Binding Corporate Rules – in italiano Norme Vincolanti di Impresa – ed in particolare la fattispecie Trasferimento dei Dati verso aziende del medesimo gruppo societario locate in paesi Extra UE
I “Binding Corporate rules o “BCR” sono delle regole interne – ad esempio un codice di condotta – adottate da un gruppo multinazionale, tali regole definiscono la politica globale del gruppo in materia di trasferimenti internazionali di dati personali, all’interno del medesimo gruppo societario, a soggetti situati in paesi che non forniscono un adeguato livello di protezione (fonte Europe Commission). Con la globalizzazione infatti, un numero sempre crescente di aziende ha necessità di trasferire i propri dati verso aziende locate in Paesi non appartenenti all’unione Europea.
Qual è lo scopo del Binding Corporate Rules?
I BCR sono utilizzati da società multinazionali al fine di fornire le garanzie adeguate per la protezione della privacy, dei diritti fondamentali e delle libertà personali, ai sensi dell’articolo 26 (2) della direttiva 95/46 / CE per tutti i trasferimenti di dati personali protetti sotto una legge europea.
In questo senso, i BCR garantiscono che tutti i trasferimenti sono effettuati entro un gruppo che beneficia di un adeguato livello di protezione. Si tratta quindi di una semplificazione per le società del gruppo multinazionale in quanto il BCR offre un’alternativa alla società, che non dovrà quindi firmare specifiche clausole contrattuali tipo, ogni volta che ha bisogno di trasferire i dati a un membro del suo gruppo, riducendo tempi e costi. (libera traduzione EagleNetworks)
Una volta approvato nell’ambito della procedura di cooperazione tra l’UE, il BCR offre un sufficiente livello di protezione per le imprese che possono quindi ottenere l’autorizzazione dei trasferimenti da parte delle autorità nazionali per la protezione dei dati (“DPA”).
Va notato che i BCR non forniscono una base per i trasferimenti effettuati a soggetti esterni il gruppo societario.
Il Binding Corporate Rules offre quindi alle aziende uno strumento guida fondamentale per la valutazione del rispetto delle garanzie di privacy e di tutela dei dati.
Si ricorda che il Nuovo Regolamento UE in materia di privacy e protezione dati entrerà in vigore solo tra due anni, ciò significa che l’attuale sistema normativo cesserà la propria validità entro tale data. In attesa dell’entrata in vigore del Nuovo Regolamento UE in materia di privacy e protezione dei dati, il Gruppo “Articolo 29” ha definito in via interpretativa i principi e le regole cui aderire per essere conformi alle norme dettate dalla Direttiva 95/46/CE.
Per maggiori informazioni in merito alle norme attualmente in vigore:
Garante Privacy
Gruppo di lavoro Articolo 29
Per approfondimenti in materia di Legge sulla privacy: Privacy Law Consulting
Approfondimenti in Merito al Nuovo Regolamento UE i materia di Privacy e protezione dati:
EagleNetworks focus Privacy