Comitato europeo per la protezione dei dati

Trentacinquesima sessione plenaria del Comitato europeo per la protezione dei dati: nota informativa sulle norme vincolanti d’impresa con l’autorità di vigilanza del Regno Unito in qualità di autorità capofila

Thursday, 23 July, 2020

Bruxelles, 23 luglio – In vista della prossima fine del periodo di transizione precedente la Brexit, il Comitato europeo per la protezione dei dati (EDPB) ha adottato una nota informativa in cui si delineano le misure che devono essere prese dalle autorità di vigilanza, dai titolari di norme vincolanti d’impresa approvate e dalle organizzazioni in attesa dell’approvazione di tali norme da parte dell’autorità di vigilanza del Regno Unito al fine di garantire che dette norme possano continuare a essere utilizzate come valido strumento di trasferimento dopo la fine del periodo di transizione di cui sopra. Poiché al termine di tale periodo l’autorità di vigilanza del Regno Unito non sarà più considerata autorità di vigilanza competente ai sensi del regolamento generale sulla protezione dei dati (GDPR), le relative decisioni in materia di approvazione adottate ai sensi dello stesso GDPR non avranno più effetto giuridico nel SEE. Inoltre, poiché le norme vincolanti d’impresa in genere contengono riferimenti all’ordinamento giuridico del Regno Unito, le norme in questione potrebbero dover essere modificate prima della scadenza del periodo di transizione. Quanto sopra vale anche per le norme già approvate ai sensi della direttiva 94/46/CE.

I titolari di norme vincolanti d’impresa la cui autorità di controllo capofila in tale ambito è quella del Regno Unito devono mettere in atto tutte le predisposizioni organizzative per individuare una nuova autorità di controllo capofila nel SEE. Tale cambio di autorità di vigilanza capofila dovrà avere luogo prima della fine del periodo di transizione precedente la Brexit.

Gli attuali depositari di una richiesta di approvazione di norme vincolanti d’impresa sono invitati a mettere in atto tutte le predisposizioni organizzative per individuare, con largo anticipo rispetto alla fine del periodo di transizione che precede la Brexit, una nuova autorità di controllo capofila nel SEE competente per le suddette norme; inoltre, sono invitati a contattarla per spiegare dettagliatamente per quale motivo la considerano la nuova autorità di controllo capofila in materia di norme vincolanti d’impresa. Quest’ultima si farà carico quindi della domanda e avvierà formalmente una procedura di approvazione, previo parere dell’EDPB. Per le norme vincolanti d’impresa approvate dall’autorità di controllo del Regno Unito ai sensi del GDPR sarà necessaria una nuova approvazione da parte della nuova autorità di controllo capofila del SEE prima della fine del periodo di transizione precedente la Brexit, previo parere dell’EDPB. L’EDPB ha inoltre adottato un allegato contenente una lista di controllo degli elementi da modificare nei documenti relativi alle norme vincolanti d’impresa nel contesto della Brexit.

La presente nota informativa non pregiudica l’analisi in cui è attualmente impegnato l’EDPB relativa alle conseguenze della sentenza della CGUE Data Protection Commissioner contro Facebook Ireland e Schrems per le norme vincolanti d’impresa come strumenti di trasferimento.

Comunicato stampa_EDPB_2020_13