NEWS

Trasferimento dati personali extra UE infragruppo: le raccomandazioni dell'European Data Protection Board

Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board) ha posto in consultazione delle raccomandazioni sull’aggiornamento delle norme vincolanti d’Impresa per i responsabili del trattamento (BCR-P), adottate dalle imprese ai fini del trasferimento extra UE ma infragruppo di dati personali.

L’aggiornamento, in particolare, insiste sulla domanda di approvazione e sugli elementi e i principi contenuti nelle norme vincolanti d’Impresa per i responsabili del trattamento (BCR-P), aggiornandole in particolare con i criteri per l’approvazione delle BCR-P, e integrandole con il modulo di domanda standard per le BCR-P.

Si ricorda che le norme vincolanti d’impresa per i responsabili del trattamento sono uno strumento di trasferimento che può essere utilizzato dalle imprese per trasferire dati personali al di fuori dell’UE, a responsabili del trattamento all’interno dello stesso gruppo, creando diritti e stabilendo impegni per stabilire un livello di protezione dei dati sostanzialmente equivalente a quello previsto dal GDPR.

Le nuove raccomandazioni si basano sugli accordi raggiunti e sull’esperienza maturata dalle autorità di protezione dei dati nel corso delle procedure di approvazione di domande concrete di BCR-P dall’entrata in vigore del GDPR, nonché sul lavoro svolto nel contesto delle Raccomandazioni aggiornate sulle norme vincolanti d’impresa per i titolari del trattamento (BCR-C).

Le raccomandazioni:

- forniscono criteri e spiegazioni chiari per garantire che le BCR-P sviluppate da gruppi di imprese o imprese siano conformi al GDPR
- chiariscono quando le norme vincolanti d’impresa per i responsabili del trattamento possono essere utilizzate solo per il trasferimento infragruppo extra UE di dati personali tra responsabili del trattamento, quando il titolare del trattamento non fa parte del gruppo
- chiariscono che le BCR-P sono progettate per soddisfare i requisiti dell’art. 28, par. 4 del GDPR, per cui qualsiasi responsabile del trattamento all’interno del gruppo che utilizza le BCR-P non è tenuto a firmare un accordo di sub-trattamento separato con ciascun sub-responsabile del gruppo.

Le raccomandazioni saranno aperte alla consultazione pubblica fino al 2 marzo 2026.

Fonte: European Data Protection Board

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Software spia installati su 40mila computer dei magistrati italiani: nuova inchiesta di Report
Next TikTok aggiorna l’informativa sulla privacy e dichiara di raccogliere dati sensibili come status di transgender o non binario e origine razziale

Vademecum per prenotare online le vacanze senza brutte sorprese

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy