Insurance Europe ha respondido a una consulta realizada por el Consejo Europeo de Protección de Datos (EDPB) sobre su proyecto de recomendación sobre la solicitud de aprobación y sobre los elementos que se encuentran en las Normas Corporativas Vinculantes (BCR, por sus siglas en inglés).

Las normas corporativas vinculantes son las políticas de protección de datos personales asumidas por un responsable o encargado en el territorio de un Estado miembro para las transferencias de datos personales a un responsable en uno o más países terceros, para un grupo empresarial. Las BCR crean derechos exigibles y establecen compromisos para en relación a un nivel de protección de datos equivalente al proporcionado por el Reglamento General de Protección de Datos (GDPR).

Tras la publicación de estas recomendaciones, se pedirá a las empresas que actualicen sus BCR para alinearlas con la nueva guía del EDPB. Sin embargo, Insurance Europe ha afirmado que si bien algunos de los cambios propuestos son justificables, en muchos casos las recomendaciones del EDPB establecen nuevos requisitos que no pueden derivarse directamente del artículo 47 del RGPD. Esto no estaba previsto anteriormente y significa un importante esfuerzo adicional para las empresas afectadas.

Además, Insurance Europe ha añadido que las recomendaciones no establecen un periodo de transición adecuado para permitir que las empresas actualicen sus BCR. Las recomendaciones del EDPB otorgan un año de plazo para que las empresas realicen la actualización y, posteriormente, lo notifiquen a la autoridad de control correspondiente. Sin embargo, dicho plazo no tiene en cuenta todo el trabajo de implementación asociado que será necesario, como, entre otros, la actualización de los programas de capacitación para los empleados y la preparación de nuevas preguntas frecuentes.