Nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, è stata pubblicata un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Da allora stiamo sviscerando su questo portale il tema del trasferimento dei dati personali. A inizio luglio ci siamo soffermati sulla nozione di trasferimento (premere qui per leggere), per poi proseguire con i profili del trasferimento nell’ambito del cloud computing (premere qui per leggere), passando per un’indagine sulla nozione generale di adeguatezza (premere qui per leggere), e sui profili pratici del trasferimento dei dati personali basato su una decisione di adeguatezza (premere qui per leggere), continuando ancora con un’analisi delle model contractual clauses come alternative alla decisione di adeguatezza (premere qui per leggere) e ancora dei codici di condotta e meccanismi di certificazione (premere qui per leggere), infine un passaggio in rassegna le principali decisioni di adeguatezza adottate prima e dopo l’introduzione del GDPR (premere qui per leggere).
Nel presente contributo, invece, si avrà riguardo alle cc.dd. norme vincolanti d’impresa, disciplinate dall’art. 47 del GDPR, note anche come binding corporate rules, le quali costituiscono uno strumento alternativo alle decisioni di adeguatezza per il trasferimento di dati personali al di fuori dello Spazio Economico Europeo. Queste regole sono adottate da gruppi societari per permettere il trasferimento di dati tra società dello stesso gruppo, garantendo l’adozione di misure di sicurezza, policy aziendali e audit interni, ma non si applicano ai consorzi ed alle associazioni temporanee di imprese, per le quali risulterebbero invece eccessivamente complesse.
Va subito detto che l’approvazione dell’Autorità Garante è un passaggio necessario: fino al suo ottenimento, ogni trasferimento di dati basato su questo strumento è illecito. Negli anni, il WP29 ha prodotto diversi documenti per chiarire l’uso delle norme vincolanti d’impresa, molte delle quali sono state poi integrate nel GDPR. È importante sottolineare che tali norme non possono essere applicate se il destinatario dei dati personali non appartiene al medesimo gruppo societario, anche in caso di rapporti continuativi con il titolare del trattamento.
La richiesta di approvazione delle norme vincolanti d’impresa deve essere presentata all’Autorità competente del Paese in cui ha sede la società madre o dove avviene il trattamento principale dei dati. Il WP29, in tal senso, fa riferimento alla “società madre ultima” o alla “sede operativa principale”. La società incaricata di presentare l’istanza deve essere stabilita nell’Unione Europea e rispondere a criteri specifici, come la gestione della maggior parte dei trattamenti o la responsabilità sulle decisioni riguardanti le finalità e le modalità del trattamento. Le lingue utilizzate per la documentazione devono essere l’inglese e la lingua dell’Autorità nazionale ricevente.
La società richiedente è inoltre responsabile di eventuali violazioni nei Paesi terzi, e può essere prevista una responsabilità solidale tra l’esportatore e l’importatore dei dati, similmente alle clausole contrattuali standard (premere qui per approfondire). Tuttavia, il gruppo societario può proporre una diversa suddivisione delle responsabilità, in accordo con la propria struttura organizzativa.
Inoltre, la società deve dimostrare che le norme siano state approvate internamente, ovvero che vi sia un accordo formale tra la società madre e le controllate, e chiarire quali siano i benefici per gli interessati i cui dati vengono trasferiti al di fuori dell’Europa.
Le norme vincolanti d’impresa devono essere “giuridicamente vincolanti”, escludendo così qualsiasi disposizione di soft-law, che avrebbe solo un carattere persuasivo. Queste regole devono essere applicabili a tutti i membri del gruppo imprenditoriale o del gruppo di imprese che svolgono attività economiche comuni, inclusi i loro dipendenti. È essenziale, inoltre, che conferiscano diritti esigibili agli interessati, permettendo loro di rivolgersi sia a un’Autorità giudiziaria sia a un’Autorità Garante per la tutela dei propri diritti.
Le norme devono specificare i diritti degli interessati e i mezzi per esercitarli, tra cui il diritto di non essere soggetti a decisioni basate esclusivamente su trattamenti automatizzati, compresa la profilazione, il diritto di presentare reclamo all’autorità di controllo competente, di ricorrere alle autorità giurisdizionali degli Stati membri e di ottenere riparazione o risarcimento in caso di violazione delle norme.
Qualsiasi modifica alle norme vincolanti d’impresa deve essere comunicata all’Autorità competente, così come ogni altro obbligo di comunicazione previsto.
L’art. 47 del GDPR elenca in dettaglio gli elementi essenziali che devono essere inclusi nelle binding corporate rules (BCR). Tra questi, vi sono la struttura e i contatti del gruppo imprenditoriale e dei soggetti che lo compongono, in linea con l’esigenza di facilitare i contatti per gli interessati e le autorità competenti, simile a quanto richiesto per altre figure come il DPO.
Le norme devono indicare i trasferimenti dei dati, specificando le categorie di dati personali, il tipo di trattamento, le finalità e i soggetti interessati, in modo analogo a quanto previsto per il registro dei trattamenti. Devono inoltre identificare i Paesi terzi verso cui i dati vengono trasferiti. I soggetti extra-UE devono rispettare i principi generali del GDPR, tra cui limitazione delle finalità, minimizzazione dei dati, sicurezza e protezione per impostazione predefinita.
L’obiettivo che il legislatore si è prefissato è evidentemente quello di estendere l’applicazione del GDPR anche fuori dall’Unione Europea per assicurare una protezione continua ai cittadini. A tal fine le norme vincolanti d’impresa devono anche prevedere requisiti specifici per i trasferimenti successivi verso soggetti esterni alle regole. Un punto a nostro avviso rilevante è la responsabilità del titolare per le violazioni commesse da membri del gruppo non stabiliti nell’UE. Tale responsabilità, di natura oggettiva e vicaria, può essere evitata solo se il titolare dimostra che il danno non è imputabile al soggetto violante.
Le norme devono inoltre includere le procedure di reclamo per gli interessati. In tale contesto la nomina del Data Protection Officer non è obbligatoria, ma se nominato, i suoi compiti devono essere chiaramente definiti, così come quelli di altri soggetti incaricati di garantire il rispetto delle norme.
Per approfondire:
- BIGNAMI-RESTA, Transatlantic Privacy Regulation: Conflict and Cooperation, 78 Law & Cont. Probl. 101 (2015);
- BOLOGNINI-PELINO-BISTOLFI, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016;
- KIRSCHEN, Il trasferimento all’estero dei dati, in Panetta, Circolazione e protezione dei dati personali, tra libertà e regole del mercato, 2019;
- MANTELERO, L’ECJ invalida l’accordo per il trasferimento dei dati personali fra EU ed USA. Quali scenari per i cittadini ed imprese?, in Contr. e impresa/Europa, 2015, 719;
- MENEGHETTI, L’adeguatezza dei trasferimenti di dati personali negli USA, anche alla luce del nuovo Regolamento privacy Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali (artt. 44-50), in FINOCCHIARO, Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna-Roma, 2017;
- PIRODDI, I trasferimenti di dati personali verso Paesi terzi dopo la sentenza Schrems e nel nuovo regolamento generale sulla protezione dei dati, Dinf., 2015, 827;
- RESTA-ZENO-ZENCOVICH (a cura di), La protezione transnazionale dei dati personali. Dai "safe harbour principles" al "privacy shield", Roma, 2016;
- RICCIO, Model Contractual Clauses e Corporate Binding Rules: valide alternative al Safe Harbor Agreement?, Dinf., 2015, 867;
- RICCIO-PEZZA, Trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali, in TOSI, Privacy digitale. Riservatezza e protezione dei dati personali tra GDPR e nuovo Codice Privacy, Milano, 2019;
- SICA-D’ANTONIO-RICCIO, La nuova disciplina europea della privacy, Padova 2016;
- SWIRE, US Surveillance Law, Safe Harbor, and Reforms Since 2013, Georgia Tech Scheller College of Business Research Paper, No. #36, 2015.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Notifiche e depositi telematici: da oggi, 30 settembre, NON CAMBIA NULLA! - Settembre 30, 2024
- Il consenso dell’interessato come deroga al divieto di trasferimento transfrontaliero di dati - Settembre 23, 2024
- Sulle deroghe al divieto di trasferimento transfrontaliero di dati personali - Settembre 16, 2024
- Sulle norme vincolanti d’impresa nell’ambito del trasferimento transfrontaliero dei dati - Settembre 9, 2024
- Breve rassegna sulle decisioni di adeguatezza - Settembre 2, 2024