Come elaborare le ormai famose di BCR
Il comitato europeo per la protezione dei dati ha finalmente messo a disposizione una preziosa raccomandazione.
Come ben sanno tutti i titolari del trattamento dati, non è possibile trasferire dati personali, trattati all’interno dell’Europa, in paesi che si trovino all’esterno dell’Europa o non siano stati inseriti in una lista preferenziale. Tale trasferimento può però avvenire qualora tra le due parti coinvolte venga stipulato un contratto, che viene chiamato, secondo la definizione dell’articolo 47 del regolamento generale europeo, regole vincolanti di impresa (BCR – binding Corporate rules). Queste regole devono essere sottoposte all’approvazione dell’autorità garante nazionale e sono suddivise in due grandi categorie a seconda che:
- il trasferimento di dati avvenga tra un titolare in Europa ed un titolare in altro paese (BCR-C; binding corporate rules for Controllers)
- il trasferimento di dati avvenga tra un titolare in Europa ed un responsabile del trattamento in altro paese (BCR-P; binding corporate rules for Processors).
Ricordo anche che il trasferimento di dati fra l’Europa e gli Stati Uniti è in vigore un accordo specifico, sottoposto a continuo esame e potenziale aggiornamento.
Il tema ha da tempo attirato l’attenzione degli organi europei, tant’è vero che l’ormai famoso articolo 29 Working party aveva già preparato una traccia di queste regole. Questa traccia è risultata preziosa per elaborare il presente documento, che viene sottoposto all’attenzione di tutti i titolari europei del trattamento, che avranno a disposizione un breve lasso di tempo, per avanzare le proprie eventuali osservazioni e controdeduzioni, prima di passare alla pubblicazione definitiva.
Alla luce del fatto che oggi sono sempre più numerosi i titolari del trattamento, con sede in Europa, che fanno riferimento a soggetti operanti in altri paesi, come ad esempio l’Albania, l’India od altro, perché in questi paesi il trattamento dei dati avviene a costi più contenuti, diventa estremamente importante, per i titolari europei, mettere a punto una traccia di queste regole di trasferimento, che rappresentano un passo essenziale, per evitare di cadere in una violazione del regolamento.
Infatti, in assenza di queste regole, il trasferimento di dati fuori dell’europea costituirebbe una violazione di particolare gravità, in quanto ci troverebbe davanti alla comunicazione dei dati personali a soggetti non autorizzati a riceverli e, peggio ancora, trattarli.
Il documento, che offriamo in allegato ai lettori, mette a disposizione preziose tracce, che semplificano l’attività dei titolari, che debbono sviluppare le BCR.
Tanto per cominciare, viene messo a disposizione il modulo, con il quale è possibile rivolgersi alla propria autorità garante nazionale, che deve approvare la bozza di regole, che viene presentata.
Questa richiesta è accompagnata da alcuni chiarimenti, afferenti al rapporto contrattuale fra le due entità coinvolte.
In particolare, la richiesta è articolata in tre sezioni:
- nella prima sezione si illustra la struttura dei punti di contatto della entità richiedente,
- nella seconda sezione si illustra in modo sintetico il flusso dei dati previsto,
- nella terza sezione si mette in evidenza il motivo per cui viene indicata una specifica autorità garante nazionale.
Si ricorda con l’occasione che in questo caso l’approvazione da parte di un’autorità garante nazionale è applicabile anche ad attività similari, svolte dallo stesso titolare in altri paesi europei.
Il documento continua mettendo a disposizione una traccia degli aspetti che devono essere esaminati nelle regole vincolanti di impresa, con riferimento ai vari punti chiave del regolamento europeo.
Si tratta quindi di una guida preziosa all’elaborazione di regole vincolanti rispettose del regolamento e rispettose dell’obbligo che un titolare ha, nei confronti dei soggetti interessati, che a lui hanno affidato i loro dati.
L’elaborazione di queste regole vincolanti di impresa non è certamente facile, ed ecco perché mi permetto di suggerire ai lettori di andare a esaminare delle regole, già approvate dall’autorità garante, che sono talvolta disponibili sui siti Web di grandi aziende, di dimensioni internazionali, che operano in varie parti del mondo.
Vedi allegato (pdf)
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.