Regole aziendali vincolanti

Le regole aziendali vincolanti (o BCR per le regole aziendali vincolanti ) sono uno strumento giuridico europeo a cui una società multinazionale o un gruppo di società può utilizzare per garantire un livello adeguato di protezione dei dati personali durante il trasferimento dei dati, all'interno del gruppo, da un paese situato nella Unione europea (UE) o in Spazio economico europeo (SEE) in un paese terzo.

Queste regole sono state originariamente sviluppate come uno strumento aggiuntivo che consente il trasferimento di dati personali a paesi non adeguati come definito dalla Commissione europea sulla base della direttiva 95/46 / CE sulla protezione dei dati personali con in particolare l'articolo 29 europeo "gruppo di lavoro, G29 , sulla protezione dei dati.

Questi strumenti appartengono a cinque categorie distinte corrispondenti a esigenze diverse: le regole contrattuali standard, lo scudo per la privacy per i trasferimenti statunitensi e svizzeri negli Stati Uniti, le regole aziendali vincolanti (BCR), il consenso esplicito delle persone interessate che è in vigore. prassi utilizzate e Contratti "ad hoc" che richiedono la convalida delle Autorità.

L'uso di queste regole richiede l'approvazione di una cosiddetta autorità "capofila" responsabile della protezione dei dati di un paese dell'UE assistita da altre due autorità "co-capofila". Queste regole, dopo l'approvazione generale grazie ad un meccanismo di "mutuo accordo" stabilito tra 20 autorità e la consultazione di quelle rimanenti (a seconda del trasferimento / i previsto / i) possono poi essere utilizzate per il trasferimento dei dati personali.

Si segnala che da allora il Regolamento Europeo 2016/679 (GDPR) ha integrato pienamente questo strumento nel suo articolo 47 e l'EDPB (European Data Protection Board) che ha sostituito il WP29 ha pubblicato Working Papers (WP 256, 257) che definiscono la forma e il contenuto delle BCR per conformarsi all'articolo 47 del GDPR.

Soddisfare

Diversi documenti dell'UE hanno lo scopo di aiutare le aziende che desiderano utilizzare questo strumento giuridico.

Note e riferimenti

  1. Garante europeo della protezione dei dati, "  Protection des data Glossaire R  " (consultato il 23 febbraio 2016 )
  2. Commissione europea - Giustizia, "  Protezione dei dati personali  " (accesso 23 febbraio 2016 )
  3. Commissione europea - Giustizia, "  Documents on data protection  " (accesso 23 febbraio 2016 )
  4. Anne Debet , Jean Massot , Nathalie Metallinos , Anne Danis-Fatôme e Olivier Lesobre , Informatique et Libertés: La protezione dei dati personali nel diritto francese ed europeo , Parigi, Lextenso , coll.  "The Integrals",2015, 1288  p. ( ISBN  978-2-35971-093-9 )