Parere 02/2014 - WP 212

relativo a un repertorio dei requisiti relativi alle normevincolanti di impresa presentate alle autorità di protezione dei dati nazionalidell'Unione europea e alle norme transfrontaliere in materia di privacypresentate agli agenti responsabili delle CBPR dei paesi dell'APEC

adottato il 27 febbraio 2014 ²

Lavori congiunti condotti dagli esperti del Gruppodi lavoro "articolo 29" e dei paesi dell'APEC, relativi a unrepertorio dei requisiti relativi alle norme vincolanti di impresa presentatealle autorità di protezione dei dati nazionali dell'Unione europea e alle normetransfrontaliere in materia di privacy presentate agli agenti responsabilidelle CBPR dei paesi dell'APEC.

CONSIDERAZIONI GENERALI

Scopo del repertorio

Ilpresente repertorio intende fungere da lista di controllo pratica e informaleper le organizzazioni che richiedono l'approvazione delle proprie normevincolanti di impresa (Binding Corporate Rules - BCR) e/o lacertificazione delle proprie norme transfrontaliere in materia di privacy (CrossBorder Privacy Rules - CBPR),agevolando in tal modo l'elaborazione e l'adozione di politiche in materia diprotezione dei dati personali conformi a ciascuno dei due sistemi.

Ilrepertorio non si prefigge lo scopo di giungere al reciproco riconoscimento diambedue i sistemi, ma potrebbe costituire la base per la doppia certificazione. In ogni caso,le politiche in materia di protezione dei dati delle società internazionalirichiedenti che operano sia nell'Unione europea sia nella zona dell'APEC devono essere rispettivamente approvate dagliorgani competenti degli Stati membri dell'Unione e dei paesi dell'APEC,conformemente alle relative procedure di approvazione.

Contesto

Gliesperti del Gruppo di lavoro "articolo 29" delle autorità diprotezione dei dati dell'Unione europea (nel prosieguo "WP29")1 e i paesifacenti parte del Sottogruppo sulla privacy dei dati dell'APEC hanno sviluppatouno strumento pratico per mappare i rispettivi requisiti in materia di BCR e diCBPR (nel prosieguo "repertorio")2.

Ilpresente repertorio elenca, in un unico documento, i principali elementigeneralmente richiesti dalle autorità di protezione dei dati (nel prosieguo"DPA") nazionali dell'Unione europea, da un lato, e dagli organi competenti deipaesi dell'APEC, dall'altro, nelle politiche in materia di privacy presentateper l'autorizzazione come BCR alle DPA nazionali dell'Unione europea, secondole norme in materia di protezione dei dati applicabili negli Stati membridell'Unione, e/o come CBPR secondo le norme applicabili nei paesi dell'APEC.

Ilrepertorio è stato avallato dai massimi funzionari dell'APEC in occasione dellariunione tenutasi il 27-28 febbraio 2014 e il Gruppo di lavoro "articolo29" ha adottato un parere/documento di lavoro al riguardo nella riunioneplenaria del 26-27 febbraio 2014.

Struttura del repertorio

Ilrepertorio comprende, per ciascuno dei principi e delle prescrizioni essenzialidei sistemi:

∑_un "blocco comune" in cui sidescrivono i principali elementi comuni o simili delle BCR e delle CBPR;

∑_"blocchi aggiuntivi" cheillustrano le principali differenze e gli ulteriori elementi specifici delleBCR, da un lato, e delle CBPR, dall'altro.

Benchénel blocco comune si ravvisi una certa comunanza tra ciò che è obbligatorio neisistemi CBPR e BCR, tale blocco, da solo, non è sufficiente per ottenere né lacertificazione di CBPR da parte di un agente responsabile dell'APECriconosciuto né l'approvazione di BCR da parte di una DPA nazionale dell'Unioneeuropea. Infatti, anche gli elementi contenuti nel blocco aggiuntivo delle BCR devono essere tenuti presenti daun'organizzazione che richieda l'approvazione delle proprie BCR da parte delleautorità di protezione dei dati, così come anche gli elementi contenuti nelblocco aggiuntivo delle CBPR devonoessere tenuti presenti da un'organizzazione che richieda lacertificazione delle proprie CBPR da parte di un agente responsabile dell'APEC.

REPERTORIO DEI REQUISITI RELATIVIALLE NORME VINCOLANTI DI IMPRESA PRESENTATE ALLE AUTORITà DI PROTEZIONE DEIDATI NAZIONALI DELL'UNIONE EUROPEA E ALLE NORME TRANSFRONTALIERE IN MATERIA DIPRIVACY PRESENTATE AGLI AGENTI RICONOSCIUTI RESPONSABILI DELLE CBPR DEI PAESIDELL'APEC

SINTESI

Introduzione

Scopoe struttura

Ambitodi applicazione

Repertorio dei requisiti in materia di privacy eprotezione dei dati personali delle BCR e delle CBPR

1.Obiettivo delle norme in materia di privacy e protezione dei dati personali diun'organizzazione

2.Ambito di applicazione delle norme in materia di privacy e protezione dei datipersonali di un'organizzazione

3.Obbligazione esecutiva all'interno di un'organizzazione

4.Mezzi di ricorso per gli interessati e diritti dei terzi beneficiari

5.Responsabilità

6.Obbligazioni esecutive riguardanti trasferimenti a terzi

7.Relazioni con incaricati del trattamento che sono membri del gruppo

8.Limitazioni imposte a trasferimenti e successivi trasferimenti a incaricati eresponsabili del trattamento esterni (non membri del gruppo)

9.Definizioni

10.Raccolta, trattamento e uso di informazioni di carattere personale

11.Qualità e proporzionalità/integrità dei dati

12.Motivi per il trattamento di dati personali

13.Dati sensibili

14.Trasparenza e diritto all'informazione/informativa

15.Diritti di accesso, rettifica, cancellazione e blocco dei dati/accesso ecorrezione

16.Diritto di opposizione/possibilità di scelta

17.Decisioni individuali automatiche

18.Sicurezza e riservatezza

19.Programma di formazione

20.Sorveglianza e programma di controllo

21.Conformità e controllo della conformità

22.Meccanismi interni di rispetto delle norme

23.Aggiornamenti delle norme in materia di privacy e protezione dei dati personalidi un'organizzazione

24.Azioni in caso di rischio che la legislazione locale precluda la possibilità dirispettare le norme in materia di privacy e protezione dei dati personalidell'organizzazione e in caso di richieste di accesso da parte di autoritàincaricate dell'applicazione della legge

25.Assistenza reciproca e cooperazione con le DPA nazionali dell'Unioneeuropea/PEA dell'APEC

26.Relazione tra normative locali e norme in materia di privacy e protezione deidati dell'organizzazione

27.Disposizioni finali

Appendici

Appendice1. Documentazione che deve essere presentata da un'organizzazione che richiedal'approvazione delle proprie BCR da parte delle DPA nazionali dell'Unioneeuropea e da un'organizzazione che richieda la certificazione delle proprieCBPR da parte degli agenti responsabili dell'APEC

Introduzione

Ilpresente documento (nel prosieguo "repertorio") individua i requisiti comuni osimili sia alle norme vincolanti di impresa (nel prosieguo "BCR"), generalmenteautorizzate dalle autorità di protezione dei dati nazionali dell'Unione europea(nel prosieguo "UE") per i trasferimenti di dati personali al di fuoridell'Unione ma all'interno di un gruppo societario, sia al sistema delle normetransfrontaliere in materia di privacy (nel prosieguo "CBPR") dellaCooperazione economica Asia-Pacifico (nel prosieguo "APEC").

Ilrepertorio identifica, inoltre, gli ulteriori elementi necessari perl'approvazione di BCR e la certificazione di CBPR per quanto concerne ilprocesso di autorizzazione e di verifica della conformità sia delle autorità diprotezione dei dati (nel prosieguo "DPA") nazionali dell'Unione europea siadegli agenti responsabili in materia CBPR dell'APEC. Il repertorio nonpregiudica l'autorizzazione individuale delle BCR da parte delle DPAconformemente al diritto dell'Unione europea in materia di protezione dei datiné la certificazione di CBPR da parte degli agenti responsabili delle CBPRriconosciuti dell'APEC (nel prosieguo "agenti responsabili dell'APEC").Inoltre, il repertorio non pregiudica l'applicazione delle norme da parte dellecompetenti autorità di vigilanza e/o delle autorità incaricatedell'applicazione della legge.

