NEWS

Cosa sono le Binding Corporate Rules?

Si tratta di uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi (extra-UE) tra società facenti parti dello stesso gruppo d'impresa. Si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate). Le Bcr costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.

Il rilascio di un'autorizzazione al trasferimento di dati personali tramite Bcr consente alle filiali della multinazionale che ne abbia fatto richiesta, anche se stabilite in diversi Paesi, di trasferire, all'interno del gruppo d'impresa, i dati personali oggetto delle Bcr, senza ulteriori adempimenti (quali ad esempio la sottoscrizione di Clausole contrattuali tipo, l'adesione all'accordo Safe Harbour, il rilascio di specifiche autorizzazioni ai sensi del Codice).

Le Bcr traggono efficacia dalla concessione di una autorizzazione del Garante al trasferimento dei dati personali verso Paesi terzi (art.icolo 45, lettera a), del decreto legislativo 196/2003 – " Codice"). L'autorizzazione è rilasciata dietro espressa richiesta della società interessata, con riferimento a trasferimenti di dati personali dall'Italia verso Paesi terzi che si svolgano nel rispetto di quanto stabilito all'interno del testo di Bcr e per le sole finalità ivi indicate.

Uno degli strumenti più diffusi per trasferire lecitamente i dati personali all'estero tra società dello stesso gruppo sono le Binding Corporate Rules

Il testo di Bcr contiene i principi fondamentali in materia di protezione dei dati personali sanciti dal Codice e dalla Direttiva 95/46/CE, secondo lo schema elaborato dal Gruppo "Articolo 29" dei Garanti Europei (cfr. il WP 74 e il WP 153). In particolare: i principi di correttezza e legittimità del trattamento, di finalità, necessità e proporzionalità dei dati, l'obbligo del titolare di rilasciare idonea informativa all'interessato, i diritti dell'interessato, le misure di sicurezza prescritte dalla legge, il diritto dell'interessato ad ottenere il risarcimento del danno connesso al mancato rispetto delle Bcr da parte di una società del gruppo (c.d. clausola del terzo beneficiario).

Oneri ulteriori, inoltre, sono imposti al gruppo multinazionale d'impresa che deve garantire tra l'altro: la predisposizione di un programma di training del personale in materia di protezione dei dati personali; l'implementazione di un meccanismo di gestione del contenzioso e delle segnalazioni connesse alle Bcr; la conduzione periodica di audit al fine di verificare il rispetto delle Bcr da parte delle società del gruppo; la creazione di un network di privacy officers o di uno staff che si occupi di monitorare il rispetto delle Bcr e di gestire le segnalazioni degli interessati.

Fonte: Garante Privacy

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev Come scegliere il Data Protection Officer?
Next Cosa deve fare una piattaforma online di giochi riguardo al consenso dei minori?

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy