Norme vincolanti di impresa nel GDPR: cosa sono e come funzionano
Questo articolo fa parte di una serie dedicata al Registro dei Trattamenti nel contesto del GDPR. In questa sezione, affronteremo l’argomento delle Norme Vincolanti di Impresa (Binding Corporate Rules – BCR) nel GDPR. Definiremo cosa sono le BCR e come funzionano, esplorando il loro ruolo come garanzie adeguate per il trasferimento di dati personali all’interno di gruppi imprenditoriali o tra imprese che svolgono un’attività economica comune.
Norme vincolanti di impresa nel GDPR: definizione e ambito di applicazione
L’art. 46 par. 2 lett. b) del GDPR prevede tra le ipotesi di garanzie adeguate le norme vincolanti di impresa (Binding Corporate Rules, di seguito “BCR”) che sono poi descritte più in dettaglio nel successivo art. 47 del GDPR, subordinandone però l’utilizzo all’approvazione dell’Autorità e comunque in coerenza con i dettami dell’art. 70, par. 1 lett. i) del GDPR, nonché nel rispetto del meccanismo di coerenza.
Definizioni e ambito delle norme vincolanti di impresa
Prima di illustrare la tematica in argomento è utile richiamare alcune definizioni contenute nell’art. 4 del GDPR e nella specie la definizione di «impresa» al n. 18, di «gruppo imprenditoriale» al n. 19 e di «norme vincolanti d’impresa» al n. 20.
Soffermandoci sulle norme vincolanti d’impresa, esse sono definite come le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune.
Funzionamento e vantaggi delle norme vincolanti di impresa
La logica sottesa all’adozione delle norme vincolanti di impresa risiede nel fatto che, all’interno di un gruppo di imprese, i rapporti tra le diverse società possono considerarsi stabili e continuativi. Tuttavia, l’applicazione delle norme vincolanti di impresa non è circoscritta a un singolo gruppo imprenditoriale ma si estende anche a gruppi di imprese differenti a condizione, però, che svolgano in comune le attività economiche. Esso costituisce un forte salto in avanti, coerente con la volontà di adeguare la normativa relativa al trasferimento dei dati all’estero alle esigenze del mondo digitale e all’evoluzione delle nuove forme organizzative che il sistema economico ha sviluppato.
Il contenuto minimo delle norme vincolanti di impresa richiesto dall’art. 47 del GDPR deve essere interpretato come un requisito di validità delle stesse. Essendo menzionato anche il caso di BCR per imprese diverse (non appartenente a un singolo gruppo di Controllante/Controllate/Collegate) che svolgono solo “un’attività economica comune”, in tal caso si tratterà di una norma vincolante a livello “orizzontale” senza una capogruppo a dirigerne verticalmente l’applicazione – quindi molto simili al modello del codice di condotta, ma con la differenza sostanziale che la comunanza dovrà essere nello specifico dell’attività concretamente condivisa tra le imprese, e non semplicemente un’appartenenza delle medesime agli stessi settori o categorie.
Validità e applicabilità delle norme vincolanti di impresa
Il concetto di norme giuridicamente vincolanti implica che non possono essere incluse in tale gruppo le norme di soft-law persuasive in quanto non cogenti. La platea degli interessati deve essere completa, cioè devono essere applicabili a tutti i componenti, i soggetti interessati, del gruppo imprenditoriale. Deve essere inoltre garantita quale elemento essenziale la possibilità per gli interessati di azionare i propri diritti davanti all’Autorità giudiziaria e all’Autorità.
Requisiti minimi delle BCR secondo l’articolo 47 del GDPR
I requisiti minimi che devono essere presenti nelle BCR sono elencati all’art. 47, par. 2 del GDPR e tra i quali qui si richiamano quelli di cui all’art. 47, par. 2 lett. e) del GDPR che così recita: i diritti dell’interessato in relazione al trattamento e i mezzi per esercitarli, compresi il diritto di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione ai sensi dell’articolo 22, il diritto di proporre reclamo all’autorità di controllo competente e di ricorrere alle autorità giurisdizionali competenti degli Stati membri conformemente all’articolo 79 del GDPR, e il diritto di ottenere riparazione e, se del caso, il risarcimento per violazione delle norme vincolanti d’impresa.
Linee Guida e raccomandazioni del Gruppo Art 29
Le precedenti linee guida redatte dal Gruppo Art 29 sono state revisionate (WP256 for Controllers e WP257 for Processors) e hanno ad oggetto i principi e gli elementi che le aziende dovrebbero incorporare nelle loro BCR. Le linee guida hanno rivisto la guida originale, sebbene rimangano in gran parte simili alle versioni precedenti.
Il successivo WP263 contiene i criteri e la procedura per l’approvazione delle BCR, nonché i criteri per l’individuare la Lead Autority a cui il gruppo richiedente dovrà rivolgersi quale competente a condurre la procedura di approvazione che, in virtù del ruolo istituzionale che ricopre, è tenuta a dialogare con la società che ha presentato le BCR (generalmente la società capogruppo), in rappresentanza di tutte le altre Autorità interessate al fine di predisporre un progetto di decisione condiviso da presentare al Comitato europeo a norma dell’art. 64 par. 1 lett. f) del GDPR.
A corredo delle disposizioni richiamate nella documentazione evidenziata si segnalano le raccomandazioni Wp 264 (Documento di lavoro che stabilisce una procedura di cooperazione per l’approvazione di “norme vincolanti d’impresa” per titolari e responsabili del trattamento ai sensi del GDPR) e Wp 265 (Raccomandazione sul modulo di domanda standard per l’approvazione delle norme aziendali vincolanti per il trasferimento dei dati personali del responsabile, adottato l’11 aprile 2018).
In questo articolo, abbiamo esaminato le Norme Vincolanti di Impresa (BCR, Binding Corporate Rules) come garanzie adeguate per il trasferimento di dati personali all’interno di gruppi imprenditoriali o tra imprese che svolgono un’attività economica comune, come previsto dall’articolo 47 del GDPR.
Vi invitiamo a proseguire la lettura con il prossimo contenuto della serie, dedicato alle clausole per la protezione dei dati in ottemperanza all’articolo 46 del GDPR. Per una panoramica completa e dettagliata su tutti gli aspetti del Registro dei Trattamenti, delle Norme Vincolanti di Impresa e delle altre garanzie adeguate per il trasferimento di dati personali nel GDPR, vi invitiamo a consultare il nostro white paper “La compilazione del Registro dei trattamenti nel nuovo quadro normativo del Reg. UE 679/2016“, che contiene tutte le informazioni necessarie per una corretta implementazione delle norme sulla protezione dei dati.
Tecnologo presso l’UAIG del CNR.
Abilitato all’esercizio della professione forense.
