GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29 adottato il 19 aprile 2013 INDICE 4.6.1. Diritto generaledi presentare ricorso e, se del caso, di ottenere un risarcimento istituitodalla direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre19951, vistil'articolo 29 e l'articolo 30, paragrafo 1, lettera a), e paragrafo 3, di dettadirettiva, vistoil suo regolamento interno, in particolare gli articoli 12 e 14, ha adottato il presente documento di lavoro; 1. CONTESTO 1.1. Norme dell'Unione europea applicabili aitrasferimenti internazionali di dati Ladirettiva stabilisce che i trasferimenti di dati fuori dall'Unione europeasiano rigorosamente disciplinati allo scopo di garantire che gli interessatipossano usufruire di un livello di protezione adeguato anche quando i loro datisono inviati fuori dall'Unione europea (in appresso "UE"). L'articolo26, paragrafo 2, della direttiva prevede che "(Š) uno Stato membro puòautorizzare un trasferimento o una categoria di trasferimenti di dati personaliverso un paese terzo che non garantisca un livello di protezione adeguato (Š),qualora il responsabile del trattamento presenti garanzie sufficienti per latutela della vita privata e dei diritti e delle libertà fondamentali dellepersone, nonché per l'esercizio dei diritti connessi; tali garanzie possonosegnatamente risultare da clausole contrattuali appropriate". Neconsegue che, quando il paese dell'importatore di dati non garantisce unlivello di protezione adeguato, il responsabile del trattamento deve forniregaranzie sufficienti per i dati trasferiti, ad esempio adottando clausolecontrattuali. Suquesta base e allo scopo di favorire il rispetto della direttiva 95/46/CE neitrasferimenti di dati fuori dall'UE, la Commissione europea ha adottato alcuneserie di clausole contrattuali tipo per inquadrare i trasferimenti traresponsabili del trattamento (decisioni 2001/497/CE del 15 giugno 2001 e 2004/915/CEdel 27 dicembre 2004) e i trasferimenti tra responsabili del trattamento eincaricati del trattamento (decisione 2010/87/UE del 5 febbraio 2010). 1.2. Norme vincolanti d'impresa per i responsabilidel trattamento Riconoscendol'esigenza di una strategia globale per la protezione dei dati per le organizzazioni,il Gruppo di lavoro "articolo 29" ha ritenuto necessario autorizzarequeste ultime ad adottare norme interne vincolanti, le cosiddette normevincolanti d'impresa (in appresso "BCR"), volte a regolamentare itrasferimenti di dati personali originariamente trattati dall'organizzazione inqualità di responsabile del trattamento all'interno della stessaorganizzazione. Le autorità di protezione dei dati dell'UE hanno definito unpacchetto di strumenti nell'intento di fornire orientamenti riguardo alpossibile contenuto delle BCR2. Negliultimi anni, le BCR per i responsabili del trattamento si sono rivelate semprepiù efficaci. La durata della procedura di adozione è stata notevolmenteridotta non solo grazie alla crescente esperienza acquisita dalle autorità diprotezione dei dati e dalle organizzazioni, ma anche alla procedura diriconoscimento reciproco. Inoltre, le organizzazioni multinazionali hannocostantemente ribadito che le BCR sono coerenti con il pragmatismo con cui sisforzano di affrontare i problemi di conformità. In aggiunta, la Commissione europeaha accordato il proprio appoggio alle BCR includendole nel progetto diregolamento concernente la tutela delle persone fisiche con riguardo altrattamento dei dati personali e la libera circolazione di tali dati, pubblicatoil 25 gennaio 20123. 1.3. Norme vincolanti d'impresa per gli incaricatidel trattamento Nel2010 la Commissione europea ha adottato una nuova serie di clausolecontrattuali tipo per i trasferimenti di dati tra responsabili e incaricati deltrattamento in risposta all'ampliamento delle attività di trattamento e, inparticolare, all'emergere di nuovi modelli aziendali per il trattamentointernazionale dei dati personali. Le clausole contrattuali tipo del 2010contengono specifiche disposizioni che consentono, a determinate condizioni, diaffidare le attività di trattamento a subincaricati, offrendo al contemposufficienti garanzie riguardo ai dati personali trasferiti. Risultadifficile garantire un livello di protezione costantemente adeguato grazie aglistrumenti creati per disciplinare i trasferimenti internazionali di dati, comedescritto in precedenza. I motivi principali di tale difficoltà sono costituitidal numero e dalla complessità sempre crescenti dei trasferimentiinternazionali di dati dovuti, ad esempio, al cloud computing, allaglobalizzazione, ai centri dati, ai social network, ecc. Sebbenele clausole contrattuali tipo risultino essere efficaci quando si tratta didisciplinare i trasferimenti non massicci da un esportatore di dati stabilitonell'UE a un importatore di dati stabilito al di fuori dell'UE, il settoredell'esternalizzazione chiede costantemente l'istituzione di un nuovo strumentogiuridico che consenta di affrontare in maniera