In arrivo le nuove regole vincolanti d’impresa

In arrivo le nuove regole vincolanti d’impresa
Adalberto Biasiotti
 Adalberto Biasiotti
 Privacy
05/03/2018: Il sempre prezioso articolo 29 Working party ha recentemente pubblicato un documento aggiornato, che illustra in dettaglio come rispettare le modalità di trasferimento dei dati nel rispetto del regolamento generale sulla protezione dei dati.

Il trasferimento di dati personali verso paesi terzi può essere effettuato, da parte di un titolare del trattamento con sede in Europa, solamente rispettando una di queste tre regole:

  • trasferimento sulla base di una decisione di adeguatezza, vedi articolo 45,
  • trasferimento soggetto a garanzie adeguate, vedi articolo 46,
  • rispetto di norme vincolanti d’impresa, vedi articolo 47.

 

Vi sono poi naturalmente delle specifiche deroghe illustrati nell’articolo 49, come ad esempio in caso di una emergenza che coinvolga un interessato del trattamento, che si trovi all’esterno dell’Unione Europea.

 

L’articolo 47, con una diversa formulazione, era già presente nella precedente disposizione legislativa e sono numerosissime le grandi aziende che hanno già sviluppato delle norme vincolanti d’impresa, in inglese binding corporate rules, che permettono di trasferire dati personali solo ad aziende, aventi sede all’esterno dell’Unione Europea, ma facenti capo alla stessa impresa, che provvede a trasferimento e che ha sede in Europa.

 

 

Pubblicità
Modello per Corsi GDPR - Protezione Dati
Materiale didattico per tenere corsi sul regolamento europeo protezione dati (RIF. NORMA UNI 11697:2017)
 

I lettori, andando sul sito dell’unione europea, possono trovare un elenco di dozzine e dozzine di grandi aziende, che hanno messo a punto queste norme vincolanti d’impresa e le utilizzano per il trasferimento di dati a proprie consociate.

 

Queste norme d’impresa devono essere approvate dall’autorità Garante nazionale ed ecco perché, andando sul sito della nostra autorità Garante, si possono leggere i testi di queste norme vincolanti d’impresa, già approvate dall’autorità Garante e quindi utilizzabili. Fra le tante approvate ricordo, a memoria, quella della azienda italiana BTicino.

 

Come è normale, il regolamento  illustra ben più in dettaglio le condizioni in base alle quali sono accettabili le regole vincolanti d’impresa ed ecco la ragione per la quale l’articolo 29 Working party si è pronunciato su questo tema più volte, ha raccolto i pareri di tutti gli interessati, ed ha finalmente pubblicato un documento, disponibile in allegato, che indica gli elementi principali che devono essere registrati in una formulazione delle norme vincolanti d’impresa, conforme al nuovo regolamento.

 

Un aspetto fondamentale è quello che un interessato, che abbia a presentare un reclamo, può presentarlo non solo alla autorità Garante, dove ha sede il titolare del trattamento, ma anche dove egli presta la sua attività lavorativa o all’autorità Garante del paese nel quale si è verificata la violazione.

 

Le informazioni che devono essere fornite agli interessati devono essere assai più ampie e allineate con le indicazioni degli articoli 13 e 14, con dettagliate istruzioni su come gli interessati possono far valere i loro diritti.

 

Parimenti, le norme vincolanti d’impresa devono illustrare in dettaglio le modalità con cui un interessato può rivolgersi a chi di dovere per far valere i propri diritti, illustrando altresì le categorie e tipi di dati personali che vengono trasferiti, con l’indicazione dei paesi coinvolti.

 

Sia il titolare del trattamento, sia il responsabile del trattamento, devono dimostrare che le norme vincolanti d’impresa sono pienamente rispondenti ai dettati generali del regolamento e devono assumersi piena responsabilità per il controllo di questi dati.

 

Anche se l’articolo 46, al comma 5, dichiara che le norme vincolanti d’impresa già approvate ad oggi rimarranno in vigore finché non verranno modificate dall’autorità Garante nazionale, gli esperti dell’articolo 29 Working party hanno ritenuto opportuno chiarire che ci si aspetta che i titolari e responsabili aggiornino al più presto le vigenti norme vincolanti d’impresa, seppur approvate, per allinearle con i nuovi requisiti del regolamento generale.

 

Tutto questo sarebbe bene che venisse portato a termine entro la data ultima di entrata in vigore del regolamento, vale a dire il 25 maggio 2018.

 

Il documento offerto in allegato è oltremodo utile per titolari e responsabili che debbono aggiornare le norme già approvate, per allinearle con le nuove indicazioni.

 

È interessante, al proposito, segnalare che forse non tutte le norme esistenti hanno bisogno di una riscrittura completa, ma certamente dovranno essere aggiornate in molti punti.

 

Si tratta di un ulteriore incombenza, in capo a titolari e responsabili, che coinvolge però in modo pesante anche le autorità Garanti nazionali, che dovranno impegnarsi per dare tempestiva risposta ed approvazione alle proposte che verranno loro sottoposte.

 

Il messaggio che quindi invio a tutti i responsabili e titolari del trattamento, che hanno oggi in essere norme vincolanti d’impresa, di studiare subito questo documento per provvedere agli appropriati aggiornamenti delle norme esistenti. Le norme aggiornate dovranno essere sottoposte all’approvazione dell’autorità Garante nazionale.

 

Article 29 Data Protection Working Party - Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 - Adopted on 3 October 2017, As last Revised and Adopted on 6 February 2018 (pdf)

 

 

Adalberto Biasiotti

 



Creative Commons License Questo articolo è pubblicato sotto una Licenza Creative Commons.
 

Forum di PuntoSicuroEntra

FORUM

Quesiti? Proponili nel FORUM!
Condividi
questa pagina sul Social Network a cui sei già loggato!

Condividi sui Social Network

Stampa o esporta in PDF

stampa articolo  esporta articolo in PDF

Leggi anche altri articoli sullo stesso argomento:


Commenti:


Nessun commento è ancora presente.
FBEsegui il login a Facebook per pubblicare il commento anche sulla tua bacheca
GPEsegui il login tramite Google+!
GPEsegui il login tramite Twitter!
Nome e cognome: (obbligatorio)
E-Mail (ricevi l'avviso di altri commenti all'articolo)
Inserisci il tuo commento: