Le Binding Corporate Rules (BCR) sono uno strumento previsto dal Regolamento UE 2016/679 (GDPR) volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi extra-UE, tra società facenti parti dello stesso gruppo d’impresa.
Le Binding Corporate Rules si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) a cui sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).
Le BCR hanno lo scopo di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.
Il rilascio di un’autorizzazione al trasferimento di dati personali tramite le Binding Corporate Rules consente, pertanto, alle filiali della società multinazionale che ne abbia fatto richiesta, anche se stabilite in diversi Paesi, di trasferire, all’interno del gruppo d’impresa, i dati personali oggetto delle BCR, senza ulteriori adempimenti.
Il 29 novembre 2017, il WP29 ha adottato un documento (c.d. “working document“), attualmente in fase di discussione, in merito ai requisiti delle “nuove” BCR alla luce delle prescrizioni del GDPR.
Con tale working document (attualmente disponibile solo in lingua inglese), il WP29 ha, di fatto, aggiornato le sue precedenti linee guida, risalenti al 2008, per adeguarle alle prescrizioni del GDPR.
In particolare, il WP29 richiama l’attenzione sulle novità da introdurre nelle BCR, rispetto al passato:
- il diritto di proporre reclamo;
- la trasparenza, con riferimento ai requisiti previsti dall’art. 13 e 14 del GDPR;
- le finalità dei trattamenti previsti dalle BCR;
- l’accountability, in base alla quale ogni titolare del trattamento sarà considerato responsabile della conformità alle BCR e sarà tenuto a dimostrare la compliance con le medesime.
Il working document si conclude con un’utile tabella di confronto per i gruppi d’impresa che hanno già adottato in passato le BCR e che vogliono procedere al loro adeguamento, alla quale vi rimando per le situazioni di dettaglio.
In linea generale, invece, vi ricordo che, nel GDPR, le Binding Corporate Rules sono previste dall’art. 47, prevede che tali clausole siano approvate dall’Autorità competente a condizione che:
- siano giuridicamente vincolanti e si applichino a tutti i membri del gruppo imprenditoriale, compresi i loro dipendenti;
- conferiscano espressamente agli interessati i diritti azionabili in relazione al trattamento dei loro dati personali.
Nella vigenza del GDPR, le Binding Corporate Rules dovranno, tra le altre cose, specificare:
- la struttura e le coordinate di contatto del gruppo imprenditoriale;
- il complesso dei trasferimenti di dati, con riferimento alle categorie, al tipo di trattamento, alle finalità, la tipologia di interessati e il o i paesi terzi di riferimento;
- la natura giuridicamente vincolante delle BCR;
- l’applicazione di principi generali di protezione dei dati sanciti dal GDPR;
- i diritti dell’interessato ed i mezzi per esercitarli, in conformità alle prescrizioni del GDPR;
- che il titolare o il responsabile del trattamento si assumono le responsabilità delle violazioni delle BCR ovunque si verifichino (dunque, anche al di fuori dello spazio dell’Unione Europea);
- le modalità per fornire all’interessato le informazioni sulle BCR;
- le procedure di reclamo;
- i meccanismi previsti all’interno del gruppo di imprese per verificare la conformità alle BCR;
- l’appropriata formazione in materia di dati personali da parte dei dipendenti che hanno regolare e permanente accesso ai dati.
L’adeguamento, naturalmente, coinvolgerà anche i profili relativi alla nomina, all’interno del gruppo imprenditoriale, del DPO e concernenti le sue specifiche funzioni, con riguardo alla tutela, implementazione ed osservanza delle BCR all’interno del gruppo.