El nuevo Reglamento General de Protección de Datos (RGPD), que comenzará a aplicarse el próximo 25 de mayo de 2018, introduce esenciales novedades en el régimen de transferencias internacionales de datos que afectan tanto a los responsables de los datos personales (las empresas que recaban los datos) como a los encargados del tratamiento (las empresas que los utilizan en nombre de los responsables).
En un mundo globalizado y deslocalizado con un uso intensivo de la tecnología, que permite que los datos se transmitan y alojen en diferentes territorios sin que ello tenga impacto en la disponibilidad de los mismos (datos en la nube o centros offshore), es necesario conocer que esa transmisión y alojamiento deben cumplir unos requisitos legales ineludibles cuya inobservancia puede provocar tanto riesgos de pérdida y tratamiento inadecuado de los datos personales como sanciones económicas de elevada magnitud.
La transferencia de datos personales podrá realizarse sin restricciones entre los países miembros de la UE y a los terceros países, territorios, sectores u organismos internacionales respecto de los que la Comisión Europea haya considerado que disponen de un nivel adecuado de protección o, en su defecto, se aporten garantías suficientes o se den algunas de las circunstancias previstas como excepciones, y siempre y cuando se observen los demás requisitos del Reglamento.
El nuevo Reglamento establece, sin ninguna duda, que podrán ser exportadores de los datos a un tercer país, tanto el responsable como el encargado del tratamiento. Pero para poder realizar esta exportación de datos a territorios no pertenecientes a la UE (y a los territorios sin el nivel adecuado de protección), el exportador, deberá o bien iniciar un expediente administrativo ante la agencia de protección de datos solicitando una autorización de transmisión internacional de datos, o bien, sin necesidad de previa autorización, deberá ofrecer “garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas” (art. 46 RGPD).
¿Cuáles son los instrumentos para poder dar estas “garantías adecuadas” que permitan la transmisión internacional de datos?
El Reglamento establece varias opciones:
• Mediante un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos
• A través de cláusulas tipo de protección de datos a establecer entre los elementos de la transmisión
• Con la creación de un código de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados
• Por medio de un mecanismo de certificación junto con compromisos vinculantes y exigibles
• Con la creación de normas corporativas vinculantes
Las normas corporativas vinculantes o Binding Corporate Rules (BCR) son unas normativas creadas en el seno de un grupo multinacional que proporcionan las garantías adecuadas para el tratamiento de datos de carácter personal, además del cumplimento de los requisitos exigidos en el Reglamento, siendo necesario que hayan sido aprobadas por la Agencia de Protección de Datos correspondiente. Estas normas habilitan al grupo multinacional que las adopta a transmitir los datos (como responsable o, en su caso, como encargado del tratamiento) entre sus filiales sin necesidad de ningún requisito añadido. Por tanto, estas BCR son el medio más eficaz para garantizar el cumplimiento del nuevo Reglamento, en cuanto a la transferencia internacional de datos, por parte de un prestador de servicios dado que la empresa que los contrata tiene la seguridad de que, por un lado, tiene establecidos los mecanismos necesarios para la protección de sus datos personales y, por otro, se mitiga el riesgo de un incumplimiento legal que puede acarrear elevadas sanciones.
Sopra HR Software, tanto como responsable de sus propios datos como de encargado de tratamiento de los datos de sus clientes, es un partner exclusivo en el mercado de software y servicios globales de RRHH al contar con dichas BCR, válidas para todas sus filiales, según el listado de la Comisión Europea de noviembre de 2017.
Artículo escrito por José Osante Rodríguez, director de Outsourcing para Sopra HR Software España.
