WP29 sulla procedura di cooperazione per l’approvazione delle Binding Corporate Rules da parte di titolari e responsabili del trattamento

 

Background

L’11 Aprile 2018, il Gruppo di Lavoro Articolo 29 (d’ora in avanti, “WP29”), al fine di agevolare il regolare ed effettivo svolgimento della procedura di cooperazione nel rispetto del Regolamento UE 2016/679 (“GDPR”), ha pubblicato un Documento di Lavoro sulla procedura di approvazione delle norme vincolanti d’impresa, note anche come Binding Corporate Rules (“BCR”), adottate dai titolari e dai responsabili del trattamento.

 

Questioni principali

Ai sensi dell’articolo 47 del GDPR, un gruppo imprenditoriale o un gruppo di imprese che svolge un’attività economica comune (“Gruppo” o “richiedente”), possono legittimamente trasferire dati personali all’interno del medesimo gruppo societario verso paesi che non garantiscono un livello adeguato di protezione dei dati, a condizione che siano state approvate delle BCR da parte dell’autorità di controllo (“autorità”) competente. Il documento del WP29 contiene importanti chiarimenti riguardo alla procedura di approvazione delle BCR, che a sua volta è disciplinata dagli articoli 63, 64 e 65 del GDPR.

Innanzitutto, il WP29 fornisce i seguenti criteri, in base ai quali il richiedente dovrà individuare ed indicare, tra le varie autorità, un’autorità principale (“BCR Lead Authority”), la quale fungerà da punto di contatto per il richiedente durante il procedimento di approvazione e la fase di cooperazione:

  1. la sede/le sedi principali in Europa;
  2. la sede dell’azienda all’interno del Gruppo a cui è stata demandata la responsabilità in materia di protezione dei dati;
  3. la sede dell’azienda più adatta a trattare la domanda e l’esecuzione delle BCR all’interno del Gruppo;
  4. il luogo in cui vengono prese le principali decisioni con riferimento alle finalità e modalità del trasferimento;
  5. lo stato membro da cui verranno effettuati gran parte dei trasferimenti al di fuori dello Spazio Economico Europeo.

 

È la BCR Lead Authority che dovrà proporre, dopo aver discusso ed esaminato la proposta insieme al richiedente e con l’ausilio di altre due autorità interessate, una “bozza consolidata”, la quale dovrà essere trasmessa a tutte le autorità interessate per eventuali obiezioni.

Qualora l’autorità competente entro il termine di un mese dalla ricezione della “bozza consolidata” non abbia presentato obiezioni alla stessa, essa si intende approvata.

Nel caso in cui vi fossero invece delle obiezioni, la BCR Lead Authority dovrà riprendere le discussioni con il richiedente e, infine, invitarlo ad inviare una “bozza finale” sulla quale il Comitato Europeo per la protezione dei dati dovrà emettere un parere.

Con riguardo all’onere di informare tutte le autorità interessate in merito ad aggiornamenti delle BCR e di comunicare l’avvenuta approvazione delle BCR, il WP29 chiarisce che questo spetta alla BCR Lead Authority e non al richiedente, il quale non dovrà nemmeno procurarsi un’autorizzazione specifica dalle altre autorità interessate, una volta ottenuta l’approvazione da parte della BCR Lead Authority.

Come regola generale tutti I documenti, compreso la “bozza consolidata” devono essere redatti nella lingua della BCR Lead Authority. In particolar modo, il richiedente deve tradurre la “bozza finale” delle BCR nelle lingue delle autorità di controllo coinvolte.

 

Azioni/Implicazioni pratiche

Il Gruppo che voglia presentare una bozza di Binding Corporate Rules al fine di ottenerne l’approvazione, dovrà

  • identificare la BCR Lead Authority e giustificare la scelta sulla base dei criteri sopra esposti;
  • comunicare tutte le informazioni utili, comprese quelle sulle attività di trattamento riguardante il trasferimento;
  • entrare in contatto e collaborare con la BCR Lead Authority nella discussione e valutazione della proposta;
  • inviare, su richiesta, alla BCR Lead Authority la “bozza finale” delle BCR.