Guida alle norme vincolanti d’impresa nel GDPR

Nel nostro articolo dedicato al trasferimento e al trattamento dei dati personali verso un paese terzo o un’organizzazione internazionale abbiamo spiegato quali sono i principi che regolano tali attività, secondo quanto stabilito dal GDPR.

In particolare, abbiamo chiarito che un trasferimento di dati all’estero può essere ritenuto lecito se il titolare e il responsabile del trattamento rispettano le condizioni indicate al capo V del GDPR. Tra queste condizioni ricordiamo, in particolare, la presenza di garanzie adeguate e di una decisione di adeguatezza.
In realtà, titolari e responsabili del trattamento devono rispettare anche le condizioni previste per i BCR, acronimo di Binding Corporate Rules, le cosiddette norme vincolanti d’impresa.

A cosa servono le norme vincolanti d’impresa

Nascono per rendere più agevole la gestione, a livello amministrativo, di quelle società che fanno capo a uno stesso gruppo e che possono avere sedi dislocate in diversi Paesi. Alle società appartenenti a uno specifico gruppo imprenditoriale è offerta la possibilità di trasferire dati personali senza che vi sia l’obbligo di ottemperare a specifici adempimenti, come clausole o autorizzazioni.
Le norme vincolanti d’impresa si traducono concretamente in un documento in cui sono inclusi principi, clausole, garanzie e regole di condotta che è necessario rispettare in presenza di trasferimenti di dati personali che coinvolgano una o più società del medesimo gruppo.
Esse acquisiscono rilevanza anche dal punto di vista giuridico, a tal punto che tutti coloro che, a vario titolo, fanno parte dell’impresa sono tenuti ad osservarle.

L’articolo 47 del GDPR

L’argomento relativo alle norme vincolanti d’impresa viene affrontato in maniera approfondita all’articolo 47 del GDPR. Nel primo paragrafo si fa riferimento al ruolo dell’autorità di controllo competente, cui spetta la decisione di approvare le Binding Corporate Rules, a condizione che siano conformi al principio di coerenza espresso all’articolo 63.

Altri requisiti delle norme vincolanti d’impresa

Esse devono specificare struttura e coordinate di contatto del gruppo imprenditoriale. È necessario indicare con precisione anche le categorie di dati personali oggetto del trasferimento nonché la tipologia di trattamento, le finalità, i soggetti interessati dal trattamento e l’individuazione di uno o più paesi terzi coinvolti nel procedimento.

I diritti dell’interessato

L’articolo 47 illustra con chiarezza anche i diritti in capo ai soggetti interessati. Le norme vincolanti d’impresa devono, infatti, garantire all’interessato:

  • La possibilità di non essere sottoposto a decisioni basate esclusivamente su un trattamento di tipo automatizzato;
  • Il diritto di sporgere reclamo presso l’autorità di controllo competente e di tutelarsi presso le autorità giurisdizionali competenti degli Stati membri;
  • Il diritto di ottenere sia riparazione che risarcimento per violazione delle Binding Corporate Rules

Responsabilità del titolare e/o del responsabile del trattamento

Il titolare e/o il responsabile del trattamento si fa carico di qualunque violazione delle norme vincolanti d’impresa compiuta da un membro interessato non residente in uno dei Paesi dell’Unione Europea. La mancata responsabilità scatta solo se il titolare o il responsabile riescono a dimostrare che il fatto dannoso non è stato cagionato dal soggetto in questione.

L’importanza della formazione

È fondamentale fornire al personale incaricato di accedere su base regolare o permanente ai dati personali degli utenti un’adeguata formazione.

Il monitoraggio

Altro aspetto importante e molto delicato è quello relativo al monitoraggio a livello interno. Il gruppo imprenditoriale deve condurre periodicamente dei controlli per assicurarsi che tutte le società del gruppo rispettino allo stesso modo i dettami delle norme vincolanti d’impresa.

Il ruolo della Commissione

La Commissione ha la possibilità d’indicare in maniera chiara sia il formato che le procedure da utilizzare affinché tra titolari del trattamento, responsabili del trattamento e autorità di controllo vi sia uno scambio d’informazioni adeguato relativo alle norme vincolanti d’impresa.