globale la questione dellaprotezione dei dati in tale settore e che riconosca ufficialmente le normeinterne cui le organizzazioni possono aver dato attuazione. Grazie al nuovostrumento giuridico, sarebbe possibile disciplinare con efficacia itrasferimenti massicci di dati effettuati da un incaricato del trattamento ai subincaricatidella stessa organizzazione che agiscono per conto di un responsabile deltrattamento o su sue istruzioni. Tenuto conto del crescente interesse delsettore per uno strumento di questo genere, nel corso del 2012 il Gruppo dilavoro ha adottato un documento che istituisce una tabella degli elementi e deiprincipi che le BCR per gli incaricati del trattamento 2. DEFINIZIONI E QUESTIONI GIURIDICHE 2.1. Ambito di applicazione del presente strumento edefinizioni LeBCR per gli incaricati del trattamento dovrebbero servire quale strumento checontribuisca a disciplinare i trasferimenti internazionali di dati personalioriginariamente trattati da un incaricato che operi per conto di unresponsabile del trattamento dell'UE e su sue istruzioni Pertanto,le BCR per gli incaricati del trattamento devono essere allegate al contrattodell'incaricato (cui nel presente documento si fa riferimento come accordo diservizio) che è previsto dall'articolo 17 della direttiva 95/46/CE e contienein particolare le istruzioni del responsabile del trattamento stipulate tra ilresponsabile e l'incaricato del trattamento esterni. Le BCR per gli incaricatidel trattamento dovrebbero essere intese come garanzie adeguate fornitedall'incaricato al responsabile del trattamento (articolo 26, paragrafo 2,della direttiva 95/46/CE) consentendo a quest'ultimo di conformarsi alle normedell'UE applicabili in materia di protezione dei dati. Le entità del gruppodell'incaricato del trattamento si impegnano a rispettare i principi delle BCRper gli incaricati del trattamento e rispondono del loro operato alresponsabile del trattamento in caso di violazione delle BCR. Èimportante tuttavia sottolineare il fatto che, sebbene le autorità diprotezione dei dati dell'UE valutino il contenuto delle BCR per gli incaricatidel trattamento del gruppo di un incaricato al fine di garantire che sianosoddisfatti tutti i requisiti del documento WP195, spetta comunque alresponsabile del trattamento assicurare che siano fornite garanzie sufficientiriguardo ai dati trasferiti e trattati per suo conto e su sue istruzioni nelleentità del gruppo dell'incaricato del trattamento. IlGruppo di lavoro rammenta che le BCR non hanno lo scopo di trasferire i compitidei responsabili del trattamento agli incaricati del trattamento. I compitidegli incaricati e dei responsabili del trattamento nel contesto deitrasferimenti internazionali di dati restano invariati (analogamente alleclausole contrattuali tipo di cui alla decisione 2010/87/UE); tuttavia, alcunistrumenti devono essere adeguati alle particolarità dei trasferimentiall'interno di uno stesso gruppo di organizzazioni (un unico impegno globaleanziché vari contratti) e alle particolarità delle BCR (strumenti di responsabilizzazionecome gli audit, programmi di formazione, responsabili della protezione deidatiŠ). Inoltre,le BCR per gli incaricati del trattamento dovrebbero rafforzare i diritti degliinteressati prevedendo espressamente che gli incaricati si impegnino a fornireai responsabili del trattamento le informazioni pertinenti per consentire lorodi rispettare gli obblighi nei Infine,sebbene l'incaricato del trattamento debba richiedere il riconoscimento daparte dell'UE delle proprie BCR come garanzie adeguate per i trasferimentiinternazionali secondo le procedure di riconoscimento reciproco e dicooperazione previste dal documento WP1078 2.2. Trasferimenti e trasferimenti successivi 2.2.1.Trasferimenti all'interno del gruppo dell'incaricato del trattamento Considerandoche, in base al documento WP195, i dati possono essere trattati da altri membridel gruppo dell'incaricato solo dopo averne preventivamente informato ilresponsabile del trattamento9 Leparti dell'accordo di servizio hanno la facoltà di decidere, a seconda delleloro esigenze particolari, se un consenso preventivo generale fornito dalresponsabile del trattamento all'inizio del servizio sia sufficiente o se sianecessario un consenso specifico per ogni nuovo subcontratto. Se viene dato unconsenso generale, il responsabile del trattamento deve essere tempestivamenteinformato riguardo a eventuali modifiche previste inerenti all'aggiunta o allasostituzione di subcontraenti in modo che abbia la possibilità di opporsi allemodifiche o di rescindere il contratto prima che i dati siano comunicati al nuovosubincaricato. L'organizzazionedi un incaricato del trattamento che ha attuato le BCR per gli incaricati deltrattamento non deve concludere contratti per disciplinare i trasferimenti con ognisubincaricato della sua organizzazione in quanto le BCR forniscono garanzieriguardo ai dati trasferiti e trattati per conto di un responsabile deltrattamento e su sue istruzioni. 2.2.2.Trasferimenti successivi a subincaricati esterni Oltrealle norme menzionate in precedenza per quanto riguarda i trasferimenti di datiall'interno del gruppo dell'incaricato del trattamento (trasparenza, consensodel responsabile del trattamento), un membro del gruppo dell'incaricato puòaffidare l'adempimento degli obblighi derivanti dall'accordo di servizio (articolo17 della direttiva) a un subincaricato del trattamento esterno (al di fuori delgruppo) solo mediante un accordo scritto con tale subincaricato che prevedal'assicurazione di una protezione adeguata ai sensi degli articoli 16 e 17della direttiva 95/46/CE e garantisca che il subincaricato esterno rispetti glistessi obblighi imposti al membro del gruppo dell'incaricato del trattamento inbase all'accordo di servizio e alle sezioni 1.3, 1.4, 3 e 6 del documento dilavoro 19510 2.3. Considerazioni riguardo al carattere vincolantedelle BCR per gli incaricati del trattamento Gliincaricati del trattamento dei dati svolgono la propria attività in base a varicontesti giuridici e culturali esistenti e a varie filosofie e prassiaziendali. Dall'esperienza acquisita riguardo alle BCR per i responsabili del trattamentoemerge chiaramente che quasi tutte le organizzazioni multinazionali affrontanola questione in modo diverso. Esiste tuttavia, tra l'altro, un elementoimportante che deve essere presente in tutti i sistemi se essi servono per offriregaranzie per i trasferimenti di dati a paesi terzi per le attività ditrattamento: il carattere vincolante delle norme d'impresa per gli incaricatidel trattamento all'interno e all'esterno (applicabilità giuridica dellenorme). 2.3.1.Carattere vincolante delle norme d'impresa per gli incaricati del trattamentoall'interno dell'organizzazione11 Èpossibile operare una distinzione tra il problema della conformità alle norme eil problema della loro applicabilità giuridica. Ineffetti, la valutazione del "carattere vincolante" delle normed'impresa per gli incaricati del trattamento implica una valutazione comune delloro valore giuridico vincolante esterno e interno. Ilcarattere vincolante delle norme a livello interno, a tal riguardo, implicherebbeche i membri dell'organizzazione dell'incaricato del trattamento e ciascundipendente al suo interno, siano tenuti a rispettare le norme interne. A questoproposito, gli elementi pertinenti potrebbero includere la presenza di sanzionidisciplinari in caso di violazione delle norme, l'informazione individuale edefficace dei dipendenti, l'istituzione di specifici programmi di formazione peri dipendenti e i sub incaricati, ecc. Tutti gli elementi menzionati, che sonoconsiderati anche nella sezione 4, potrebbero costituire i motivi per cui lepersone all'interno dell'organizzazione dell'incaricato del trattamento sisentiranno obbligate a rispettare le norme. Riguardoai membri del gruppo dell'incaricato del trattamento, non spetta al Gruppo dilavoro stabilire il modo in cui le organizzazioni devono garantire che tutti imembri siano effettivamente vincolati dalle norme o siano obbligati arispettarle, pur essendo ben noti alcuni esempi come i codici di condottainterni basati su accordi interni al gruppo12 Ilcarattere vincolante interno delle norme deve essere chiaro e sufficientementeforte da poter garantire la conformità alle norme al di fuori dell'UE,normalmente sotto la responsabilità della sede principale nell'UE, del membrostabilito nell'UE con compiti delegati di protezione dei dati, dell'incaricatodell'esportatore di dati nell'UE che deve adottare le misure necessarie pergarantire che i membri adeguino le loro attività di trattamento in subcontrattoagli impegni indicati nelle BCR13. Infatti,nella maggior parte dei casi esiste un membro dell'organizzazione stabilitonell'Unione europea che offre garanzie sufficienti e che si occupa dellarichiesta di approvazione delle BCR dell'incaricato del trattamento dapresentare all'autorità di protezione dei dati principale. Se la sedeprincipale dell'organizzazione si trova al di fuori dell'UE, tali compitidevono essere delegati a un membro eventualmente stabilito nell'Unione. Èlogico che chi offre effettivamente le garanzie sia responsabile dell'effettivaconformità alle norme e ne garantisca l'applicazione. Può tuttavia essereaccettato un altro meccanismo, ossia che la responsabilità spettiall'incaricato del trattamento dell'esportatore stabilito nell'UE. Cfr. aquesto proposito le sezioni 4.6 e 4.7 relative a responsabilità egiurisdizione. 2.3.2.Carattere vincolante delle norme d'impresa per gli incaricati del trattamento peri subincaricati esterni che trattano i dati Quandoaffida in subcontratto l'esecuzione degli obblighi derivanti dall'accordo diservizio (articolo 17 della direttiva) a un subincaricato esterno con ilconsenso del responsabile del trattamento, l'incaricato del trattamento devefarlo solo mediante un accordo scritto con il subincaricato. Cfr. a questoproposito la sezione 2.2.2. sui trasferimenti successivi. 