Sono uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi (extra-UE) tra società facenti parti dello stesso gruppo d'impresa.

 

Si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).

 

Le Bcr costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali. La materia del trasferimento dei dati personali all’estero è sempre stata oggetto di grande attenzione in ambito europeo per i suoi inevitabili risvolti in materia di privacy per cui sia la Direttiva comunitaria 95/46/CE che l’attuale Regolamento Europeo n. 2016/679 hanno previsto particolari cautele in tale settore.

 

In particolare l’art. 44 del GDPR come principio generale sancisce che qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un'organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un'organizzazione internazionale verso un altro paese terzo o un'altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui capo V del Regolamento. Tutte le disposizioni sono applicate al fine di assicurare che il livello di tutela delle persone fisiche garantito dal Regolamento non sia pregiudicato.

 

Il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso, innanzitutto, se la Commissione ha deciso che il paese terzo, o un territorio o uno o più settori specifici all'interno del paese terzo, o l'organizzazione internazionale in questione garantiscano un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche (art. 45).

 

In mancanza di una valutazione di adeguatezza il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un'organizzazione internazionale solo se ha offerto garanzie adeguate e a condizione che siano disponibili diritti azionabili degli interessati e mezzi di ricorso effettivi per gli interessati (art. 46).

 

Il trasferimento dei dati verso paesi terzi può anche avvenire quando vi siano norme vincolanti d’impresa (art. 47) che però devono essere approvate dall’Autorità di controllo purché:

 

a) siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo di imprese o gruppi di imprese che svolgono un'attività economica comune, compresi i loro dipendenti;

 

b) conferiscano espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali;

 

c) soddisfino tutta una serie di requisiti quali l’indicazione della struttura e delle coordinate di contatto del gruppo d'imprese in questione e di ciascuno dei suoi membri; l’indicazione dei trasferimenti o il complesso di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l'identificazione del paese terzo o dei paesi terzi in questione; l'applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione della finalità, alla minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualità dei dati, alla protezione fin dalla progettazione e alla protezione di default, ecc.

 

Appare quindi evidente che nella materia della tutela dei dati personali vi è da sempre la preoccupazione che, proprio al fine di eludere le protezioni offerte dalle legislazioni degli Stati, i dati personali vengono trasferiti all’estero, verso paesi con una minore, o con nessuna, legislazione sul punto della protezione degli individui rispetto al trattamento dei dati personali.

 

La stessa Autorità Garante ha sempre sostenuto che per superare gli ostacoli relativi al trasferimento di dati personali presso paesi terzi vengono predisposti su scala europea alcuni contratti-tipo che hanno permesso di regolare in modo uniforme, e tendenzialmente agevole, diversi flussi di dati verso Paesi terzi nei quali operino titolari del trattamento autonomi rispetto al soggetto esportatore, oppure strutture che agiscono in funzione strumentale quali "responsabili" del trattamento.

 

Il problema è che questo sistema non funziona al meglio per molti gruppi multinazionali in quanto nell’ambito degli stessi l'impiego di modelli contrattuali standardizzati viene avvertito, a volte, come farraginoso, poiché ciascuna società stabilita all'interno dello Spazio economico europeo e appartenente ad un medesimo gruppo multinazionale deve comunque includere le garanzie previste dai predetti schemi tipo in un suo contratto con le società del gruppo situate in Paesi terzi.

 

Al fine di risolvere tale problematica le autorità garanti d'Europa, riunite nel gruppo istituito ai sensi dell'art. 29 della direttiva 95/46/CE (c.d. Gruppo art. 29), hanno preso in considerazione ulteriori strumenti, rispetto a quello contrattuale, che possano assicurare anch'essi un livello adeguato di protezione per i diritti degli interessati, con particolare riguardo al trasferimento all'estero dei dati personali nell'ambito dei gruppi multinazionali.

 

Il Gruppo ha operato alcune prime valutazioni con riserva di eventuali situazioni specifiche connesse a singole realtà nazionali, ravvisando un'interessante prospettiva di lavoro nelle regole di comportamento che una società capogruppo può impartire, generalmente all'interno di appositi codici di condotta interni al gruppo multinazionale e resi vincolanti per tutte le società ad esso appartenenti.

 

Tali regole, ormai conosciute nella prassi applicativa come "binding corporate rules", sono state ritenute come uno strumento astrattamente idoneo ad assicurare un livello adeguato di protezione per i diritti degli interessati, compatibile con la disciplina contenuta nella direttiva 95/46/CE sempreché siano vincolanti sia all'interno che all’esterno del gruppo di società.

 

Il rilascio di un'autorizzazione al trasferimento di dati personali tramite Bcr consente alle filiali della multinazionale che ne abbia fatto richiesta, anche se stabilite in diversi Paesi, di trasferire, all'interno del gruppo d'impresa, i dati personali oggetto delle Bcr, senza ulteriori adempimenti (quali ad esempio la sottoscrizione di Clausole contrattuali tipo, l'adesione ad accordi internazionali, il rilascio di specifiche autorizzazioni).

 

Il testo di Bcr contiene i principi fondamentali in materia di protezione dei dati personali sanciti dalla normativa europea secondo lo schema elaborato dal Gruppo "Articolo 29" dei Garanti Europei (il WP 74 e il WP 153).

 

In particolare: i principi di correttezza e legittimità del trattamento, di finalità, necessità e proporzionalità dei dati, l'obbligo del titolare di rilasciare idonea informativa all'interessato, i diritti dell'interessato, le misure di sicurezza prescritte dalla legge, il diritto dell'interessato ad ottenere il risarcimento del danno connesso al mancato rispetto delle Bcr da parte di una società del gruppo (c.d. clausola del terzo beneficiario).

 

Oneri ulteriori, inoltre, sono imposti al gruppo multinazionale d'impresa che deve garantire tra l'altro: la predisposizione di un programma di training del personale in materia di protezione dei dati personali; l'implementazione di un meccanismo di gestione del contenzioso e delle segnalazioni connesse alle Bcr; la conduzione periodica di audit al fine di verificare il rispetto delle Bcr da parte delle società del gruppo; la creazione di un network di privacy officers o di uno staff che si occupi di monitorare il rispetto delle Bcr e di gestire le segnalazioni degli interessati. Per un modello esemplificativo di testo di Bcr, si rinvia al documento WP 154.

 

La procedura per la definizione del testo di Bcr prevede una fase "europea" ed una fase "nazionale"; quest'ultima è finalizzata al rilascio dell'autorizzazione nazionale (ove necessaria, come in Italia).

4. Procedura a livello europeo 

Dal momento che le Bcr hanno ad oggetto i flussi di dati personali tra società appartenenti a un unico gruppo di impresa e dislocate in diversi paesi del mondo, l'autorizzazione al trasferimento transfrontaliero di dati tramite Bcr trova una sua utilità esclusivamente se rilasciata da tutte le Autorità di protezione dei dati (Data Protection Authorities – "DPAs") competenti negli Stati Membri da cui hanno origine i trasferimenti.

 

Per questo motivo, il Gruppo Articolo 29 ha elaborato una procedura di cooperazione a livello europeo (v. WP 107) in grado di assicurare la predisposizione di un testo di Bcr condiviso da tutte le Autorità e valevole per tutti i trasferimenti oggetto delle Bcr medesime.

 

Tale procedura è condotta da una sola Autorità (c.d. "lead Authority") la quale dialoga, in rappresentanza di tutte le altre DPA, con la società capogruppo.

 

In particolare, la lead Authority esamina la bozza di Bcr presentata dalla società (c.d. "consolidated draft"), la invia alle altre Autorità per riceverne eventuali commenti (Fase 1) e dialoga con la società per la predisposizione di un testo che accolga tutte le osservazioni formulate (c.d. "final draft" - Fase 2).

 

Il documento così redatto è inviato alle Autorità partecipanti alla procedura, al fine di ottenerne una valutazione positiva in termini di adeguatezza del livello di protezione dei dati personali. Di recente, alcune Autorità (fra cui il Garante) hanno aderito ad una dichiarazione di intenti, c.d. "dichiarazione di Mutuo riconoscimento", al fine di semplificare la procedura di approvazione del testo di Bcr a livello europeo, velocizzandone la relativa tempistica.

 

Ai sensi di tale nuovo modello, la lead Authority, con il supporto di altre due Autorità, dialoga con la società capogruppo al fine di giungere alla predisposizione di un testo ritenuto in linea con i principi fissati dai documenti del Gruppo Articolo 29 in materia di Bcr (WP 74; WP 108; WP 153 ) (Fase 1)

 

Il parere con il quale la lead Authority attesta la conformità del testo di Bcr ai principi sopra indicati è considerato dalle altre Autorità aderenti al sistema di Mutuo riconoscimento quale fondamento sufficiente al rilascio della rispettiva autorizzazione nazionale (Fase 2).

 

 Qualora la singola Autorità si esprima a favore del testo di Bcr, ovvero una volta raggiunta la definizione di un testo di Bcr giudicato conforme dalla lead Authority in base alla procedura semplificata sopra descritta, l'Autorità nazionale potrà procedere al rilascio di un'autorizzazione nazionale al trasferimento dei dati personali oggetto del testo medesimo, ove prevista (Fase 3). In particolare il titolare del trattamento stabilito sul territorio dello Stato italiano deve trasmettere al Garante una specifica richiesta di autorizzazione ai trasferimenti di dati personali dal territorio dello Stato verso Paesi Terzi tramite Bcr.

 

 

- le tipologie di dati personali oggetto delle attività di trasferimento per cui si chiede l'autorizzazione (es. dati relativi al personale dipendente, ai clienti, ai fornitori ecc.);

- le finalità oggetto delle attività di trasferimento, specificandole per tipologia di dato trasferito (es. i dati relativi al personale dipendente saranno trasferiti per finalità amministrativo-contabili; i dati relativi ai clienti saranno trasferiti per finalità di marketing ecc.);

- i rapporti esistenti tra la società capogruppo e la società che presenta la richiesta di autorizzazione al fine di dimostrare che quest'ultima ha assunto un impegno giuridicamente vincolante al rispetto delle Bcr medesime.

 

- il testo di cui si compongono le Bcr con i rispettivi allegati in lingua inglese e in lingua italiana (quest'ultima asseverata da traduzione giurata); 

- l'application form (WP 133) predisposta dalla società capogruppo in lingua inglese e in lingua italiana (per tale documento non è richiesta la traduzione giurata);

- l'attestazione dell'avvenuto pagamento dei diritti di segreteria, il cui ammontare, con riferimento ai procedimenti relativi alle richieste di autorizzazione al trasferimento dei dati verso Paesi non appartenenti all'Unione europea, è stato quantificato, con determinazione dell'Ufficio del 15 gennaio 2005, nella misura di euro 1000,00 (mille) per ciascun titolare del trattamento stabilito nel territorio dello Stato. Il versamento di tale importo può essere effettuato mediante versamento postale sul conto corrente postale n. 51620359 intestato a: "Garante per la protezione dei dati personali, Piazza di Monte Citorio, 121, 00186 Roma".

 

I termini del procedimento sono di 45 gg. dalla ricezione della richiesta.

 

La fase istruttoria presso l'Autorità può comportare la richiesta di maggiori informazioni o di ulteriore documentazione al titolare o rendere opportuna l'organizzazione di un incontro con titolare presso l'Autorità.

 

Al termine del procedimento, il Garante comunica al richiedente la decisione adottata.

 

Fonte: altalex