Garante per la protezione
    dei dati personali

Newsletter

MULTINAZIONALI E TRASFERIMENTO DI DATI PERSONALI

Primo documento dei Garanti UE sull'utilizzo delle cosiddette "norme vincolanti d'impresa"

Il Gruppo dei Garanti europei ha approvato un primo documento di lavoro che avvia una riflessione sulle condizioni in base alle quali le cosiddette "norme vincolanti d'impresa" possono offrire garanzie sufficienti ai fini del trasferimento di dati verso Paesi terzi che non dispongono di un livello adeguato di protezione dei dati personali. In particolare, per quanto riguarda il trasferimento fra società appartenenti ad uno stesso gruppo multinazionale (il documento è disponibile in lingua inglese, francese o tedesca allindirizzo:
http://www.europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2003/wp74_en.pdf).

Le "norme vincolanti d'impresa" sono veri e propri codici di condotta elaborati nell'ambito di un gruppo di imprese e validi per tutte le imprese che di tale gruppo fanno parte.

I Garanti muovono dalla considerazione di quanto previsto dall'articolo 26(2) della direttiva europea in materia di protezione dati: ossia, la possibilità per i titolari del trattamento (in questo caso le imprese) di chiedere ad uno Stato membro di autorizzare un trasferimento di dati verso Paesi terzi "non adeguati", sulla base di "garanzie sufficienti" che possono consistere, in particolare, in clausole contrattuali appropriate.

Come è noto, la Commissione ha già riconosciuto l'adeguatezza, a livello UE, delle clausole contrattuali standard relative ai trasferimenti di dati fra titolari di trattamento con sede nell'UE e titolari o responsabili situati in Paesi terzi (v. Newsletter 8-14 ottobre 2001 e Newsletter 29 aprile-5 maggio 2002). Tuttavia, alla luce dell'esperienza acquisita in questi anni, i Garanti hanno ritenuto di iniziare un nuovo dibattito rispetto all'uso di altri strumenti che si potrebbero aggiungere a quelli già esistenti e rivelarsi utili per le imprese, in particolare multinazionali e gruppi societari, che operano in più Paesi, anche al di fuori dell'UE, con legislazioni spesso piuttosto distanti.

Riguardo alle "norme vincolanti di impresa" il Gruppo ha dunque formulato prime indicazioni in quali termini e in base a quali condizioni questi speciali "codici di condotta" possano offrire, appunto, le "garanzie sufficienti" menzionate dall'articolo 26(2) della direttiva.

La possibilità di utilizzare"norme vincolanti di impresa" per i trasferimenti di dati personali da imprese europee ad altre società appartenenti allo stesso gruppo multinazionale presuppone almeno che: a) le norme d'impresa siano effettivamente vincolanti; b) si tratti, appunto, di norme d'impresa, ossia di norme elaborate da un gruppo multinazionale ed effettivamente valide per tutte le società che di tale gruppo fanno parte. Ciò significa, in pratica, che per il trasferimento di dati verso soggetti terzi extra-gruppo, le norme d'impresa non possono avere, ovviamente, alcuna validità — e dunque si dovrà ricorrere, eventualmente, ad altri strumenti contrattuali come le clausole standard.

Quanto alla vincolatività delle norme, le Autorità per la protezione dei dati europee sottolineano che essa deve sussistere sia all'interno del gruppo di imprese, sia nei confronti del mondo esterno.

Rispetto alle modalità attraverso le quali rendere effettivamente vincolanti le regole di impresa, le imprese sono naturalmente libere di scegliere quale approccio seguire. Ma, a parere dei Garanti, in molti casi i contratti che regolano i rapporti fra le imprese del gruppo offrono la possibilità di inserire clausole relative al rispetto delle "norme vincolanti d'impresa".

Nel documento i Garanti suggeriscono alcuni strumenti per assicurare all'interno del gruppo il rispetto delle norme d'impresa: sanzioni disciplinari in caso di violazione delle norme, un'adeguata sensibilizzazione del personale, corsi di formazione speciali.

Ma vengono fornite anche dettagliate indicazioni sul contenuto delle norme. Occorre prevedere:

- un controllo regolare da parte di revisori esterni, e la possibilità per le autorità nazionali di protezione dati di condurre accertamenti;

- la specificazione dei meccanismi di trattazione di eventuali ricorsi individuali, e di quali siano gli uffici competenti all'interno del gruppo;

- l'obbligo di cooperare con le autorità di protezione dati, con l'impegno ad accettare sia i controlli esterni, sia le indicazioni fornite dalle autorità rispetto all'interpretazione e all'applicazione delle norme stesse;

- l'indicazione che gli interessati beneficiano degli stessi rimedi giuridici ai quali avrebbero diritto se il trattamento svolto dalla multinazionale fosse soggetto alla direttiva o alla legge nazionale di uno degli Stati membri;

- la responsabilità congiunta e solidale della capogruppo rispetto alle violazioni commesse da altre società appartenenti al gruppo, e l'impegno della capogruppo a farsi carico di eventuali risarcimenti (qualora la capogruppo non sia stabilita in Europa, tale responsabilità deve essere delegata ad una delle società con sede in Europa);

- l'onere della prova deve ricadere non già sull'interessato — il quale non deve essere tenuto a dimostrare la violazione commessa dalla singola società nel Paese terzo — ma sulla capogruppo o sulla società con sede nell'UE delegata alla trattazione delle tematiche di protezione dati, che deve dimostrare l'estraneità della società situata nel Paese terzo in questione;

- l'interessato deve avere la possibilità di citare in giudizio la multinazionale (qualora intenda chiedere un risarcimento, oppure non sia soddisfatto dell'esito della procedura interna di ricorso sopra menzionata) e di scegliere se farlo nello Stato in cui ha sede la società che ha inizialmente trasferito i dati, oppure nello Stato ove ha sede la capogruppo europea o la società europea delegata alla trattazione delle tematiche di protezione dati.

I Garanti evidenziano, infine, un punto fondamentale: la necessità di estendere agli interessati lo status di "terzi beneficiari" già riconosciuto loro dalle clausole contrattuali standard. Questo significa il diritto: di essere informati prima del trasferimento di dati sensibili che li riguardino; di ottenere copia delle norme; di ottenere risposta, in tempi ragionevoli, a richieste concernenti il trattamento dei loro dati in Paesi terzi; di ottenere eventuali risarcimenti in caso di violazione delle norme; di adire le autorità giudiziarie europee nei termini previsti dalle norme stesse, etc.

Nei Paesi nei quali non è considerato sufficiente a livello giuridico l'impegno assunto unilateralmente da una società, si potrà aggiungere una clausola ad hoc ("clausola del terzo beneficiario") al contratto che regola il rapporto fra le società appartenenti al gruppo.