2.3.3.Applicabilità giuridica delle norme d'impresa 2.3.3.1.Applicabilità giuridica delle norme d'impresa da parte degli interessati(diritti del terzo beneficiario) Gliinteressati che rientrano nell'ambito di applicazione delle BCR per gliincaricati del trattamento devono diventare terzi beneficiari includendo un'appositaclausola nelle BCR alla quale deve essere attribuito un effetto vincolantemediante impegni unilaterali (nei casi in cui sia possibile in base allalegislazione nazionale) o tramite accordi contrattuali tra i membri del gruppodell'incaricato del trattamento. Inogni caso, gli interessati hanno il diritto di far valere il rispetto dellenorme contro il responsabile del trattamento presentando un ricorsoall'autorità di protezione dei dati o al tribunale competente per ilresponsabile del trattamento dell'UE come spiegato nella sezione 4.6. Tuttavia,qualora non possano agire in giudizio nei confronti del responsabile deltrattamento14 Setale scelta non è possibile (ad esempio, per il motivo che l'incaricato deltrattamento non ha alcuna sede nell'UE), gli interessati hanno il diritto dipresentare ricorso presso il tribunale del loro luogo di residenza. In ognicaso, se in base al diritto nazionale applicabile esistono soluzioni piùfavorevoli per gli interessati (come previsto dal diritto dei consumatori o daldiritto del lavoro), si applicano tali soluzioni. Anchese in alcuni casi l'applicabilità giuridica di una clausola del terzobeneficiario contenuta in dichiarazioni unilaterali non solleva alcun dubbio,in altri Stati membri la situazione potrebbe non essere altrettanto chiara e ledichiarazioni unilaterali potrebbero non essere sufficienti in quanto tali. Sele dichiarazioni unilaterali non possono essere considerate valide perconsentire l'applicabilità giuridica dei diritti del terzo beneficiario, leorganizzazioni devono istituire gli accordi contrattuali necessari che laprevedano. Gli accordi contrattuali possono essere fatti valere giuridicamentein base al diritto privato in tutti gli Stati membri15. Iprincipi previsti dalle BCR da rendere vincolanti mediante la clausola deidiritti del terzo beneficiario sono specificati di seguito. -Principi di tutela della vita privata (sezione 6.1 del documento WP195). -Trasparenza nei casi in cui la legislazione nazionale impedisca all'incaricatodel trattamento di conformarsi alle BCR (sezione 6.3 del documento WP195). Gliaccordi contrattuali non devono necessariamente essere complessi o lunghi,essendo unicamente strumenti intesi a consentire l'esercizio dei diritti delterzo beneficiario per le persone che si trovano in paesi in cui esistono dubbiriguardo al fatto che le dichiarazioni unilaterali possano conseguire unrisultato simile. In alcuni casi, a tale scopo potrebbe essere aggiunta unasemplice clausola ad altri contratti esistenti tra i membri del gruppodell'incaricato del trattamento. 2.3.3.2.Applicabilità giuridica delle norme d'impresa da parte del responsabile deltrattamento LeBCR per gli incaricati del trattamento sono una garanzia per i trasferimentiinternazionali di dati fornita da un incaricato del trattamento al suo cliente(responsabile del trattamento) e spetta in primo luogo al responsabile deltrattamento garantire alle autorità di protezione dei dati e agli interessatiche i dati personali trasferiti fuori dall'UE siano protetti. In quanto tali,le BCR per gli incaricati del trattamento devono essere rese vincolanti neiconfronti del responsabile del trattamento attraverso uno specifico riferimentonell'accordo di servizio. Oltrea quanto riportato e affinché le BCR per gli incaricati del trattamento sianoinequivocabilmente legate all'accordo di servizio concluso con ciascun cliente(responsabile del trattamento), è importante che nell'accordo di servizio siassicuri che: -l'accordo di servizio precisi se il trattamento dei dati può essere affidato a subincaricatiall'interno o all'esterno del gruppo dell'incaricato del trattamento especifichi se il consenso preventivo espresso al riguardo dal responsabile del trattamentoè generale o deve essere fornito per ogni nuova attività di trattamento affidataa subincaricati. Inaggiunta, le BCR includono una clausola relativa al diritto del terzobeneficiario a favore del responsabile del trattamento per garantire chequest'ultimo abbia il diritto di far valere le BCR, che devono comprendere imezzi di ricorso giuridici e il diritto di ricevere un risarcimento, contro qualsiasimembro del gruppo dell'incaricato del trattamento. 