Trasferimento dati personali extra UE infragruppo: le raccomandazioni dell'European Data Protection Board
Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board) ha posto in consultazione delle raccomandazioni sull’aggiornamento delle norme vincolanti d’Impresa per i responsabili del trattamento (BCR-P), adottate dalle imprese ai fini del trasferimento extra UE ma infragruppo di dati personali.

L’aggiornamento, in particolare, insiste sulla domanda di approvazione e sugli elementi e i principi contenuti nelle norme vincolanti d’Impresa per i responsabili del trattamento (BCR-P), aggiornandole in particolare con i criteri per l’approvazione delle BCR-P, e integrandole con il modulo di domanda standard per le BCR-P.
Si ricorda che le norme vincolanti d’impresa per i responsabili del trattamento sono uno strumento di trasferimento che può essere utilizzato dalle imprese per trasferire dati personali al di fuori dell’UE, a responsabili del trattamento all’interno dello stesso gruppo, creando diritti e stabilendo impegni per stabilire un livello di protezione dei dati sostanzialmente equivalente a quello previsto dal GDPR.
Le nuove raccomandazioni si basano sugli accordi raggiunti e sull’esperienza maturata dalle autorità di protezione dei dati nel corso delle procedure di approvazione di domande concrete di BCR-P dall’entrata in vigore del GDPR, nonché sul lavoro svolto nel contesto delle Raccomandazioni aggiornate sulle norme vincolanti d’impresa per i titolari del trattamento (BCR-C).
Le raccomandazioni:
- forniscono criteri e spiegazioni chiari per garantire che le BCR-P sviluppate da gruppi di imprese o imprese siano conformi al GDPR
- chiariscono quando le norme vincolanti d’impresa per i responsabili del trattamento possono essere utilizzate solo per il trasferimento infragruppo extra UE di dati personali tra responsabili del trattamento, quando il titolare del trattamento non fa parte del gruppo
- chiariscono che le BCR-P sono progettate per soddisfare i requisiti dell’art. 28, par. 4 del GDPR, per cui qualsiasi responsabile del trattamento all’interno del gruppo che utilizza le BCR-P non è tenuto a firmare un accordo di sub-trattamento separato con ciascun sub-responsabile del gruppo.
Le raccomandazioni saranno aperte alla consultazione pubblica fino al 2 marzo 2026.
Fonte: European Data Protection Board






