Cómo demostrar el cumplimiento del artículo 47 del RGPD

Normas corporativas vinculantes

Reserve una demostración

hombres,mano,escribiendo,en,ordenador,teclado,mientras,trabajando,desde,casa

Si un país receptor carece de leyes significativas de protección de datos (ver Artículo 45), RGPD Artículo 47 permite a las organizaciones adoptar reglas corporativas vinculantes, que actúan como una salvaguarda adecuada de cualquier dato que vaya a ser transferido.

RGPD Artículo 47 Texto Legal

Versión del RGPD de la UE

Normas corporativas vinculantes

  1. La autoridad de control competente aprobará normas corporativas vinculantes de conformidad con el mecanismo de coherencia establecido en el artículo 63, siempre que:

    • a) sean jurídicamente vinculantes, se apliquen y sean ejecutados por todos los miembros interesados ​​del grupo de empresas o del grupo de empresas que realicen una actividad económica conjunta, incluidos sus empleados;

    • (b) conferir expresamente derechos exigibles a los interesados ​​con respecto al procesamiento de sus datos personales; y

    • c) cumplir los requisitos establecidos en el apartado 2.

  2. Las normas corporativas vinculantes a que se refiere el apartado 1 especificarán al menos:

    • a) la estructura y datos de contacto del grupo de empresas, o del grupo de empresas que realicen una actividad económica conjunta, y de cada uno de sus miembros;

    • (b) las transferencias de datos o conjunto de transferencias, incluidas las categorías de datos personales, el tipo de tratamiento y sus finalidades, el tipo de interesados ​​afectados y la identificación del tercer país o países de que se trate;

    • (c) su carácter jurídicamente vinculante, tanto interna como externamente;

    • (d) la aplicación de los principios generales de protección de datos, en particular la limitación de la finalidad, la minimización de los datos, los períodos de almacenamiento limitados, la calidad de los datos, la protección de los datos desde el diseño y por defecto, la base jurídica para el procesamiento, el procesamiento de categorías especiales de datos personales, las medidas para garantizar la seguridad de los datos y los requisitos con respecto a transferencias posteriores a organismos no sujetos a las normas corporativas vinculantes;

    • e) los derechos de los interesados ​​con respecto al procesamiento y los medios para ejercer esos derechos, incluido el derecho a no estar sujeto a decisiones basadas únicamente en el procesamiento automatizado, incluida la elaboración de perfiles de conformidad con el artículo 22, el derecho a presentar una queja ante ante la autoridad de control competente y ante los tribunales competentes de los Estados miembros de conformidad con el artículo 79, y para obtener reparación y, en su caso, compensación por el incumplimiento de las normas corporativas vinculantes;

    • f) la aceptación por parte del responsable o encargado del tratamiento establecido en el territorio de un Estado miembro de responsabilidad por cualquier infracción de las normas corporativas vinculantes por parte de cualquier miembro interesado no establecido en la Unión; el responsable o el encargado del tratamiento quedarán exentos de esa responsabilidad, total o parcialmente, sólo si prueba que dicho miembro no es responsable del hecho que dio lugar al daño;

    • g) cómo se proporciona a los interesados ​​la información sobre las normas corporativas vinculantes, en particular sobre las disposiciones a que se refieren las letras d), e) y f) del presente apartado, además de lo dispuesto en los artículos 13 y 14;

    • h) las tareas de cualquier delegado de protección de datos designado de conformidad con el artículo 37 o de cualquier otra persona o entidad encargada de supervisar el cumplimiento de las normas corporativas vinculantes dentro del grupo de empresas, o grupo de empresas que realicen una actividad económica conjunta, así como el seguimiento de la capacitación y atención de quejas;

    • (i) los procedimientos de queja;

    • j) los mecanismos dentro del grupo de empresas, o grupo de empresas que realicen una actividad económica conjunta, para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. Los resultados de dicha verificación deben comunicarse a la persona o entidad a que se refiere la letra h) y al consejo de administración de la empresa que controla un grupo de empresas, o del grupo de empresas que realicen una actividad económica conjunta, y deben estar disponibles previa solicitud a la autoridad de control competente;

    • k) los mecanismos para informar y registrar los cambios en las normas y comunicar dichos cambios a la autoridad de control;