Ilrepertorio non fornisce necessariamente un'analisi completa di tutti glielementi delle BCR e delle CBPR né l'unico modo per mappare i due sistemi. Nondeve essere, pertanto, considerata un parere giuridico né l'espressione dellaposizione ufficiale di una delle organizzazioni che hanno partecipato al suosviluppo.

Scopo e struttura

Ilpresente documento di consultazione è volto ad agevolare l'attuazione dellenorme in materia di privacy e protezione dei dati personali da parte diun'organizzazione, affinché possa conformarsi più facilmente ai requisiti inmateri di BCR e CBPR. Il documento intende fungere da lista di controllopratica per le organizzazioni che intendano elaborare e introdurre politiche inmateria di privacy in vista di una contestuale domanda di autorizzazione di BCRda parte delle DPA nazionali dell'Unione europea e di certificazione di CBPR daparte di un agente responsabile dell'APEC.

Ildocumento è inteso a servire da strumento comparativo al servizio delleorganizzazioni che stiano vagliando l'ipotesi di presentare una di domanda diapprovazione di BCR presso le DPA nazionali dell'Unione europea e dicertificazione di CBPR da parte di un agente responsabile dell'APEC, ossia unadoppia certificazione. Il repertorio offre infatti, in un unico documento, unraffronto tra i requisiti in materia di BCR e di CBPR per agevolareun'organizzazione nella formulazione di norme in materia di privacy eprotezione dei dati personali, in modo che rispetti i requisiti di ambedue isistemi, nonché nell'applicazione di tali norme alle proprie entità,controllate e consociate (nel prosieguo "gruppo"). La conformità all'uno oall'altro sistema può essere determinata formalmente soltanto attraverso gliappositi processi riconosciuti previsti da ciascun sistema, in linea con irequisiti stabiliti dal quadro applicabile.

Ilrepertorio è strutturato come segue: per ogni requisito individuato, è previstoun blocco di elementi comuni o simili, che sono indispensabili sia per le BCRche per le CBPR, seguito da blocchi aggiuntivi per ciascun requisito delle BCRe delle CBPR in cui si elencano gli elementi che differenziano i due sistemi.Tali blocchi aggiuntivi possono anche contenere eccezioni e chiarimenti suirequisiti dei due sistemi. Benché nei blocchi comuni si ravvisi una certacomunanza tra ciò che è obbligatorio nei sistemi CBPR e BCR, tali blocchi, dasoli, non sono sufficienti per ottenere né la certificazione di CBPR da partedi un agente responsabile dell'APEC riconosciuto né l'autorizzazione delle BCRda parte di un'autorità di protezione dei dati dell'Unione europea. Infatti,anche gli elementi contenuti nei blocchi aggiuntivi delle BCR devono esseretenuti presenti da un'organizzazione che richieda l'approvazione BCR da partedelle autorità di protezione dei dati, così come gli elementi contenuti neiblocchi aggiuntivi delle CBPR devono essere tenuti presenti daun'organizzazione che richieda la certificazione di CBPR da parte di un agenteresponsabile dell'APEC.

Vanotato che possono esistere differenze notevoli tra i requisiti generalmenteimposti dalle DPA nazionali dell'Unione europea per l'approvazione di BCR, inparticolare quelli derivanti dalle norme dell'Unione in materia di protezionedei dati, e i requisiti del programma in materia di CBPR. Parimenti esistonodifferenze tra i rispettivi obiettivi, ambiti di applicazione e processi diverifica dei sistemi BCR e CBPR. In ragione di tali differenze, alcunirequisiti delle BCR e delle CBPR non sono totalmente compatibili. Pertanto, perevitare conflitti con le norme applicabili, le organizzazioni richiedentidevono formulare in maniera estremamente chiara l'ambito di applicazione delleloro norme in materia di privacy e protezione dei dati personali e, nella lorodomanda, devono operare una chiara distinzione tra i casi in cui applicherannole norme in materia di protezione dei dati dell'Unione europea e/o quelli incui applicheranno i requisiti del programma CBPR dell'APEC, in quanto i datipersonali devono essere trattati nel rispetto delle corrispondenti prescrizionidel diritto in materia di protezione dei dati dell'Unione e/o delle norme deipaesi dell'APEC.

Lenorme in materia di privacy e protezione dei dati personali di un'organizzazionedevono essere concepite in maniera mirata per riflettere la struttura delgruppo al quale si applicano, il trattamento svolto dal gruppo, nonché lepolitiche e le procedure in essere per proteggere i dati personali. » dunqueopportuno che le organizzazioni prendano atto del fatto che le DPA nazionalidell'Unione europea e gli agenti responsabili delle CBPR riconosciuti dell'APECnon accettano un semplice "copia e incolla" del presente repertorio.

Ambito di applicazione

Lacertificazione di CBPR è riservata esclusivamente alle organizzazionicertificate all'interno di un paese che abbia aderito al sistema CBPR. L'ambitodella certificazione CBPR di una specifica organizzazione si limita alleentità, alle controllate e alle consociate identificate nella corrispondentedomanda di certificazione CBPR.

Qualunqueorganizzazione che intenda trasferire dati personali da Stati membridell'Unione europea a destinatari situati in paesi al di fuori dell'UE puòpresentare domanda presso una DPA nazionale dell'Unione per l'approvazionedelle proprie BCR. L'ambito di applicazione delle BCR di una specificaorganizzazione si limita alle entità, alle controllate e alle consociateidentificate nella corrispondente domanda di approvazione BCR. La correttaattuazione delle BCR, una volta approvate, fornisce garanzie adeguate pertrasferire dati da dette entità dell'Unione identificate a entità, controllatee consociate non situate nell'UE parimenti identificate (come specificato nelladomanda dell'organizzazione).

Lenorme in materia di privacy e protezione dei dati personali applicabili aitrasferimenti transfrontalieri di dati personali possono, se approvateconformemente alle rispettive procedure, costituire la politicadell'organizzazione o del gruppo per tutti i dati personali trattatidall'organizzazione o dal gruppo definito secondo l'approvazione delle sue BCRda parte delle DPA nazionali dell'Unione europea e la certificazione delle sueCBPR da parte degli agenti responsabili dell'APEC. Nel caso in cui i datipersonali siano trattati³ nell'Unioneeuropea⁴, valgono anche le prescrizioni del diritto in materia diprotezione dei dati dell'UE. Se i dati personali sono trattati in paesedell'APEC, si applicano le norme della corrispondente giurisdizione.

Ilpresente repertorio si basa sui seguenti documenti:

UE:

- Direttiva95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativaalla tutela delle persone fisiche con riguardo al trattamento dei datipersonali, nonché alla libera circolazione di tali dati, nel prosieguo "direttiva 95/46",

- Legislazioninazionali che attuano la direttiva 95/46/CE,

- Workingdocument: Transfers of personal data to third countries: Applying Article 26(2) of the EU Data Protection Directive to Binding Corporate Rules forInternational Data Transfers (WP74),adottato dal Gruppo di lavoro "articolo 29" il 3 giugno 2003, nelprosieguo "WP74",

- WorkingDocument Establishing a Model Checklist Application for Approval of BindingCorporate Rules (WP108),adottato dal Gruppo di lavoro "articolo 29" il 14 aprile 2005, nelprosieguo "WP108",

- Recommendation1/2007 on the Standard Application for Approval of Binding Corporate Rules forthe Transfer of Personal Data (WP133),adottato dal Gruppo di lavoro "articolo 29" il 10 gennaio 2007, nelprosieguo "WP133",

- Workingdocument setting up a table with the elements and principles to be found inBinding Corporate Rules (WP153),adottato dal Gruppo di lavoro "articolo 29" il 24 giugno 2008, nelprosieguo "WP153",

- Workingdocument setting up a framework for the structure of Binding Corporate Rules (WP154), adottato dal Gruppo di lavoro "articolo29" il 24 giugno 2008, nel prosieguo "WP154",

- Workingdocument on Frequently Asked Questions (FAQs) related to Binding CorporateRules (WP155), adottato dalGruppo di lavoro "articolo 29" il 24 giugno 2008, rivisto e adottatol'8 aprile 2009, nel prosieguo "WP155".

APEC:

- APECPrivacy Framework (Quadro inmateria di privacy dell'APEC), nel prosieguo "Quadro in materia di privacy APEC"

- APECCross-Border Privacy Rules System, Policies, Rules and Guidelines (Politiche, norme e orientamenti del sistema CBPR dell'APEC),nel prosieguo "Politiche, norme eorientamenti CBPR"

- APECCooperation Arrangement for Cross-Border Privacy Enforcement (Accordo di cooperazione transfrontaliera sull'applicazionedella legge in materia di privacy dell'APEC), nel prosieguo "CPEA"

- TemplateNotice of Intent to Participate in the APEC Cross-Border Privacy Rules System (Modello di lettera d'intenti di adesione al sistema CBPRdell'APEC), nel prosieguo "Modello dilettera d'intenti"

- AccountabilityAgent APEC Recognition Application (Domandadi riconoscimento per agenti responsabili dell'APEC), nel prosieguo "Domanda di riconoscimento"

- APECCross-Border Privacy Rules System Intake Questionnaire (Questionario di adesione al sistema CBPR dell'APEC), nelprosieguo "Questionario di adesioneCBPR"

- APECCross-Border Privacy Rules System Program Requirements (Requisiti del programma CBPR dell'APEC), nel prosieguo "Requisiti del programma CBPR"

Repertorio dei requisiti in materia di privacy eprotezione dei dati personali delle BCR e delle CBPR

1. Obiettivo delle norme in materia di privacy eprotezione dei dati personali di un'organizzazione

Elementi comuni necessari per l'approvazione di BCRe la certificazione di CBPR

Lenorme in materia di privacy e protezione dei dati personali diun'organizzazione devono:

∑_garantire un'adeguata protezione per il trasferimento e il trattamento deidati personali da parte del gruppo, conformemente ai requisiti dei processi diapprovazione delle BCR e di certificazione di CBPR^[5]; e

∑_imporre all'organizzazione un'obbligazione esecutiva al fine di garantire ilrispetto delle norme in materia di privacy e protezione dei dati personali ^[6] (cfr. sezioni 3 e 21 del repertorio);

∑_contenere riferimenti alle norme vigenti in materia di protezione dei dati ^[7].

Elementi supplementari necessari per l'approvazionedi BCR

Lenorme in materia di privacy e protezione dei dati personali diun'organizzazione devono contenere un obbligo chiaro, per tutti i membri delgruppo e i dipendenti, di interpretare e rispettare le norme in materia diprivacy e protezione dei dati personali dell'organizzazione secondo lenormative applicabili^[8]

Elementi supplementari necessari per lacertificazione di CBPR

Nelcaso in cui le disposizioni di legge nazionali siano più rigorose di quantoprevisto dal sistema CBPR, le corrispondenti normative e regolamentazioninazionali continueranno a essere pienamente applicabili.

Ovei requisiti del sistema CBPR siano più rigorosi delle disposizioni dellenormative e delle regolamentazioni nazionali, l'organizzazione dovrà attuarevolontariamente le prescrizioni del sistema CBPR per aderire al programma.Nondimeno, le autorità incaricate dell'applicazione della legge in materia diprivacy nel relativo paese devono avere la facoltà di intraprendere azionicoercitive in applicazione di corrispondenti normative e regolamentazioninazionali che abbiano l'effetto di proteggere le informazioni personaliconformemente ai requisiti del programma in materia di CBPR ^[9] (cfr. anche 26, Relazione tra normative locali e norme inmateria di privacy e protezione dei dati personali