Multinazionali e trasferimento di dati. Primo documento dei Garanti UE sull¿utilizzo delle cosiddette ¿norme vincolanti d¿impresa¿

di |

Europa



Il Gruppo dei Garanti europei ha approvato un primo documento di lavoro che avvia una riflessione sulle condizioni in base alle quali le cosiddette ¿norme vincolanti d¿impresa¿ possono offrire garanzie sufficienti ai fini del trasferimento di dati verso Paesi terzi che non dispongono di un livello adeguato di protezione dei dati personali. In particolare, per quanto riguarda il trasferimento fra societ&#224 appartenenti ad uno stesso gruppo multinazionale:
Working Document: Transfers of personal data to third countries: Applying Article.

Le ¿norme vincolanti d¿impresa¿ sono veri e propri codici di condotta elaborati nell¿ambito di un gruppo di imprese e validi per tutte le imprese che di tale gruppo fanno parte.

I Garanti muovono dalla considerazione di quanto previsto dall¿articolo 26(2) della direttiva europea in materia di protezione dati: ossia, la possibilit&#224 per i titolari del trattamento (in questo caso le imprese) di chiedere ad uno Stato membro di autorizzare un trasferimento di dati verso Paesi terzi ¿non adeguati¿, sulla base di ¿garanzie sufficienti¿ che possono consistere, in particolare, in clausole contrattuali appropriate.

Come &#232 noto, la Commissione ha gi&#224 riconosciuto l¿adeguatezza, a livello UE, delle clausole contrattuali standard relative ai trasferimenti di dati fra titolari di trattamento con sede nell¿UE e titolari o responsabili situati in Paesi terzi. Tuttavia, alla luce dell¿esperienza acquisita in questi anni, i Garanti hanno ritenuto di iniziare un nuovo dibattito rispetto all¿uso di altri strumenti che si potrebbero aggiungere a quelli gi&#224 esistenti e rivelarsi utili per le imprese, in particolare multinazionali e gruppi societari, che operano in pi&#249 Paesi, anche al di fuori dell¿UE, con legislazioni spesso piuttosto distanti.

Riguardo alle ¿norme vincolanti di impresa¿ il Gruppo ha dunque formulato prime indicazioni in quali termini e in base a quali condizioni questi speciali ¿codici di condotta¿ possano offrire, appunto, le ¿garanzie sufficienti¿ menzionate dall¿articolo 26(2) della direttiva.

La possibilit&#224 di utilizzare¿norme vincolanti di impresa¿ per i trasferimenti di dati personali da imprese europee ad altre societ&#224 appartenenti allo stesso gruppo multinazionale presuppone almeno che:
a) le norme d¿impresa siano effettivamente vincolanti;
b) si tratti, appunto, di norme d¿impresa, ossia di norme elaborate da un gruppo multinazionale ed effettivamente valide per tutte le societ&#224 che di tale gruppo fanno parte. Ci&#242 significa, in pratica, che per il trasferimento di dati verso soggetti terzi extra-gruppo, le norme d¿impresa non possono avere, ovviamente, alcuna validit&#224 ¿ e dunque si dovr&#224 ricorrere, eventualmente, ad altri strumenti contrattuali come le clausole standard.

Quanto alla vincolativit&#224 delle norme, le Autorit&#224 per la protezione dei dai europee sottolineano che essa deve sussistere sia all¿interno del gruppo di imprese, sia nei confronti del mondo esterno.

Rispetto alle modalit&#224 attraverso le quali rendere effettivamente vincolanti le regole di impresa, le imprese sono naturalmente libere di scegliere quale approccio seguire. Ma, a parere dei Garanti, in molti casi i contratti che regolano i rapporti fra le imprese del gruppo offrono la possibilit&#224 di inserire clausole relative al rispetto delle ¿norme vincolanti d¿impresa¿.

Nel documento i Garanti suggeriscono alcuni strumenti per assicurare all¿interno del gruppo il rispetto delle norme d¿impresa: sanzioni disciplinari in caso di violazione delle norme, un¿adeguata sensibilizzazione del personale, corsi di formazione speciali.

Ma vengono fornite anche dettagliate indicazioni sul contenuto delle norme. Occorre prevedere:

  • un controllo regolare da parte di revisori esterni, e la possibilit&#224 per le autorit&#224 nazionali di protezione dati di condurre accertamenti;
  • la specificazione dei meccanismi di trattazione di eventuali ricorsi individuali, e di quali siano gli uffici competenti all¿interno del gruppo;
  • l¿obbligo di cooperare con le autorit&#224 di protezione dati, con l¿impegno ad accettare sia i controlli esterni, sia le indicazioni fornite dalle autorit&#224 rispetto all¿interpretazione e all¿applicazione delle norme stesse;
  • l¿indicazione che gli interessati beneficiano degli stessi rimedi giuridici ai quali avrebbero diritto se il trattamento svolto dalla multinazionale fosse soggetto alla direttiva o alla legge nazionale di uno degli Stati membri;
  • la responsabilit&#224 congiunta e solidale della capogruppo rispetto alle violazioni commesse da altre societ&#224 appartenenti al gruppo, e l¿impegno della capogruppo a farsi carico di eventuali risarcimenti (qualora la capogruppo non sia stabilita in Europa, tale responsabilit&#224 deve essere delegata ad una delle societ&#224 con sede in Europa);
  • l¿onere della prova deve ricadere non gi&#224 sull¿interessato ¿ il quale non deve essere tenuto a dimostrare la violazione commessa dalla singola societ&#224 nel Paese terzo ¿ ma sulla capogruppo o sulla societ&#224 con sede nell¿UE delegata alla trattazione delle tematiche di protezione dati, che deve dimostrare l¿estraneit&#224 della societ&#224 situata nel Paese terzo in questione;
  • l¿interessato deve avere la possibilit&#224 di citare in giudizio la multinazionale (qualora intenda chiedere un risarcimento, oppure non sia soddisfatto dell¿esito della procedura interna di ricorso sopra menzionata) e di scegliere se farlo nello Stato in cui ha sede la societ&#224 che ha inizialmente trasferito i dati, oppure nello Stato ove ha sede la capogruppo europea o la societ&#224 europea delegata alla trattazione delle tematiche di protezione dati.

I Garanti evidenziano, infine, un punto fondamentale: la necessit&#224 di estendere agli interessati lo status di ¿terzi beneficiari¿ gi&#224 riconosciuto loro dalle clausole contrattuali standard. Questo significa il diritto: di essere informati prima del trasferimento di dati sensibili che li riguardino; di ottenere copia delle norme; di ottenere risposta, in tempi ragionevoli, a richieste concernenti il trattamento dei loro dati in Paesi terzi; di ottenere eventuali risarcimenti in caso di violazione delle norme; di adire le autorit&#224 giudiziarie europee nei termini previsti dalle norme stesse, etc.

Nei Paesi nei quali non &#232 considerato sufficiente a livello giuridico l¿impegno assunto unilateralmente da una societ&#224, si potr&#224 aggiungere una clausola ad hoc (¿clausola del terzo beneficiario¿) al contratto che regola il rapporto fra le societ&#224 appartenenti al gruppo.

(Fonte: Garante per la protezione dei dati personali)

Leggi le altre notizie sull’home page di Key4biz