    • l) el mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento por cualquier miembro del grupo de empresas, o grupo de empresas que realicen una actividad económica conjunta, en particular poniendo a disposición de la autoridad de control los resultados de las verificaciones de las medidas mencionadas a la letra j);

    • m) los mecanismos para informar a la autoridad de control competente de cualquier requisito legal al que esté sujeto un miembro del grupo de empresas, o un grupo de empresas que realicen una actividad económica conjunta en un tercer país, que pueda tener un efecto adverso sustancial sobre las garantías proporcionadas por las normas corporativas vinculantes; y

    • n) la formación adecuada en materia de protección de datos al personal que tenga acceso permanente o regular a datos personales.

  3. La Comisión podrá especificar el formato y los procedimientos para el intercambio de información entre responsables, encargados y autoridades de supervisión de normas corporativas vinculantes en el sentido del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen establecido en el artículo 93, apartado 2.

Versión del RGPD del Reino Unido

Normas corporativas vinculantes

  1. El Comisionado aprobará normas corporativas vinculantes, siempre que:

    • a) sean jurídicamente vinculantes, se apliquen y sean ejecutados por todos los miembros interesados ​​del grupo de empresas o del grupo de empresas que realicen una actividad económica conjunta, incluidos sus empleados;
    • (b) conferir expresamente derechos exigibles a los interesados ​​con respecto al procesamiento de sus datos personales; y

    • c) cumplir los requisitos establecidos en el apartado 2.

  2. Las normas corporativas vinculantes a que se refiere el apartado 1 especificarán al menos:

    • a) la estructura y datos de contacto del grupo de empresas, o del grupo de empresas que realicen una actividad económica conjunta, y de cada uno de sus miembros;

    • (b) las transferencias de datos o conjunto de transferencias, incluidas las categorías de datos personales, el tipo de tratamiento y sus finalidades, el tipo de interesados ​​afectados y la identificación del tercer país o países de que se trate;

    • (c) su carácter jurídicamente vinculante, tanto interna como externamente;

    • (d) la aplicación de los principios generales de protección de datos, en particular la limitación de la finalidad, la minimización de los datos, los períodos de almacenamiento limitados, la calidad de los datos, la protección de los datos desde el diseño y por defecto, la base jurídica para el procesamiento, el procesamiento de categorías especiales de datos personales, las medidas para garantizar la seguridad de los datos y los requisitos con respecto a transferencias posteriores a organismos no sujetos a las normas corporativas vinculantes;

    • (e) los derechos de los interesados ​​con respecto al procesamiento y los medios para ejercer esos derechos, incluido el derecho a no estar sujeto a decisiones basadas únicamente en el procesamiento automatizado, incluida la elaboración de perfiles de conformidad con el artículo 22, el Comisionado y ante un tribunal en de conformidad con el artículo 79 (véase el artículo 180 de la Ley de 2018), y para obtener reparación y, en su caso, compensación por el incumplimiento de las normas corporativas vinculantes;

    • (f) la aceptación por parte del responsable o encargado del tratamiento establecido en el Reino Unido de responsabilidad por cualquier incumplimiento de las normas corporativas vinculantes por parte de cualquier miembro interesado no establecido en el Reino Unido; el responsable o el encargado del tratamiento quedarán exentos de esa responsabilidad, total o parcialmente, sólo si prueba que dicho miembro no es responsable del hecho que dio lugar al daño;

    • g) cómo se proporciona a los interesados ​​la información sobre las normas corporativas vinculantes, en particular sobre las disposiciones a que se refieren las letras d), e) y f) del presente apartado, además de lo dispuesto en los artículos 13 y 14;

    • h) las tareas de cualquier delegado de protección de datos designado de conformidad con el artículo 37 o de cualquier otra persona o entidad encargada de supervisar el cumplimiento de las normas corporativas vinculantes dentro del grupo de empresas, o grupo de empresas que realicen una actividad económica conjunta, así como el seguimiento de la capacitación y atención de quejas;

    • (i) los procedimientos de queja;

