCR CONTENIDO BCR RESPONSABLES (WP153 y WP154) PRINCIPIOS Y DERECHOS DE PROTECCIÓN DE DATOS Limitación de fines, calidad y proporcionalidad de los datos, legitimidad tratamiento, derechos ARCO, seguridad y confidencialidad de los datos FLUJOS DE INFORMACIÓN Y FINES DEL TRATAMIENTO SUFICIENTEMENTE DETALLADOS RESTRICCIÓN TRANSFERENCIAS ULTERIORES ACREDITACIÓN OBLIGATORIEDAD INTERNA Y EXTERNA ESTIPULACIÓN EN FAVOR DE LOS AFECTADOS Derecho a obtener reparación e indemnización MECANISMOS PARA SU CUMPLIMIENTO Publicidad, transparencia, acceso a las BCR por los afectados, formación, red de DPO, procedimientos de reclamación, sanciones, auditoría COOPERACIÓN CON LAS AUTORIDADES DE CONTROL PROCEDIMIENTO DE ACTUALIZACIÓN JURISDICCIÓN

Contenido de las BCR CARÁCTER OBLIGATORIO DE LAS BCR 1. Obligatoriedad interna Obligatorias para todas las unidades de la empresa Obligatorias para los empleados Establecimiento de mecanismos de control Información Formación Auditoría Gestión de reclamaciones Sanciones 2. Obligatoriedad externa Sometimiento a la jurisdicción de la APD y los Tribunales del Estado del exportador y de la sede del Grupo en la UE o del miembro con responsabilidades en protección de datos Carga de la prueba del cumplimiento sobre el responsable del fichero Garantías del grupo para cubrir posibles responsabilidades

Contenido de las BCR CARÁCTER OBLIGATORIO DE LAS BCR RELACIÓN CONTRACTUAL (CONTRATOS O ACUERDO INTRAGRUPO) DECLARACIÓN UNILATERAL POLÍTICAS DE GRUPO QUE INCLUYAN LAS REGLAS APLICACIÓN EN ESPAÑA LA AUTORIZACIÓN DEL DIRECTOR DE LA AEPD IMPLICA LA EXIGIBILIDAD DE LAS BCR POR LA AEPD Y POR LOS AFECTADOS CUYOS DATOS SON OBJETO DE TRATAMIENTO (ART. 70.4 RLOPD)

Contenido de las BCR PRINCIPALES CARACTÉRISTICAS BCR ENCARGADOS (WP195 y WP204) Necesario contrato de prestación de servicios con el responsable del tratamiento. El tratamiento de los datos se realiza con arreglo a las instrucciones del responsable con la obligación de retornar los datos al final del contrato El responsable está fuera del Grupo Autorización/notificación de las transferencias por el responsable, sobre la base de las BCR de encargados La asistencia al responsable como núcleo de las BCR: Transparencia, accesibilidad, cooperación, medidas de seguridad, subencargados Reclamaciones: traslado a los responsables, sólo se tramitan en caso de acuerdo o si el responsable ha desaparecido o es insolvente Auditoría también posible por el responsable

Procedimiento de Aprobación de las BCR PROCEDIMIENTO DE COOPERACIÓN Y PROCEDIMIENTO DE RECONOCIMIENTO MUTUO (21: Austria, Bélgica, Bulgaria, Chipre, República Checa, Estonia, Francia, Alemania, Islandia, Irlanda, Italia, Letonia, Liechtenstein, Luxemburgo, Malta, Países Bajos, Noruega, Eslovaquia, Eslovenia, España y Reino Unido) FINALIDAD: EVITAR QUE CADA AUTORIDAD SE PRONUNCIE POR SEPARADO

Procedimiento de Aprobación de las BCR FASES DEL PROCEDIMIENTO: o Elaboración previa de las BCR o Presentación de las BCR ante la autoridad que se considere líder o Revisión de las BCR o Participación de las APD o Adopción de las BCR o Autorización para Transferencias internacionales

Procedimiento de Aprobación de las BCR ELABORACIÓN PREVIA DE LAS BCR El Grupo multinacional es el encargado de elaborar las BCR. El papel de las APD (la Autoridad líder) es el de prestar asesoramiento y asistencia, pero la redacción de las BCR corresponde al Grupo, tanto para su presentación como de las revisiones a las que dé lugar el procedimiento de cooperación Antes de su presentación, incluso de su elaboración, es aconsejable contactar con la AEPD para: Informar del proyecto y obtener asesoramiento para su elaboración y tramitación Determinar si la Agencia debería ser la autoridad líder

