Suggerimenti per la stesura delle norme vincolanti di impresa

Suggerimenti per la stesura delle norme vincolanti di impresa

Mentre lo spostamento dei dati personali tra titolari che risiedono nell’unione europea è libero, la situazione cambia in maniera significativa quando uno dei due titolari si trova fuori dalla UE e non è inserito in un elenco di paesi “accreditati”.

L’articolo 47 del regolamento europeo sulla protezione dei dati personali stabilisce che un titolare del trattamento, avente sede in Europa, può trasferire dati personali ad un titolare, od anche un responsabile, che si trovi fuori dell’unione europea, solo se il trasferimento è governato dalle cosiddette “norme vincolanti d’impresa”.

Queste norme vincolanti, in acronimo anglosassone, sono anche chiamate BCR – binding corporate rules.

Il problema si pone in maniera sistematica, quando ad esempio una capogruppo aziendale, con sede in Europa, trasferisce regolarmente dati personali a proprie aziende, che hanno sede ad esempio in Pakistan, India o altri paesi, con i quali la unione europea non ha particolari accordi in merito.

Il fatto poi che il trasferimento sia sistematico od occasionale non ha alcuna rilevanza, in quanto deve essere sempre governato da norme specifiche, sottoscritte dalle parti in causa.

Ecco perché anche un titolare di una piccola o media industria, che per un qualunque motivo debba trasferire dati personali ad un soggetto residente, ad esempio, in Macedonia od in Albania, deve elaborare delle norme vincolanti d’impresa, applicabili al trasferimento in questione.

Ecco il motivo per cui alcune autorità garanti europee hanno messo a punto delle linee guida per lo sviluppo di queste norme vincolanti d’impresa, in modo da semplificare gli oneri in carico al titolare, che deve trasferire questi dati personali.

Pubblicità

Libri e Manuali - La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

Proprio per garantire che queste regole siano correttamente elaborate, è anche previsto che l’autorità garante possa esaminarle e dare la propria approvazione. Per rendere ancora meno semplice processo, è bene ricordare che le norme vincolanti d’impresa devono essere elaborate in modo diverso, se i dati vengono trasferiti a un titolare, oppure ad un responsabile del trattamento.

Un’attenta lettura dell’articolo 47, in particolare del comma 1, lettera b), mette in evidenza come un aspetto assolutamente fondamentale, da rispettare sempre e comunque, riguarda la possibilità di un interessato al trattamento di far valere i propri diritti con efficienza ed efficacia, presso tutti i soggetti coinvolti.

Un altro aspetto che spesso crea difficoltà è legato all’utilizzo della lingua, nella quale devono essere stese queste norme vincolanti di impresa. Se il titolare o responsabile non ha una sufficiente conoscenza della lingua italiana, è probabile che queste norme debbano essere scritto in lingua inglese, con espressioni facilmente comprensibili anche per soggetti che non siano di lingua nativa.

Un altro aspetto, sul quale mettono in guardia numerose autorità garanti europee, riguarda il fatto che alcuni titolari ritengono di aggirare, entro certi limiti, questo ostacolo, catturando su Internet delle regole vincolanti di impresa di grandi aziende, che certamente sono state sviluppate con l’assistenza di studi legali specializzati e sono state approvate dall’autorità garante.

L’esperienza, tuttavia, mostra come spesso queste norme vincolanti d’impresa abbiano bisogno di sostanziali rimaneggiamenti, che forse il titolare stesso non è in grado di apportare.

Occorre anche fare attenzione alla eventuale attivazione di polizze assicurative, afferenti a possibili violazioni di dati personali che avvengano presso il soggetto, cui i dati sono stati consegnati. È bene ricordare, con l’occasione, che il titolare del trattamento ha responsabilità completa sui dati che egli ha acquisito o tratta, ovunque essi si trovino e soprattutto quando essi vengono trasferiti a soggetti terzi.

Ecco perché lo sviluppo di un’appropriata serie di norme vincolanti d’imprese, assistite da un linguaggio facilmente comprensibile e da opportune coperture assicurative, può rappresentare la più attraente soluzione disponibile per soddisfare le esigenze ed i rischi di tutte le parti in causa.

Adalberto Biasiotti

Licenza Creative Commons

I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.