Navegaci贸n
RGPD > Art铆culo聽47. Normas corporativas vinculantes
Descargar PDF

Art铆culo聽47 RGPD. Normas corporativas vinculantes

Article 47 GDPR. Binding corporate rules

1. La autoridad de control competente aprobar谩 normas corporativas vinculantes de conformidad con el mecanismo de coherencia establecido en el art铆culo聽63, siempre que estas:

1. The competent supervisory authority shall approve binding corporate rules in accordance with the consistency mechanism set out in Article 63, provided that they:

Textos enlazados

a) sean jur铆dicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la uni贸n de empresas dedicadas a una actividad econ贸mica conjunta, incluidos sus empleados;

(a)聽are legally binding and apply to and are enforced by every member concerned of the group of undertakings, or group of enterprises engaged in a joint economic activity, including their employees;

b) confieran expresamente a los interesados derechos exigibles en relaci贸n con el tratamiento de sus datos personales,聽y

(b)聽expressly confer enforceable rights on data subjects with regard to the processing of their personal data; and

c) cumplan los requisitos establecidos en el apartado聽2.

(c)聽fulfil the requirements laid down in paragraph聽2.

2. Las normas corporativas vinculantes mencionadas en el apartado聽1 especificar谩n, como m铆nimo, los siguientes elementos:

2. The binding corporate rules referred to in paragraph聽1 shall specify at least:

a) la estructura y los datos de contacto del grupo empresarial o de la uni贸n de empresas dedicadas a una actividad econ贸mica conjunta y de cada uno de sus miembros;

(a)聽the structure and contact details of the group of undertakings, or group of enterprises engaged in a joint economic activity and of each of its members;

b) las transferencias o conjuntos de transferencias de datos, incluidas las categor铆as de datos personales, el tipo de tratamientos y sus fines, el tipo de interesados afectados y el nombre del tercer o los terceros pa铆ses en cuesti贸n;

(b)聽the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question;

c) su car谩cter jur铆dicamente vinculante, tanto a nivel interno como externo;

(c)聽their legally binding nature, both internally and externally;

d) la aplicaci贸n de los principios generales en materia de protecci贸n de datos, en particular la limitaci贸n de la finalidad, la minimizaci贸n de los datos, los periodos de conservaci贸n limitados, la calidad de los datos, la protecci贸n de los datos desde el dise帽o y por defecto, la base del tratamiento, el tratamiento de categor铆as especiales de datos personales, las medidas encaminadas a garantizar la seguridad de los datos y los requisitos con respecto a las transferencias ulteriores a organismos no vinculados por las normas corporativas vinculantes;

(d)聽the application of the general data protection principles, in particular purpose limitation, data minimisation, limited storage periods, data quality, data protection by design and by default, legal basis for processing, processing of special categories of personal data, measures to ensure data security, and the requirements in respect of onward transfers to bodies not bound by the binding corporate rules;

Textos enlazados

e) los derechos de los interesados en relaci贸n con el tratamiento y los medios para ejercerlos, en particular el derecho a no ser objeto de decisiones basadas exclusivamente en un tratamiento automatizado, incluida la elaboraci贸n de perfiles de conformidad con lo dispuesto en el art铆culo聽22, el derecho a presentar una reclamaci贸n ante la autoridad de control competente y ante los tribunales competentes de los Estados miembros de conformidad con el art铆culo聽79, y el derecho a obtener una reparaci贸n, y, cuando proceda, una indemnizaci贸n por violaci贸n de las normas corporativas vinculantes;

(e)聽the rights of data subjects in regard to processing and the means to exercise those rights, including the right not to be subject to decisions based solely on automated processing, including profiling in accordance with Article聽22, the right to lodge a complaint with the competent supervisory authority and before the competent courts of the Member States in accordance with Article聽79, and to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules;

Textos enlazados

f) la aceptaci贸n por parte del responsable o del encargado del tratamiento establecidos en el territorio de un Estado miembro de la responsabilidad por cualquier violaci贸n de las normas corporativas vinculantes por parte de cualquier miembro de que se trate no establecido en la Uni贸n; el responsable o el encargado solo ser谩 exonerado, total o parcialmente, de dicha responsabilidad si demuestra que el acto que origin贸 los da帽os y perjuicios no es imputable a dicho miembro;

(f)聽the acceptance by the controller or processor established on the territory of a Member聽State of liability for any breaches of the binding corporate rules by any member concerned not established in the Union; the controller or the processor shall be exempt from that liability, in whole or in part, only if it proves that that member is not responsible for the event giving rise to the damage;

g) la forma en que se facilita a los interesados la informaci贸n sobre las normas corporativas vinculantes, en particular en lo que respecta a las disposiciones contempladas en las letras聽d), e) y聽f) del presente apartado, adem谩s de los art铆culos聽13 y聽14;

(g)聽how the information on the binding corporate rules, in particular on the provisions referred to in points (d), (e) and聽(f) of this paragraph is provided to the data subjects in addition to Articles聽13 and 14;

