Norme aziendali vincolanti (BCR) per trasferimento extra UE infragruppo di dati personali
Lo scorso 11 aprile il Gruppo Art. 29 ha emanato la revisione del documento che descrive la procedura di approvazione delle Norme aziendali vincolanti - BCR (WP263 rev.01) e un provvedimento relativo al modello standard per presentare la domanda per la validazione delle stesse Binding Corporate Rules, finalizzate al trasferimento infragruppo di dati personali fuori dal SEE.
Il regolamento generale sulla protezione dei dati (UE) 2016/679 (“GDPR”) consente il trasferimento dei dati personali al di fuori del SEE solo quando il paese terzo fornisce un “livello adeguato di protezione” per i dati (articolo 45) o quando il titolare del trattamento aggiunge adeguate garanzie in materia di tutela della privacy (articolo 46). Le BCR, ovvero le norme aziendali vincolanti, sono uno dei modi in cui tali garanzie adeguate (articolo 47) possono essere offerte da un gruppo di imprese o da un gruppo di imprese impegnate in una specifica attività economica comune.
Ai sensi dell’articolo 64 lett. f. del GDPR, l’uso delle BCR come salvaguardia appropriata per i trasferimenti internazionali di dati dal SEE richiede l’approvazione dell’autorità di vigilanza competente secondo il meccanismo di coerenza stabilito all’articolo 63. Il Gruppo Art. 29 ha preparato, a tal proposito, un modulo destinato alle società che richiedono l’approvazione delle BCR. Il modulo si basa su documenti precedentemente emessi dal gruppo di lavoro delle autorità europee per la protezione dei dati, nello specifico il WP133 e intende aiutare i titolari del trattamento interessati a dimostrare come soddisfare i requisiti richiesti dall’articolo 47 del GDPR.
Il Gruppo Art. 29 offre nel documento anche le istruzioni su come compilare il modulo e presentarlo all’autorità di controllo, chiarendo in dettaglio che una copia del modulo stesso, una volta compilata, va presentata all’Autorità di controllo che si ritiene sia competente, ai sensi degli articoli 47 e 64. Al modulo possono essere allegati anche altri documenti, considerando che l’intera documentazione sarà condivisa tra le Autorità interessate al trasferimento di dati e dal Comitato europeo per la protezione dei dati personali (EDPB) che, ai sensi dell’articolo 64, deve emettere il suo parere sul progetto di approvazione della bozza delle BCR.
Una volta inviato il modulo, l’Autorità di controllo ricevente, trasmetterà la prima parte del modulo a tutte le autorità di controllo interessate al fine di determinare l’autorità di controllo capofila.
Il titolare sarà informato, dall’Autorità di controllo cui è stato inviato il modulo, in merito all’Autorità di controllo nominata capofila che gestirà il processo di approvazione delle BCR. Tale autorità coopererà con le altre interessate al fine di valutare la conformità delle BCR al regolamento; successivamente, l’autorità capofila si preoccuperà di trasmettere il resto del modulo, inclusa la bozza di BCR, a tutte le altre autorità di controllo interessate, al fine di raccogliere le proprie opinioni da inviare al Comitato europeo per la protezione dei dati personali (EDPB) insieme al parere sulle BCR.
A chi spetta compilare il modulo?
Il modulo deve essere compilato e presentato a nome della capogruppo che ha sede sul territorio dello spazio SEE; se tale soggetto giuridico non ha sede centrale sul territorio dello spazio economico europeo, allora è necessario nominare un rappresentante preferibilmente stabilito nel paese dell’autorità di controllo capofila delle BCR, in qualità di membro del gruppo con delega alla responsabilità per la protezione dei dati. Questa è l’entità che dovrebbe quindi presentare la domanda per conto del Gruppo.
Come individuare l’Autorità di controllo cui inviare la domanda?
Dopo aver compilato la parte relativa alle indicazioni del soggetto istante, è necessario descrivere i flussi e la natura dei dati per cui si richiede l’approvazione delle BCR in modo completo.
L’istante dovrebbe spiegare nella domanda i motivi che lo hanno spinto a scegliere quella determinata autorità di controllo come soggetto competente a curare la pratica sulla base dei criteri indicati nel documento di lavoro WP263, con cui il Gruppo di lavoro art. 29 offre chiarimenti sulla procedura di approvazione delle BCR e sui criteri per individuare l’Autorità di controllo capofila, tenendo conto del fatto che le autorità di controllo indicate non sono obbligate ad accettare la scelta fatta se ritengono che un’altra Autorità sia più adatta a ricoprire il ruolo di Autorità di controllo capofila per le BCR, anche in base al carico di lavoro di quel momento.
Per individuare l’autorità di controllo capofila, occorre tenere presenti i seguenti elementi:
- la posizione (i) della sede europea del Gruppo;
- l’ubicazione dell’azienda del Gruppo delegata alla responsabilità di protezione dei dati;
- l’ubicazione dell’azienda che si trova nella posizione migliore (in termini di funzione di gestione, oneri amministrativi, ecc.) per trattare l’applicazione e far rispettare le norme aziendali vincolanti nel Gruppo;
- il luogo in cui vengono prese la maggior parte delle decisioni in termini di finalità e mezzi del trattamento (ad esempio il trasferimento); e
- lo Stato membro all’interno dell’UE da cui avranno luogo la maggior parte o tutti i trasferimenti al di fuori del SEE.
Su cosa concentrarsi per ottenere l’approvazione?
Affinché le BCR siano approvate per legittimare con esse il trasferimento di dati personali, è necessario dimostrare che esse hanno effetti giuridicamente vincolanti sia internamente (tra le entità del gruppo, sia dipendenti e subappaltatori) che esternamente (a beneficio dei soggetti i cui dati personali sono trattati dal Gruppo - interessati) in conformità con la legislazione nazionale. A tal proposito, la domanda dovrà chiarire che l’onere della prova in relazione a una presunta violazione delle regole sarà a carico di un membro del gruppo stabilito sul territorio di uno Stato membro (ad esempio, il membro all’origine del trasferimento o la sede centrale europea o quella parte dell’organizzazione delegata alla responsabilità di protezione dei dati), indipendentemente dal luogo di origine dell’incidente.
L’efficacia delle BCR (verifica della conformità) può essere dimostrata da una serie di meccanismi tipicamente implementati dalle aziende, come un regolare programma di audit, attività di corporate governance, aree che si occupano specificamente della conformità, ecc...
Le modifiche significative, ovvero quelle che hanno un impatto sulla protezione dei dati (ad esempio potrebbero incidere negativamente sui diritti degli interessati), alle BCR devono sempre essere comunicate all’Autorità competente individuata ai sensi dell’art. 64 senza indebito ritardo, a tal proposito, nella domanda occorre descrivere la procedura che l’azienda adotterà per segnalare prontamente le modifiche. L’obbligo di segnalare le modifiche si applica solo al testo delle BCR stesse e non a qualsiasi documentazione di supporto, a meno che una modifica a tale documentazione non influisce sulla conformità delle BCR, può trattarsi anche di più documenti, in tal caso occorre precisare la connessione giuridica tra gli stessi (ad. esempio regole generali, regole specifiche destinate ad un’area specifica dell’azienda, ecc...). Ad ogni modo, non è necessario allegare tutta la documentazione accessoria in questa fase, essa può essere presentata separatamente anche in seguito.