2.3.3.3.Applicabilità giuridica delle norme d'impresa da parte delle autorità diprotezione dei dati Seun incaricato del trattamento presenta una richiesta di riconoscimento da partedell'UE delle proprie BCR per gli incaricati del trattamento come garanzieadeguate fornite dall'incaricato al responsabile del trattamento (articolo 26,paragrafo 2, della direttiva 95/46/CE), è chiaro che il gruppo dell'incaricatosi vincola nei confronti delle autorità di protezione dei dati dell'UE arispettare le garanzie presentate (in questo caso le BCR per gli incaricati deltrattamento). Tuttavia, spetta al responsabile del trattamento chiederel'autorizzazione nazionale necessaria per il trasferimento internazionale deidati, che deve essere chiaramente distinto dal riconoscimento delle BCR comegaranzie sufficienti per i trasferimenti di dati. Il responsabile del trattamentofa riferimento alle BCR per gli incaricati del trattamento già"approvate" (e non "autorizzate") a livello di Unione comele garanzie adeguate proposte per i trasferimenti internazionali. Tenutoconto che l'articolo 28 della direttiva 95/46/CE prevede che le autorità diprotezione dei dati "(...) siano incaricate di sorvegliare, nel suoterritorio, l'applicazione delle disposizioni di attuazione della presentedirettiva, adottate dagli Stati membri", tali autorità hanno ildovere, tra l'altro, di sorvegliare i trasferimenti e di valutare le garanziepresentate per il trasferimento dei dati fuori dall'UE. Peradempiere ai compiti menzionati, le autorità di protezione dei dati sono dotatedi poteri di indagine, di poteri effettivi di intervento nel loro territorio edel potere di avviare azioni legali; tali poteri potrebbero essere usati controun incaricato del trattamento che non rispetti le BCR. Inoltre,una violazione delle BCR per gli incaricati del trattamento da parte di unmembro del gruppo dell'incaricato (o da parte di tutto il gruppo) potrebbecomportare il ritiro dell'autorizzazione del trasferimento interessato concessadal responsabile del trattamento sulla base delle BCR per gli incaricati deltrattamento. Il ritiro non sarebbe retroattivo. 2.3.4.Disposizioni vincolanti della legislazione nazionale applicabili ai membridell'organizzazione LeBCR dovrebbero contenere una chiara disposizione secondo cui, qualora un membrodel gruppo dell'incaricato del trattamento abbia motivo di ritenere che lalegislazione esistente o futura ad esso applicabile possa impedirgli dieseguire le istruzioni ricevute dal responsabile del trattamento o diottemperare agli obblighi ad esso spettanti in base alle BCR o all'accordo diservizio, lo comunichi tempestivamente: -al responsabile del trattamento che ha il diritto di sospendere iltrasferimento dei dati e/o di rescindere l'accordo di servizio; -all'autorità di protezione dei dati competente per il responsabile deltrattamento. Inaggiunta, l'incaricato del trattamento deve comunicare qualsiasi richiesta giuridicamentevincolante presentata da autorità giudiziarie o di polizia ai fini dellacomunicazione di dati personali al responsabile del trattamento, salvo che lacomunicazione sia vietata da norme specifiche, ad esempio da norme di dirittopenale miranti a tutelare il segreto delle indagini. In ogni caso, la richiestadi comunicazione dovrebbe essere sospesa e l'autorità di protezione dei daticompetente per il responsabile del trattamento e l'autorità di protezione deidati principale per le BCR per gli incaricati del trattamento dovrebberoesserne chiaramente informate. Tuttavia,è necessario garantire che i trasferimenti di dati personali a un'autoritàgiudiziaria o di polizia abbiano un fondamento giuridico secondo quantoprevisto dalla normativa applicabile, tenuto conto che i requisiti per le BCRper gli incaricati del trattamento di cui alla sezione 6.3 del documento WP195creano unicamente un processo d'informazione (cfr. sopra) che non legittima diper sé i trasferimenti. Nel caso di un conflitto di leggi, si deve fareriferimento ai trattati e agli accordi internazionali applicabili in materia. 3. CONTENUTO SOSTANZIALE DELLE NORME VINCOLANTID'IMPRESA PER GLI INCARICATI DEL TRATTAMENTO 3.1. Contenuto sostanziale e livello di dettaglio Iprincipi di protezione dei dati della direttiva devono essere elaborati e precisatinelle BCR per gli incaricati del trattamento in modo che si inseriscano inmaniera pratica e realistica nelle attività di trattamento svoltedall'organizzazione nei paesi terzi e che possano essere compresi e applicaticon efficacia dai responsabili per la protezione dei dati all'internodell'organizzazione. Lasezione 6 del documento WP195 fornisce maggiori spiegazioni sul contenuto. Ladescrizione dei trasferimenti nelle BCR può essere solo generale; tuttavia,devono essere fornite informazioni più precise sui trasferimenti particolari diun determinato responsabile del trattamento nel quadro della procedura diautorizzazione nazionale con le autorità di protezione dei dati competenti. Illivello di dettaglio nelle BCR deve essere sufficiente per consentire alleautorità di protezione dei dati di valutare l'adeguatezza delle garanzieofferte riguardo al trattamento diretto e al trattamento affidato insubcontratto di dati in paesi terzi da parte di un membro del gruppodell'incaricato del trattamento. IlGruppo di lavoro "articolo 29" riconosce che le organizzazioni sonoentità mutevoli i cui membri e le cui prassi possono cambiare con una certafrequenza e che pertanto i