Textos enlazados

h) las funciones de todo delegado de protecci贸n de datos designado de conformidad con el art铆culo聽37, o de cualquier otra persona o entidad encargada de la supervisi贸n del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de la uni贸n de empresas dedicadas a una actividad econ贸mica conjunta, as铆 como de la supervisi贸n de la formaci贸n y de la tramitaci贸n de las reclamaciones;

(h)聽the tasks of any data protection officer designated in accordance with Article聽37 or any other person or entity in charge of the monitoring compliance with the binding corporate rules within the group of undertakings, or group of enterprises engaged in a joint economic activity, as well as monitoring training and complaint-handling;

Textos enlazados

i) los procedimientos de reclamaci贸n;

(i)聽the complaint procedures;

j) los mecanismos establecidos dentro del grupo empresarial o de la uni贸n de empresas dedicadas a una actividad econ贸mica conjunta para garantizar la verificaci贸n del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluir谩n auditor铆as de protecci贸n de datos y m茅todos para garantizar acciones correctivas para proteger los derechos del interesado. Los resultados de dicha verificaci贸n deber铆an comunicarse a la persona o entidad a que se refiere la letra聽h) y al consejo de administraci贸n de la empresa que controla un grupo empresarial, o de la uni贸n de empresas dedicadas a una actividad econ贸mica conjunta, y ponerse a disposici贸n de la autoridad de control competente que lo solicite;

(j)聽the mechanisms within the group of undertakings, or group of enterprises engaged in a joint economic activity for ensuring the verification of compliance with the binding corporate rules. Such mechanisms shall include data protection audits and methods for ensuring corrective actions to protect the rights of the data subject. Results of such verification should be communicated to the person or entity referred to in point聽(h) and to the board of the controlling undertaking of a group of undertakings, or of the group of enterprises engaged in a joint economic activity, and should be available upon request to the competent supervisory authority;

k) los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las normas y para notificar esas modificaciones a la autoridad de control;

(k)聽the mechanisms for reporting and recording changes to the rules and reporting those changes to the supervisory authority;

l) el mecanismo de cooperaci贸n con la autoridad de control para garantizar el cumplimiento por parte de cualquier miembro del grupo empresarial o de la uni贸n de empresas dedicadas a una actividad econ贸mica conjunta, en particular poniendo a disposici贸n de la autoridad de control los resultados de las verificaciones de las medidas contempladas en la letra聽j);

(l)聽the cooperation mechanism with the supervisory authority to ensure compliance by any member of the group of undertakings, or group of enterprises engaged in a joint economic activity, in particular by making available to the supervisory authority the results of verifications of the measures referred to in point (j);

m) los mecanismos para informar a la autoridad de control competente de cualquier requisito jur铆dico de aplicaci贸n en un pa铆s tercero a un miembro del grupo empresarial o de la uni贸n de empresas dedicadas a una actividad econ贸mica conjunta, que probablemente tengan un efecto adverso sobre las garant铆as establecidas en las normas corporativas vinculantes,聽y

(m)聽the mechanisms for reporting to the competent supervisory authority any legal requirements to which a member of the group of undertakings, or group of enterprises engaged in a joint economic activity is subject in a third country which are likely to have a substantial adverse effect on the guarantees provided by the binding corporate rules; and

n) la formaci贸n en protecci贸n de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales.

(n)聽the appropriate data protection training to personnel having permanent or regular access to personal data.

3. La Comisi贸n podr谩 especificar el formato y los procedimientos para el intercambio de informaci贸n entre los responsables, los encargados y las autoridades de control en relaci贸n con las normas corporativas vinculantes a tenor de lo dispuesto en el presente art铆culo. Dichos actos de ejecuci贸n se adoptar谩n con arreglo al procedimiento de examen a que se refiere el art铆culo聽93, apartado聽2.

3. The Commission may specify the format and procedures for the exchange of information between controllers, processors and supervisory authorities for binding corporate rules within the meaning of this Article. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article聽93(2).

Textos enlazados
ISO 27701 Considerandos Ley de Directrices y caso Deja un comentario
ISO 27701

(EN) ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 47 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).


para acceder al texto completo

Considerandos

(110) Todo grupo empresarial o uni贸n de empresas dedicadas a una actividad econ贸mica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Uni贸n a organizaciones dentro del mismo grupo empresarial o uni贸n de empresas dedicadas a una actividad econ贸mica conjunta, siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garant铆as adecuadas para las transferencias o categor铆as de transferencias de datos de car谩cter personal.

(110) A group of undertakings, or a group of enterprises engaged in a joint economic activity, should be able to make use of approved binding corporate rules for its international transfers from the Union to organisations within the same group of undertakings, or group of enterprises engaged in a joint economic activity, provided that such corporate rules include all essential principles and enforceable rights to ensure appropriate safeguards for transfers or categories of transfers of personal data.

Ley de Directrices y caso Deja un comentario
[js-disqus]