Presentación de las BCR PRESENTACIÓN DE LAS BCR ANTE LA AUTORIDAD QUE SE CONSIDERE LÍDER Solicitud estándar (WP 133 para responsables y WP 195a para encargados) y la documentación en formato electrónico en la lengua de la APD líder y en inglés Justificación de la elección de la APD: El lugar de la empresa matriz o de la sede central del Grupo La ubicación de la sede europea del Grupo La ubicación de la empresa del Grupo con responsabilidades delegadas en materia de protección de datos La ubicación de la empresa con mejor posición (gestión, carga administrativa) para tramitar la solicitud y hacer cumplir las BCR El lugar donde se adopten la mayor parte de las decisiones sobre la finalidad y los medios de tratamiento Los EM de la UE desde los que se producen la mayor parte de las transferencias fuera del EEE La APD líder consulta a las demás APD si tienen objeciones (2 semanas)

Validación de las BCR VALIDACIÓN DE LAS BCR La APD líder procede a la revisión de las BCR junto con otras dos APD a las que invita a colaborar en dicha tarea (correvisoras) Las observaciones y comentarios que se realicen por las tres APD se trasladan por la autoridad líder al Grupo a fin de que los tenga en cuenta y, en su caso, presente una nueva versión de las BCR, que será nuevamente revisada Se puede necesitar más de un borrador

Participación de las APD PARTICIPACIÓN DE LAS APD Concluida la fase de revisión, la APD líder remite el proyecto definitivo de BCR a: Las APD partes del procedimiento de reconocimiento mutuo para conocimiento Las demás APD que disponen de un mes para realizar comentarios

Adopción de las APD PROCEDIMIENTO DE RECONOCIMIENTO MUTUO Cuando una APD (la autoridad líder) considere que las BCR cumplen con los requisitos establecidos por el GT 29, las APD parte del procedimiento de reconocimiento mutuo aceptarán su opinión Las APD partes del procedimiento de reconocimiento mutuo aceptan esta opinión como base suficiente para obtener el permiso o la autorización nacional necesaria para las transferencias internacionales de datos entre los miembros del Grupo

Adopción de las APD ADOPCIÓN DE LAS BCR Una vez recibida la conformidad la APD líder notifica al solicitante y al Grupo del 29 que el procedimiento de BCR se ha completado Necesidad de solicitar autorización ante las APD nacionales, según cada normativa. La LOPD y el RLOPD exigen autorización del Director AEPD previa solicitud basada en BCR

Autorización para Transferencias Internacionales Dependerá de las legislaciones nacionales En España es necesaria la autorización. Procedimiento de autorización (arts. 137 140 RLOPD) REQUISITOS Solicitud: Requisitos legales Los exportadores del Grupo establecidos en España Los importadores del Grupo (fuera del EEE) Los ficheros a los que afectan las transferencias La finalidad de la transferencia Acreditación de la representación del solicitante Las BCR en español Acuerdo APD que apruebe las BCR (opcional)

Las BCR en la Propuesta de Reglamento Europeo de Protección de Datos RECONOCIDAS POR PRIMERA VEZ EN LA NORMATIVA DE PROTECCIÓN DE DATOS EUROPEA SE CONFIGURA COMO UNA DE LAS GARANTÍAS APROPIADAS PARA PODER REALIZAR TRANSFERENCIAS INTERNACIONALES DE DATOS SIN NECESIDAD DE AUTORIZACIÓN ESPECÍFICA BCR DE RESPONSABLES Y DE ENCARGADOS (P.E. SUPRIME LOS ENCARGADOS Y HABLA DE SUBENCARGADOS INCLUIDOS EN EL ÁMBITO DE LAS BCR) APROBACIÓN POR LA AUTORIDAD DE CONTROL POR EL MECANISMO DE COHERENCIA

Las BCR en la Propuesta de Reglamento Europeo de Protección de Datos CONTENIDO MÍNIMO Estructura del Grupo y contacto de todos los miembros Transferencias, categorías de datos, afectados, tratamientos, fines, países de destino Carácter jurídicamente vinculante Principios protección de datos Derechos afectados y medios para ejercerlos en los EM Aceptación responsabilidad por actuación de miembros fuera UE Información BCR a los interesados Tareas DPO Mecanismos para garantizar la verificación del cumplimiento Procedimiento para su modificación y comunicación Mecanismos cooperación con las autoridades

Situación BCR BCR RESPONSABLES ENCARGADOS COMPLETADAS 67 9 EN TRAMITACIÓN 30 5 Experiencia AEPD (a 31 diciembre de 2014) Autorizaciones Director AEPD: 23 Actuaciones como autoridad correvisora de BCR: 22 Situación a 20/02/2015

Conclusiones LAS BCR PROPORCIONAN Al Grupo: Flexibilidad en cuanto a su contenido Adaptabilidad a las características específicas del grupo de empresas Guía para la gestión y tratamiento de datos por los empleados Suprime la necesidad de contratos entre entidades del Grupo exportadoras e importadoras A los afectados: Publicidad y conocimiento de sus derechos Procedimientos ágiles para su ejercicio Al sistema: Desarrollo de la cultura de protección de datos Colaboración con las autoridades de control Los Grupos interesados en elaborar BCR cuentan con la PLENA DISPONIBILIDAD DE LA AGENCIA

www.agpd.es 7.ª sesión anual abierta de la Agencia Española de Protección de Datos

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback