Al fine di supportare i gruppi titolari di BCR nella verifica della loro attuazione, la CNIL fornisce loro uno strumento e descrive le fasi della sua implementazione.
Quali sono le norme aziendali vincolanti e quali gruppi devono attuarle?
Le norme aziendali vincolanti (BCR) designano una politica di protezione dei dati intragruppo. Consentono alle entità correlate di trasferire dati personali al di fuori dell’Unione Europea. Questo è uno degli strumenti di conformità previsti dal Regolamento generale sulla protezione dei dati (GDPR).
L’approvazione di norme vincolanti d’impresa rientra in un processo di supporto attuato dalla CNIL.
I gruppi di holding sono responsabili dell’attuazione efficace degli obblighi derivanti dalle BCR. Le società interessate sono multinazionali private, stabilite in diversi paesi dell’Unione Europea e al di fuori di essa (vedi l’elenco dei gruppi titolari di BCR approvate dalla CNIL).
Un nuovo strumento di monitoraggio per verificare la conformità alle BCR
Per consentire ai gruppi titolari di BCR di verificare il proprio livello di rispetto dei requisiti di tali norme, la CNIL pubblica uno strumento di monitoraggio in francese e inglese.
Si svolgerà in 3 fasi, utilizzando 2 questionari adattabili a seconda delle esigenze:
- Il responsabile della protezione dei dati o il responsabile del gruppo sceglie i soggetti che saranno soggetti a tale monitoraggio. Possono trovarsi o meno nell’UE.
- Queste organizzazioni compilano il primo questionario “Entità Locale” e lo inviano al responsabile a livello di gruppo. Questo feedback garantisce un’implementazione concreta e armonizzata delle BCR e una governance adeguata.
- Il secondo questionario “DPO di Gruppo” viene compilato direttamente dal delegato alla protezione dei dati del gruppo, sulla base dei feedback ricevuti tramite il primo questionario. Deve consentire al DPO del gruppo di avere una panoramica dell’attuazione della governance.
Sulla base dei risultati ottenuti, il DPO o il responsabile a livello di gruppo può completare la documentazione di conformità del gruppo, proporre un piano d’azione o addirittura richiedere l’attuazione di audit.
https://www.cnil.fr/fr/regles-dentreprise-contraignantes-bcr-la-cnil-publie-un-outil-de-suivi