trasferimenti effettuati per conto dei responsabilidel trattamento e su loro istruzioni e le disposizioni contenute nelle BCR nonpossono sempre corrispondere alla realtà nel momento in cui viene riconosciutal'adeguatezza della protezione proposta. LeBCR per gli incaricati del trattamento possono quindi essere modificate (adesempio, per tenere conto di modifiche del contesto normativo o della strutturaorganizzativa); tuttavia, devono imporre l'obbligo di segnalare i cambiamenti atutti i membri del gruppo, alle autorità di protezione dei dati e alresponsabile del trattamento. Qualorauna modifica influisca sulle condizioni del trattamento, il responsabile deltrattamento ne dovrebbe essere informato con tempestività in modo tale cheabbia la possibilità di opporsi alla modifica o di rescindere il contrattoprima che sia effettuata la modifica (ad esempio, in caso di variazionipreviste riguardo all'aggiunta o alla sostituzione di subcontraenti, prima chei dati siano comunicati al nuovo subincaricato del trattamento). Gliaggiornamenti delle BCR per gli incaricati del trattamento o dell'elenco deimembri delle BCR per gli incaricati del trattamento sono possibili senza chesia necessario presentare una nuova richiesta alle autorità di protezione deidati a condizione che: i)una persona identificata tenga un elenco pienamente aggiornato dei membri delgruppo e dei subincaricati del trattamento coinvolti nelle attività ditrattamento dei dati per il responsabile del trattamento e che tale elenco siaaccessibile al responsabile del trattamento, agli interessati e alle autoritàdi protezione dei dati; ii)la persona in questione conservi registrazioni degli aggiornamenti delle normee fornisca le informazioni necessarie sistematicamente al responsabile deltrattamento e, su richiesta, alle autorità di protezione dei dati; iii)non sia effettuato alcun trasferimento a un nuovo membro finché quest'ultimonon sia effettivamente vincolato dalle BCR per gli incaricati del trattamento epossa garantirne il rispetto; iv)le eventuali modifiche sostanziali delle BCR per gli incaricati del trattamentoo dell'elenco dei membri siano comunicate una volta all'anno alle autorità diprotezione dei dati che concedono le autorizzazioni per i trasferimenti alresponsabile o ai responsabili del trattamento, con una breve spiegazione deimotivi che giustificano l'aggiornamento. L'aggiornamentodelle norme dovrebbe essere inteso nel senso che le procedure di lavoro possonocambiare e le norme devono essere adeguate a tali contesti mutevoli. 4. RISPETTO DELLA CONFORMITà E GARANZIADELL'APPLICAZIONE Oltrealle disposizioni relative ai principi sostanziali in materia di protezione deidati, le norme vincolanti d'impresa per gli incaricati del trattamento devonoanche contenere quanto specificato di seguito. Lenorme dovrebbero istituire un sistema che garantisca la conoscenza el'applicazione delle norme sia all'interno che all'esterno dell'Unione europea.L'emanazione da parte della sede principale di politiche interne in materia ditutela della vita privata deve essere considerata solo un primo passo nelprocesso di presentazione di garanzie sufficienti ai sensi dell'articolo 26,paragrafo 2, della direttiva. L'organizzazione richiedente deve poterdimostrare inoltre che tale politica è nota, compresa ed effettivamenteapplicata in tutto il gruppo dai dipendenti che hanno ricevuto una formazioneadeguata e dispongono sempre delle informazioni pertinenti (ivi comprese leBCR), ad esempio tramite la rete informatica interna. L'organizzazione dovrebbenominare personale adeguato, con il sostegno dell'alta dirigenza, cui affidareil compito di controllare e garantire la conformità. 4.2. Audit Lenorme devono prevedere lo svolgimento periodico di audit e/o di attività divigilanza esterna riguardo alla protezione dei dati da parte di revisoriaccreditati interni o esterni, riferendo in merito direttamente al responsabileo all'ufficio competente per la tutela della vita privata e al consiglio diamministrazione della società madre e informandone, su richiesta, ilresponsabile del trattamento16. 16 Il contenutodegli audit deve essere completo e minuzioso, in ogni caso riguardo ad alcuniaspetti già individuati nel presente documento di lavoro, come l'esistenza ditrasferimenti successivi sulla base delle clausole contrattuali tipo (cfr. lasezione 2.2.2.) o le decisioni adottate riguardo alle disposizioni vincolantidella legislazione nazionale che possono creare conflitti con le norme vincolantid'impresa (cfr. la sezione 3.3.3.). LeBCR per gli incaricati del trattamento devono anche stabilire che le autoritàdi protezione dei dati competenti per il responsabile del trattamento possonoavere accesso ai risultati degli audit, su richiesta, e conferire lorol'autorità/il potere di effettuare esse stesse un audit della protezione deidati, se necessario e giuridicamente possibile. Ciò potrebbe verificarsi inparticolare qualora gli audit di cui al precedente paragrafo non siano