Il 23 luglio il Comitato Europeo per la protezione dei dati, organo composto da rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati (GEPD) con il compito di contribuire all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione Europea, ha emesso una nota informativa sulle “norme vincolanti d’impresa” (BCR) per le imprese aventi l’Autorità garante inglese (l’ICO, Information Commissioner’s Office) quale autorità di controllo capofila in vista della fine del periodo transitorio della Brexit al 31 dicembre 2020.

Secondo l’art. 56 del GDPR, salvo per il caso di trattamenti effettuati da autorità pubbliche o organismi privati che agiscono per adempiere un obbligo legale o per l’esecuzione di un compito di interesse pubblico, l’autorità competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri è l’autorità di controllo “dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento”.

Le BCR sono uno strumento volto a consentire il legittimo trasferimento di dati personali verso Paesi terzi nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune. In mancanza di una decisione di adeguatezza da parte della Commissione Europea, queste costituiscono una cosiddetta “garanzia adeguata” ai sensi dell’art. 46 GDPR posta in essere per compensare la carenza di protezione dei dati in un paese terzo oggetto di trasferimento di dati personali.

Tra i poteri delle Autorità nazionali, gli art. 57 lett. s) e 64 GDPR includono, su parere del Comitato Europeo, anche il potere di approvare le norme vincolanti d’impresa ai sensi dell’articolo 47 GDPR, a condizione che queste siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo imprenditoriale, compresi i loro dipendenti, conferiscano espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali e specifichino determinate informazioni tra cui la struttura e le coordinate di contatto del gruppo imprenditoriale e di ciascuno dei suoi membri, i trasferimenti o il complesso di trasferimenti di dati,  le categorie di dati personali, il tipo di trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l’identificazione del paese terzo o dei paesi terzi in questione.

Nella Nota informativa il Comitato ha evidenziato le azioni che le Autorità Garanti, i soggetti che già dispongono di BCR autorizzate e quelli che hanno una richiesta pendente con l’ICO devono intraprendere per garantire che queste BCR possano ancora costituire un legittimo mezzo di trasferimento dei dati a conclusione del periodo transitorio. Poiché infatti a quel punto il garante britannico non sarà più qualificato come un’autorità garante competente secondo il GDPR, le decisioni assunte dallo stesso non avranno più valore vincolante per i paesi dell’Area economica europea. Il contenuto delle suddette BCR potrà inoltre essere oggetto di modifica prima della conclusione del periodo transitorio in quanto queste generalmente contengono molti riferimenti all’ordinamento del Regno Unito.  Lo stesso per le decisioni approvate sulla base della Direttiva 95/46/CE.

I gruppi per i quali le BCR sono in fase di revisione da parte dell’ICO dovranno intraprendere tutte le azioni organizzative per individuare in uno Stato membro dell’UE la nuova autorità di controllo capofila per le BCR. La nuova autorità di controllo si farà carico della domanda e avvierà formalmente una nuova procedura di approvazione previo parere del Comitato.

I soggetti che già dispongono di BCR autorizzate dovranno fare altrettanto e, a supporto dei soggetti coinvolti, il Comitato ha anche approvato un allegato contenente una check list contenente gli elementi che devono essere modificati nelle BCR nel contesto della Brexit.