GDPR e gruppi assicurativi: in arrivo la review delle regole per i trasferimenti internazionali di dati infragruppo (“BCR”)

Ieri si è conclusa la pubblica consultazione avviata dal Comitato Europeo per la protezione dei dati avente ad oggetto le Raccomandazioni n. 1/2022 sui requisiti ed elementi che devono essere inclusi nelle norme vincolanti d’impresa (“binding corporate rules“ – “BCR”) ex art. 47 del GDPR.

In particolare, l’EDPB ha aggiornato le BCR per i titolari del trattamento (“BCR-C”) tenendo conto della sentenza “Schrems II” della Corte di Giustizia UE. Di seguito un riepilogo pratico degli elementi di maggior interesse sottolineati dal Board di cui i gruppi d’impresa dovranno fare tesoro:

  • viene fornito un modulo standard aggiornato per la domanda di approvazione delle BCR-C, insieme ai criteri aggiornati per la loro approvazione;
  • oltre alle BCR-C, il titolare del trattamento che agisce in qualità di “data exporter” deve sottoscrivere con tutti gli “internal processors” un contratto o altro atto giuridico ex art. 28 del GDPR;
  • spetta a ciascun esportatore valutare, per ogni trasferimento, caso per caso, se vi sia la necessità di attuare misure supplementari allo scopo di fornire un livello di protezione sostanzialmente equivalente a quello previsto dal GDPR.

.

Dopo la pubblicazione della versione finale delle “Recommendations”, tutti i nuovi obblighi si applicheranno alle BCR sia approvate che in corso di esame.

Lo Studio ha partecipato alla pubblica consultazione, formulando le proprie osservazioni e fornendo il proprio contributo.

.