disponibiliper qualsiasi motivo, non contengano le informazioni pertinenti necessarie peruna normale verifica dell'approvazione concessa dalle autorità di protezione deidati o l'urgenza della situazione richieda una partecipazione direttadell'autorità di protezione dei dati competente per il responsabile deltrattamento. Taliaudit devono essere effettuati secondo le disposizioni legislative eregolamentari pertinenti che disciplinano i poteri d'indagine delle autorità diprotezione dei dati, fatti salvi i poteri d'ispezione di ciascuna autorità diprotezione dei dati. In ogni caso, devono svolgersi nel pieno rispetto dellariservatezza e dei segreti commerciali e devono essere strettamente limitati adaccertare la conformità alle norme vincolanti d'impresa. Inoltre,le BCR per gli incaricati del trattamento devono stabilire che l'incaricato oil subincaricato del trattamento che gestisce i dati di un particolareresponsabile del trattamento consenta, su richiesta di quest'ultimo, che ipropri sistemi di trattamento dei dati siano sottoposti ad audit in relazionealle attività di trattamento del responsabile. L'audit deve essere effettuatodal responsabile del trattamento o da un organismo ispettivo composto dasoggetti indipendenti, in possesso delle necessarie qualificazioniprofessionali, vincolati da obbligo di riservatezza e selezionati dalresponsabile del trattamento, eventualmente di concerto con l'autorità diprotezione dei dati competente. -l'entità (reparto all'interno del gruppo) che decide il piano/programma di audit; -l'entità che conduce l'audit; -la frequenza dell'audit (periodico o su richiesta specifica dell'ufficiocompetente in materia di tutela della vita privata); -ambito dell'audit (ad esempio, applicazioni, sistemi informatici, banche datiche trattano dati personali, o trasferimenti successivi, decisioni adottateriguardo alle disposizioni vincolanti della legislazione nazionale che sono incontrasto con le BCR per gli incaricati del trattamento, la revisione deitermini contrattuali utilizzati per i trasferimenti fuori dal gruppodell'incaricato del trattamento e diretti a responsabili o incaricati deltrattamento, azioni correttive, Š); -l'entità che riceve i risultati degli audit. 4.3. Gestione dei reclami LeBCR per gli incaricati del trattamento devono prevedere un impegno da parte delgruppo dell'incaricato del trattamento a creare un punto di contatto specificoper gli interessati. Tuttii membri delle BCR per gli incaricati del trattamento devono avere solol'obbligo di comunicare tempestivamente il reclamo o la richiesta alresponsabile del trattamento senza doverli gestire (salvo che siano statistabiliti accordi diversi con il responsabile del trattamento). L'incaricatodel trattamento deve provvedere a tale comunicazione solo qualora ilresponsabile del trattamento sia scomparso di fatto, abbia giuridicamentecessato di esistere o sia divenuto insolvente. Ireclami devono essere esaminati da un servizio o una persona chiaramenteidentificati che abbiano un livello adeguato di indipendenza nell'eserciziodelle proprie funzioni nel caso in cui l'incaricato del trattamento abbia ilcompito di gestirli (quando è stato concordato con il responsabile deltrattamento o quest'ultimo è scomparso o ha cessato di esistere). Intali casi, l'interessato deve essere informato di quanto segue: -l'organo a cui rivolgersi per i reclami; -la forma in cui i reclami devono essere presentati; -i tempi per la risposta a un reclamo; -le conseguenze in caso di rigetto del reclamo; -le conseguenze qualora il reclamo sia considerato giustificato; -le conseguenze nel caso in cui l'interessato non sia soddisfatto della risposta(diritto di presentare ricorso al tribunale o alle autorità di protezione deidati). LeBCR per gli incaricati del trattamento devono stabilire espressamente che tuttii membri del gruppo e i dipendenti rispettino le istruzioni del responsabiledel trattamento riguardo al trattamento dei dati e alle misure di sicurezza edi riservatezza previste dall'accordo di servizio (articolo 17 delladirettiva). Lenorme devono anche prevedere per l'incaricato o il subincaricato deltrattamento un chiaro dovere di collaborazione e di assistenza nei confrontidel responsabile del trattamento per conformarsi alla normativa in materia diprotezione dei dati (come il dovere di rispettare i diritti dell'interessato odi gestirne i reclami o di poter rispondere alle indagini o alle verifichedelle autorità di protezione dei dati). Ciò deve avvenire in tempi ragionevolie nella misura ragionevolmente possibile. 