    • j) los mecanismos dentro del grupo de empresas, o grupo de empresas que realicen una actividad económica conjunta, para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. Los resultados de dicha verificación deben comunicarse a la persona o entidad a que se refiere la letra h) y al consejo de administración de la empresa controladora de un grupo de empresas, o del grupo de empresas que realicen una actividad económica conjunta, y deben estar disponibles previa solicitud al Comisionado;

    • (k) los mecanismos para informar y registrar cambios a las reglas e informar esos cambios al Comisionado;

    • l) el mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento por parte de cualquier miembro del grupo de empresas, o grupo de empresas que realicen una actividad económica conjunta, en particular poniendo a disposición del Comisario los resultados de las verificaciones de las medidas mencionadas en la letra j);

    • m) los mecanismos para informar al Comisario de cualesquiera requisitos legales a los que esté sujeto en un tercer país un miembro del grupo de empresas, o un grupo de empresas que realicen una actividad económica conjunta, que puedan tener un efecto adverso sustancial en la garantías proporcionadas por las normas corporativas vinculantes; y

    • n) la formación adecuada en materia de protección de datos al personal que tenga acceso permanente o regular a datos personales.
Saltar al tema
Simple. Seguro. Sostenible.

Vea nuestra plataforma en acción con una sesión práctica personalizada según sus necesidades y objetivos.

Reserva tu demostración
img

Comentario técnico

Las normas corporativas vinculantes deben:

  • Ser legalmente ejecutable.

  • Contener un conjunto claro de instrucciones para todas las partes interesadas, empleados y socios.

  • Otorgar a los interesados ​​derechos tangibles.

  • Contener una cantidad mínima de información técnica, contractual y legal (también conocido como 'contenido mínimo').

  • Someterse a un procedimiento de aprobación, que ratifica el acuerdo ante la autoridad de protección de datos correspondiente.

Cláusula 27701 de ISO 7.5.1 (Identificar la base para la transferencia de PII entre jurisdicciones) y artículo 47 del RGPD de la UE

En esta sección hablamos de los artículos 47 (1)(a), 47 (1)(b), 47 (1)(c), 47 (2)(a), 47 (2)(b), 47 ( 2)(c), 47 (2)(d), 47 (2)(e), 47 (2)(f), 47 (2)(g), 47 (2)(h), 47 (2) (i), 47 (2)(j), 47 (2)(k), 47 (2)(l), 47 (2)(m), 47 (2)(n) y 47 (3)

De vez en cuando, puede surgir la necesidad de transferir PII entre dos jurisdicciones distintas. Cuando esto ocurre, las organizaciones deben justificar y documentar la necesidad de hacerlo.

Las normas legales y reglamentarias regionales varían dependiendo de dónde se originaron los datos y adónde se transferirán.

Las organizaciones deben tener en cuenta todas las leyes, marcos y regulaciones pertinentes siempre que necesiten transferir datos entre jurisdicciones, incluido el uso de una autoridad supervisora ​​designada.

Índice de artículos vinculados del RGPD de la UE y cláusulas ISO 27701

Artículo del RGPDCláusula ISO 27701Cláusulas de apoyo de ISO 27701
Artículos 47 (1)(a) al 47 (3) del RGPD UEISO 27701 7.5.1Ninguna

Cómo ayuda ISMS.online

Con ISMS.online, es fácil para usted comenzar directamente el camino hacia el cumplimiento del RGPD y demostrar fácilmente un nivel de protección que va más allá de lo "razonable", todo en una ubicación segura y siempre activa a la que puede acceder desde cualquier lugar.

Si en algún momento de su camino hacia el RGPD, por cualquier motivo, siente falta de confianza, capacidad o impulso para tomar medidas, podemos poner a nuestro equipo de expertos internos a su disposición o recomendarle a uno de nuestros socios de confianza para que lo ayude. usted en el logro de sus objetivos.

Descubre más por programar una demostración.

Ayuda a impulsar nuestro comportamiento de una manera positiva que funcione para nosotros.
& Nuestra cultura.

Emmie Cooney
Gerente de Operaciones, Amigo

Reserva tu demostración

Con la confianza de empresas de todo el mundo
  • Simple y fácil de usar
  • Diseñado para el éxito de ISO 27001
  • Te ahorra tiempo y dinero
Reserva tu demostración
img

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más