Garante per la protezione
    dei dati personali

Newsletter

MULTINAZIONALI ED EXPORT DI DATI PERSONALI

I Garanti Ue fissano la procedura per riconoscere l’adeguatezza delle cosiddette "norme vincolanti d’impresa"

Il Gruppo che riunisce le autorità europee per la protezione dei dati ha approvato due documenti (WP107 e WP108, disponibili in lingua inglese all’indirizzo http://www.europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2005/wp107_en.pdf e http://www.europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2005/wp108_en.pdf) attraverso i quali le imprese multinazionali potranno vedere riconosciuta in tutti i Paesi dell’UE la validità delle cosiddette "norme vincolanti d’impresa" ai fini del trasferimento di dati personali verso Paesi terzi che non garantiscono un livello adeguato di protezione dei dati personali.

Le "norme vincolanti d’impresa" (Binding Corporate Rules) sono uno degli strumenti dei quali le imprese multinazionali possono avvalersi per procedere ai trasferimenti di dati personali da Paesi UE verso Paesi terzi "non adeguati". Ricordiamo che la Commissione europea ha autorizzato il ricorso a clausole contrattuali tipo, nonché, limitatamente agli USA, l’adesione agli accordi cosiddetti di "Safe Harbor" per trasferire dati personali verso Paesi terzi garantendo una protezione adeguata.

In passato, le imprese, soprattutto multinazionali, avevano spesso chiesto la disponibilità di un approccio "one-stop-point", ossia di poter dialogare con un solo interlocutore anziché con 25 diverse autorità onde ottenere l’autorizzazione all’impiego delle norme in questione. Questo è adesso possibile attraverso l’approccio elaborato dai Garanti europei, che al contempo garantisce alle autorità di protezione dati la possibilità di svolgere una valutazione congiunta in un quadro di garanzie uniformi e nel rispetto della prerogative di ciascuna.

I Garanti hanno fissato gli aspetti procedurali nel documento WP107, che prevede la designazione di un’autorità di protezione dati quale "leader" della valutazione, alla quale tutte le altre autorità interessate (ossia, quelle dei Paesi UE dai quali devono essere trasferiti dati personali) faranno capo per commenti e osservazioni. La designazione spetta alla società multinazionale, che dovrà rifarsi ai criteri indicati nel documento, fra i quali priorità viene data alla considerazione del Paese ove è situata la capogruppo o la sede centrale europea della multinazionale. Le autorità sono libere o meno di accettare tale designazione sulla base della documentazione prodotta dalla società, eventualmente formulando una contro-proposta. Stabilita l’autorità-leader, la procedura prevede l’elaborazione di una bozza finale di "norme vincolanti d’impresa" che è sottoposta alla valutazione congiunta di tutte le autorità interessate, coordinate dall’autorità-leader; l’accettazione di tale bozza finale vale come riconoscimento dell’adeguatezza delle norme in essa contenute e, quindi, come autorizzazione al loro impiego.

I Garanti hanno poi prodotto un altro documento (WP108), che integra e completa il precedente fornendo indicazioni specifiche sui contenuti delle norme vincolanti d’impresa. Rifacendosi ai criteri fissati in materia con un documento approvato nel giugno 2003 (WP74, del 3 giugno 2003, http://www.europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2003/wp74_en.pdf, v. Newsletter 2-8 giugno 2003), i Garanti hanno elaborato una sorta di "checklist" che le imprese dovranno utilizzare per verificare che le rispettive "norme vincolanti d’impresa" rispondano ai principi fissati nella Direttiva 95/46. Ciò riguarda, in particolare, la dimostrazione dell’effettiva vincolatività delle norme — sia all’interno del gruppo (controllate, collegate, dipendenti, terzi fornitori) sia all’esterno, soprattutto ai fini dell’esercizio dei diritti riconosciuti agli interessati.