IMPRESE E TRASFERIMENTO DEIDATI ALL'ESTERO

Più facile il ricorso a società che operano inoutsourcing

IGaranti per la privacy dei Paesi UE riuniti nel Gruppo "Articolo 29" hannoapprovato una apposita procedura che consentirà la circolazione di datipersonali all'interno di gruppi societari multinazionali che offrono ad altreaziende, con sede nell'Unione europea, servizi di trattamento dati inoutsourcing.

Laprocedura prevede l'approvazione da parte delle Autorità garanti nazionalidelle cosiddette "Norme d'impresa vincolanti" (Binding Corporate Rules, BCR) per "responsabili del trattamento" ("BCR for Processors") e potrà essere utilizzataa partire da quest'anno.

LeBCR sono regole di condotta relative al trattamento dei dati personali all'internodi un gruppo multinazionale che consentono, una volta approvate dalle Autoritànazionali, di trasferire dati personali fra le società del gruppo con sede inUE e quelle situate in Paesi terzi, nel rispetto delle garanzie fissate in basealla direttiva 95/46.

Inquesto caso, la nuova procedura permetterà di approvare BCR messe a punto da un'impresamultinazionale che sia nominata responsabile del trattamento per conto dititolari (clienti) stabiliti in un Paese dell'UE, sulla base di uno specificocontratto di servizi (generalmente indicato come "Service Agreement").

Taliimprese potranno adesso, se lo desiderano, fare approvare le proprie "BCR for Processors".

Sullabase delle nuove BCR, dunque, un'azienda ad esempio stabilita in Italia cheintenda far trattare in outsourcing dati personali da una multinazionale consedi o filiali extra-UE potrà essere garantita dal fatto che la multinazionaleha elaborato un sistema di "BCR forProcessors" approvato dall'UE.

Ilmeccanismo di approvazione delle "nuove" BCR non si differenzia da quelloesistente da vari anni, i cui requisiti sono illustrati dettagliatamente anchesul sito del Garante

(http://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-e-intenazionale/trasferimento-dei-dati-verso-paesi-terzi#3).

Anchenel caso delle "BCR for Processors"si prevede l'intervento di un'Autorità di protezione dati che fungerà da "capofila"nell'UE per il processo di valutazione e approvazione, cui farà seguito unmeccanismo di mutuo riconoscimento (al quale partecipano molte autorità europeedi protezione dati, fra cui il Garante); in alcuni casi (come in Italia) ècomunque necessaria anche una specifica richiesta di autorizzazione nazionale.

Idocumenti elaborati dal Gruppo "Articolo 29" al fine di accedere alla proceduradi approvazione (WP195 e relativo "ApplicationForm") sono disponibili sul sito del Gruppo

(http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm)e saranno presto pubblicati anche sul sito del Garante.