Italia
I Garanti per la privacy dei Paesi UE riuniti nel Gruppo “Articolo 29” hanno approvato una apposita procedura che consentirà la circolazione di dati personali all’interno di gruppi societari multinazionali che offrono ad altre aziende, con sede nell’Unione europea, servizi di trattamento dati in outsourcing. La procedura prevede l’approvazione da parte delle Autorità garanti nazionali delle cosiddette “Norme d’impresa vincolanti” (Binding Corporate Rules, BCR) per “responsabili del trattamento” (“BCR for Processors“) e potrà essere utilizzata a partire da quest’anno.
Le BCR sono regole di condotta relative al trattamento dei dati personali all’interno di un gruppo multinazionale che consentono, una volta approvate dalle Autorità nazionali, di trasferire dati personali fra le società del gruppo con sede in UE e quelle situate in Paesi terzi, nel rispetto delle garanzie fissate in base alla direttiva 95/46.
In questo caso la nuova procedura permetterà di approvare BCR messe a punto da un’impresa multinazionale che sia nominata responsabile del trattamento per conto di titolari (clienti) stabiliti in un Paese dell’UE, sulla base di uno specifico contratto di servizi (generalmente indicato come “Service Agreement“). Tali imprese potranno adesso, se lo desiderano, fare approvare le proprie “BCR for Processors“.
Sulla base delle nuove BCR, dunque, un’azienda ad esempio stabilita in Italia che intenda far trattare in outsourcing dati personali da una multinazionale con sedi o filiali extra-UE potrà essere garantita dal fatto che la multinazionale ha elaborato un sistema di “BCR for Processors” approvato dall’UE.
Il meccanismo di approvazione delle “nuove” BCR non si differenzia da quello esistente da vari anni, i cui requisiti sono illustrati dettagliatamente anche sul sito del Garante (http://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-e-intenazionale/trasferimento-dei-dati-verso-paesi-terzi#3).
Anche nel caso delle “BCR for Processors” si prevede l’intervento di un’Autorità di protezione dati che fungerà da “capofila” nell’UE per il processo di valutazione e approvazione, cui farà seguito un meccanismo di mutuo riconoscimento (al quale partecipano molte autorità europee di protezione dati, fra cui il Garante); in alcuni casi (come in Italia) è comunque necessaria anche una specifica richiesta di autorizzazione nazionale.
I documenti elaborati dal Gruppo “Articolo 29” al fine di accedere alla procedura di approvazione (WP195 e relativo “Application Form“) sono disponibili sul sito del Gruppo (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm) e saranno presto pubblicati anche sul sito del Garante per la protezione dei dati personali.