Binding Corporate Rules e trattamento dati: come applicarle in azienda

18/11/2015
di Leonardo

Per capire meglio di cosa si tratta, riportiamo l’analisi dell’Avv. Valentina Frediani pubblicata su Il Documento Digitale III / MMXV, di cui è Direttore editoriale, disponibile per la consultazione attraverso la App dedicata.

BCR – Binding Corporate Rules, un’espressione sempre più diffusa soprattutto a seguito del ‘terremoto’ Safe Harbor. Ne è stata sottolineata l’utilità di recente dallo stesso Garante per la protezione dei dati personali che ha ufficialmente dichiarato decaduta l’autorizzazione al trasferimento di dati verso gli Stati Uniti sulla base dell’accordo Safe Harbor.

Tale provvedimento non esclude infatti il poter dislocare dati oltreoceano, implica, tuttavia, che tutti gli attori coinvolti (società multinazionali, imprese italiane ed organizzazioni) ricorrano alle possibilità alternative già previste dalla normativa sulla protezione dei dati personali.

 

Le indicazioni dal Working Party Art.29

BCR in EuropaAdottato il 22 maggio 2015, il WP 204 titolato “Explanatory Document on the Processor Binding Corporate Rules” è solo l’ultimo di molti documenti elaborati dal Gruppo Ex Art. 29 che hanno abbracciato il tema dei trasferimenti di dati al di fuori del territorio europeo e degli strumenti di natura contrattuale che ne garantiscono la legittimità e l’affidabilità medesima.

Il concetto di trasferimento non è affatto sviscerato né tantomeno definito dalle fonti europee (e conseguentemente da quelle nazionali di recepimento) le quali ne vietano con assoluta determinatezza il verificarsi, salvo il ricorrere di ben precise condizioni.

Ebbene per trasferimento del dato può ben intendersi la comunicazione di informazioni afferenti al personale dipendente fra le sedi italiane o comunque europee e sedi estere di un gruppo multinazionale strutturato. La “migrazione” del dato dal territorio europeo a quello estero ingenererebbe rischi collegati alla mancata applicazione delle norme e delle tutele individuate dalla normativa europea, con la pericolosa conseguenza che i dati solo per il fatto di circolare al di fuori del territorio europeo sarebbero di fatto sprovvisti delle idonee garanzie preposte a loro tutela.

Il problema sollevato dal divieto è parso di elevata considerazione tanto da giustificare interventi puntuali del Gruppo Ex Art. 29 che ha delineato con sufficiente precisione quelli che sono gli strumenti contrattuali in grado di consentire un legittimo trasferimento del dato personale da uno Stato europeo verso un Paese terzo.

Di strumenti contrattuali recita l’articolo 26 della Direttiva Ce/95/46, statuendo che:

uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell’articolo 25, paragrafo 2, qualora il responsabile (ndr. leggi titolare) del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole contrattuali appropriate”.

Ebbene il modello contrattuale elaborato è rappresentato dalle BCR.

Binding Corporate Rules, privacy policy infragruppo

Le Binding Corporate Rules sono definite “un documento contenente una serie di clausole che fissano i principi vincolanti al cui rispetto sono tenute tutte le società appartenenti ad un unico gruppo di impresa”.

BCR InfragruppoIl divieto al trasferimento viene così superato mediante la previsione in un unico documento contrattuale vincolante per le diverse società appartenenti al medesimo gruppo dei principi e degli adempimenti sanciti nella Direttiva, secondo quanto predisposto nei modelli elaborati dal Gruppo Ex Articolo 29.

Anche se tali elaborati non hanno forza di legge, il loro contenuto viene assiduamente seguito ed applicato dai Garanti europei nella concessione delle autorizzazioni nazionali al trasferimento nonché nell’interpretazione della normativa.

Non soltanto le BCR costituiscono la privacy policy del gruppo di impresa per la materia dei trasferimenti all’estero dei dati personali ma potrebbero – e di fatto questo accade – essere elevate a strumento di policy riguardante i trattamenti generalmente intesi effettuati dall’impresa stessa.

Sul contenuto, gli elaborati prodotti sono molteplici. Dal WP 74 del 3 giugno 2003 fino al WP 154 del 24 giugno 2008 che costituisce un modello esemplificativo della costruzione di un testo adeguato di BCR: tutti individuano i requisiti e gli elementi che dovranno essere previsti od implementati dalle aziende.

Innanzitutto, lo strumento contrattuale di BCR adottato dovrà essere reso vincolante per tutte le società facenti parte della compagine. Tale efficacia potrà ben essere conferita mediante molteplici strumenti: contratti infragruppo, dichiarazioni rilasciate o impegni assunti unilateralmente dalla controllante che siano vincolanti per tutti i membri, obblighi contenuti nei documenti statutari, integrazione delle norme in materia di protezione dei dati personali all’interno dei principi aziendali dell’organizzazione, sostenute da politiche, controlli e sanzioni adeguati.

L’efficacia vincolante dovrà essere altresì implementata nei confronti del personale dipendente mediante impegni e/o accordi individuali e distinti corredati da specifiche sanzioni, clausole nel contratto di lavoro anche esse corredate da specifiche sanzioni.

Il contenuto

BCR, il contenutoQuanto al contenuto, si evidenzia come le BCR non si sostituiscano affatto alla normativa in materia di protezione del dato personale, ma siano piuttosto uno strumento ricettivo delle regole e degli obblighi individuati a monte e modellati rispetto allo specifico core aziendale di riferimento. Ciò premesso, le BCR dovranno andare a descrivere l’ambito geografico e materiale del documento, delimitandone i limiti territoriali di applicabilità nonché i limiti oggettivi legati al trasferimento (rectius trattamento): dati relativi al personale dipendente, ai clienti, ai fornitori ecc.

Viene altresì richiesta una puntuale e adeguata trasposizione dei “principi guida” previsti dalla normativa ai trattamenti dei dati personali infragruppo. Da tale affermazione discende l’obbligatoria menzione delle finalità che si vogliano perseguire non solo mediante il trasferimento, ma anche attraverso il trattamento generale delle suddette informazioni, nonché dei principi di proporzionalità e di necessità che dovranno governare l’intero flusso di informazioni.

Non dovranno mancare le basi legali che legittimano ogni trattamento del dato personale, ovvero il consenso dell’interessato o una delle condizioni di esonero così come sancite dall’articolo 7 della Direttiva, o in alternativa essere di fronte ad un trattamento necessario all’esecuzione del contratto concluso con la persona interessata o all’esecuzione di misure precontrattuali prese su richiesta di quest’ultima o ancora si sia di fronte ad un trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare.

Con riferimento infine alle ulteriori garanzie che sono riconosciute al soggetto cui i dati personali afferiscono, è interessante constatare come l’espressa previsione ed introduzione della cd. clausola del terzo beneficiario ampli notevolmente lo spettro delle garanzie a questo dedicate. Mediante tale clausola l’interessato avrà – dunque – il diritto di ottenere il risarcimento del danno connesso al mancato rispetto delle BCR da parte di una società del gruppo.

Con riferimento agli strumenti che il gruppo di impresa dovrà implementare – posto che dovranno essere garantite le misure di sicurezza individuate dalla normativa – l’impresa dovrà garantire tra l’altro (i) la predisposizione di un programma di training del personale in materia di protezione dei dati personali; (ii) l’implementazione di un meccanismo di gestione del contenzioso e delle segnalazioni connesse alle BCR; (iii) la conduzione periodica di audit al fine di verificare il rispetto delle BCR da parte delle società del gruppo; (iv) la creazione di un network di privacy officers o di uno staff che si occupi di monitorare il rispetto delle BCR.

Iter procedurale

Il Garante italiano per la protezione dei dati personali ha più volte sostenuto che:

dal momento che le BCR hanno ad oggetto i flussi di dati personali tra società appartenenti a un unico gruppo di impresa e dislocate in diversi paesi del mondo, l’autorizzazione al trasferimento transfrontaliero di dati tramite BCR trova una sua utilità esclusivamente se rilasciata da tutte le Autorità di protezione dei dati”.

BCR iter proceduraleLa procedura europea deve essere rilasciata da tutte le Autorità di protezione dei dati coinvolte, ossia dalle Autorità competenti negli Stati membri da cui hanno origine i trasferimenti.

Per semplificare l’attività delle società, il Gruppo Ex Articolo 29 ha elaborato una procedura di cooperazione a livello europeo, definita procedura di mutuo riconoscimento.

La procedura di approvazione viene condotta da un’unica Autorità Garante (c.d. lead Authority) che, in virtù del ruolo istituzionale che ricopre, dovrà dialogare con la società che ha presentato le BCR (generalmente la società capogruppo), in rappresentanza di tutte le altre Autorità Garanti interessate.

La lead Authority ha il compito di esaminare la bozza di BCR presentata dalla società, di inviarla alle altre Autorità fino ad arrivare ad un testo conforme e condiviso. Il parere con il quale la lead Authority attesta la conformità del testo delle BCR è considerato dalle altre Autorità aderenti alla procedura quale conditio che legittima il rilascio della rispettiva autorizzazione nazionale.

L’adesione del Garante italiano alla procedura di mutuo riconoscimento, non solleva le società autonome titolari stabilite in Italia (facenti parte del gruppo multinazionale che ha predisposto la BCR) dal trasmettere una specifica richiesta di autorizzazione al trasferimento dei dati personali dal territorio dello Stato verso Paesi terzi allo scopo di ottenere specifica autorizzazione nazionale di conformità del testo di BCR presentato.

La fase istruttoria presso il Garante ben potrebbe comportare la richiesta di maggiori informazioni o di ulteriore documentazione o rendere opportuna l’organizzazione di un incontro. Al termine del procedimento, il Garante comunica al richiedente la decisione adottata.

Il trasferimento dei dati personali che avvenga contrariamente a quanto sopra affermato nonché alle norme sancite dal D.Lgs. 196/2003 è idoneo ad integrare un’ipotesi di trattamento illecito del dato personale e per, tale, punibile con la reclusione da uno a tre anni, ai sensi dell’articolo 167, comma 2, del D.Lgs 196/2003.

Le Binding Corporate Rules per Responsabili del trattamento

Nel Dicembre del 2013, il Gruppo Ex Articolo 29 ha approvato una apposita procedura che consente la circolazione del dato personale all’interno di multinazionali che offrono ad altre aziende, con sede nell’Unione Europea, servizi di trattamento dati in outsourcing.

E’ il Garante italiano ad affermare che:

In questo caso la nuova procedura permetterà di approvare BCR messe a punto da un’impresa multinazionale che sia nominata responsabile del trattamento per conto di titolari (clienti) stabiliti in un Paese dell’UE, sulla base di uno specifico contratto di servizi (generalmente indicato come “Service Agreement”). Tali imprese potranno adesso, se lo desiderano, fare approvare le proprie “BCR for Processors”.

building-690121_640Dunque un’impresa multinazionale che sia nominata responsabile del trattamento per conto di titolari stabiliti in un Paese dell’Unione Europea, sulla base di uno specifico contratto di servizi, potrà predisporre le proprie Binding Corporate Rules.

Il Garante italiano, nel sottolineare l’importanza di tale strumento, ha riportato l’esempio di un’azienda stabilita in Italia che intenda far trattare in outsourcing i dati personali da una multinazionale con sedi o filiali situate al di fuori dell’Unione Europea. In tale ipotesi, la multinazionale, in qualità di responsabile esterno del trattamento potrà garantire di fatto la conformità dei propri sistemi e delle proprie procedure corporate ai principi individuati dalla Direttiva.

Il meccanismo di approvazione delle “BCR for Processors” è il medesimo delle BCR predisposte a favore dei titolari del trattamento ed anche per queste la procedura nazionale di approvazione risulta obbligatoria.

Avv. Valentina Frediani
da Il Documento Digitale, III / MMXV

Riproduzione riservata ©

ALTRE NEWS

GDPR: la costruzione di un sistema di gestione privacy passa dalla formazione

Nel 2017 il mercato digitale ha segnato un +2,3%, proseguendo la sua crescita e registrando importanti cambiamenti in termini di domanda ed offerta. A confermare… Leggi Tutto

One year to GDPR: a un anno esatto dalla sua applicazione, le priorità per le aziende

Il giro di boa è arrivato: manca un anno esatto alla completa applicabilità del nuovo Regolamento europeo sulla data protection (GDPR). Lo abbiamo riassunto in… Leggi Tutto

La bocciatura dei bollini SIAE

Un´interessante sentenza è stata emessa in questi giorni dalla Corte di Giustizia delle Comunità Europee, e va a toccare un tasto sempre molto caldo in… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form