Comité Europe de Protección de Datos

Comité Europeo de Protección de Datos - 35.ª sesión plenaria: Nota informativa sobre normas corporativas vinculantes con la autoridad de control del Reino Unido como autoridad principal

Thursday, 23 July, 2020

Bruselas, 23 de julio - A la luz del próximo final del periodo de transición del Brexit, el CEPD ha adoptado una nota informativa en la que se describen las medidas que deben adoptar las autoridades de control, los titulares de normas corporativas vinculantes aprobadas y las organizaciones que disponen de normas corporativas vinculantes pendientes con la autoridad de control del Reino Unido para garantizar que dichas normas corporativas vinculantes puedan seguir utilizándose como herramienta de transferencia válida, una vez finalizado el periodo de transición. Teniendo en cuenta que la autoridad de control del Reino Unido dejará de ser competente en el marco del RGPD un vez finalizado el periodo de transición, las decisiones de aprobación de la autoridad de control del Reino Unido adoptadas en el marco del RGPD dejarán de tener efectos jurídicos en el EEE. Por otra parte, puede ser necesario modificar el contenido de las normas corporativas vinculantes en cuestión antes de que finalice el periodo de transición, ya que estos programas contienen por lo general referencias al ordenamiento jurídico del Reino Unido. Esto también se aplica a las normas corporativas vinculantes ya aprobadas en virtud de la Directiva 94/46/CE.

Los titulares de normas corporativas vinculantes para quienes la autoridad de control del Reino Unido sea su autoridad control principal deben establecer todos los mecanismos organizativos necesarios para identificar a una nueva autoridad de control principal para las normas corporativas vinculantes en el EEE. El cambio de autoridad de control principal para las normas corporativas vinculantes tendrá que producirse antes del final del periodo de transición del Brexit.

Se anima a los actuales solicitantes de normas corporativas vinculantes a establecer todos los mecanismos organizativos necesarios para identificar a una nueva autoridad de control principal en relación con las normas corporativas vinculantes en el EEE con suficiente antelación antes del final del periodo de transición del Brexit, lo que incluye ponerse en contacto con la autoridad de control en cuestión para facilitar toda la información necesaria sobre por qué se considera que esa autoridad de control es la nueva autoridad de control principal para las normas corporativas vinculantes. Esta última se hará cargo de la solicitud e iniciará formalmente un procedimiento de aprobación sujeto a un dictamen del CEPD. Tras un dictamen del CEPD, la nueva autoridad de control principal para las normas corporativas vinculantes en el EEE deberá emitir, antes del final del periodo de transición, una nueva decisión de aprobación en relación con las normas corporativas vinculantes aprobadas por la autoridad de control del Reino Unido en virtud del RGPD. El CEPD también ha adoptado un anexo que contiene una lista de comprobación de los elementos que deben modificarse en los documentos de las normas corporativas vinculantes en el contexto del Brexit.

Esta nota informativa se emite sin perjuicio del análisis que está llevando a cabo el CEPD sobre las consecuencias de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) relativa al asunto DPC contra Facebook Ireland y Schrems para las nomas corporativas vinculantes como herramientas de transferencia.

CEPD_Comunicado de prensa_2020_13