BCR (art. 47 GDPR)

Si tratta di uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune. Le Bcr costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.

Sono costituite da un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) espressamente individuati all’art. 47, paragrafi 1 e 2, del Regolamento UE 2016/679, al cui rispetto sono tenute tutte le entità (che agiscono in qualità di controller o di processor) appartenenti ad uno stesso gruppo (corporate).

I modelli di riferimento disponibili sono di due tipologie e differiscono a seconda del ruolo ricoperto dalle entità −titolari o responsabili− che esportano ed importano i dati all’interno del gruppo: le Bcr for Controller e le Bcr for Processor. In particolare, in quest’ultima ipotesi il cliente (titolare) sottoscrive un contratto generale di servizi (Service Level Agreement - SLA) con la società multinazionale (responsabile) al quale sono allegate le “Bcr for Processor”.

Per maggiori e più dettagliate informazioni in merito ai contenuti delle Bcr, si rinvia ai seguenti documenti del Gruppo art. 29:

• Wp 256 - Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules - in caso di BCR for controller
• Wp 257 - Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules - in caso di BCR for processor

Fonte: Garante Privacy