4.5. Il dovere di collaborazione con le autorità diprotezione dei dati Comerilevato nel documento WP12, uno degli elementi più importanti per valutarel'adeguatezza di un sistema di autoregolamentazione è il livello di sostegno eassistenza di cui le persone interessate dal trattamento dei dati possonodisporre: "Un requisito fondamentale a garanzia dell'adeguatezza edell'efficacia del sistema di tutela dei dati è rappresentato dal fatto chechiunque abbia un problema circa il trattamento di dati che lo riguardano nonsia abbandonato a se stesso, ma goda del sostegno di una istanza prevista dalsistema di tutela medesimo, per poter risolvere il suo problema". Sitratta in effetti di un elemento importante delle BCR per gli incaricati deltrattamento: le norme devono prevedere per tutti i membri del gruppodell'incaricato del trattamento un chiaro dovere di collaborazione con leautorità di protezione dei dati competenti per il responsabile del trattamentopertinente in modo che le persone possano godere del sostegno di una istanzamenzionato nel documento di lavoro 12. Inoltre,deve essere assunto l'impegno inequivocabile a garantire che l'organizzazionenel complesso e ciascuno dei suoi membri separatamente si attengano al parereespresso dall'autorità di protezione dei dati competente in merito a questionilegate all'interpretazione e all'applicazione delle BCR per gli incaricati deltrattamento. Primadi esprimere qualsiasi parere, l'autorità di protezione dei dati competente puòraccogliere le osservazioni dell'organizzazione, degli interessati, delresponsabile del trattamento pertinente e delle autorità di protezione dei datiche possono essere associate in seguito alla procedura coordinata prevista nelpresente documento di lavoro17 17 Cfr. il capitolo5. Oltrea eventuali disposizioni pertinenti a livello nazionale, un serio e/opersistente rifiuto dell'organizzazione a collaborare o ad attenersi al pareredell'autorità di protezione dei dati competente può comportare la sospensione oil ritiro dell'autorizzazione concessa al responsabile o ai responsabili deltrattamento pertinenti, da parte della stessa autorità di protezione dei dati odell'autorità competente in base alla normativa nazionale che ha il potere difarlo. Una conseguenza diretta di tale sospensione o ritiro è la necessità peril responsabile o i responsabili del trattamento pertinenti di trovare un altromodo per fornire una protezione adeguata per i dati trasferiti, ad esempiosottoscrivendo le clausole contrattuali tipo ai sensi della decisione2010/87/UE e di presentare una nuova richiesta per tali trasferimenti alleautorità di protezione dei dati conformemente alla legislazione nazionaleapplicabile. 4.6. Responsabilità 4.6.1.Diritto generale di presentare ricorso e, se del caso, di ottenere unrisarcimento Lenorme dovrebbero indicare che i diritti del terzo beneficiario concessiall'interessato e il diritto di ricorso concesso al responsabile deltrattamento dovrebbero comprendere i mezzi di ricorso giuridico e il diritto diricevere un risarcimento per eventuali danni (nel caso dell'interessato,dovrebbero riguardare i danni materiali, ma anche eventuali disagi). Aintegrazione di questo diritto generale, le norme devono anche conteneredisposizioni sulla responsabilità e la giurisdizione intese a favorirnel'esercizio pratico. 4.6.2.Disposizioni sulla responsabilità 4.6.2.1.Disposizioni sulla responsabilità per gli interessati Inqualità di terzi beneficiari, gli interessati hanno diritto di far valere leBCR contro i membri del gruppo dell'incaricato del trattamento che hannoviolato le BCR. Inoltre,le BCR per gli incaricati del trattamento devono identificare quale membro delgruppo tra i) la sede principale nell'UE o ii) il membro stabilito nell'Unionedell'incaricato del trattamento con compiti delegati di protezione dei dati oiii) l'incaricato del trattamento dell'esportatore stabilito nell'UE (adesempio, la parte contraente stabilita nell'UE del responsabile del trattamento)si assume la responsabilità di porre rimedio agli atti di altri membridell'organizzazione stabiliti al di fuori dell'UE (qualora abbiano violato leBCR o l'accordo di servizio) o a violazioni del contratto scritto (cui si fariferimento nella sezione 2.2.2.) commesse da subincaricati del trattamentoesterni stabiliti al di fuori dell'UE e, se del caso, di pagare un risarcimentoper gli eventuali danni causati e di intraprendere le azioni necessarie alriguardo. Se sceglie la terza opzione (l'incaricato del trattamentodell'esportatore stabilito nell'UE), l'organizzazione deve fornire all'autoritàdi protezione dei dati principale una spiegazione dei motivi per cui non puòavere un'entità che sia responsabile per tutto il gruppo. Anzichéil membro del gruppo al di fuori dell'UE o del subincaricato del trattamentoesterno stabilito al di fuori dell'UE che ha violato le BCR, il membrodell'organizzazione identificato si assume la responsabilità come se essostesso avesse commesso la violazione nello Stato membro in cui è stabilito. Talemembro non può far valere la violazione degli obblighi ad opera del subincaricato(interno o esterno al gruppo) al fine di escludere la propria responsabilità. Qualoranessun membro dell'organizzazione sia stabilito nell'UE, la sede principale delgruppo, situata al di fuori dell'UE, si assume tale responsabilità. 4.6.2.2.Disposizioni sulla responsabilità per il responsabile del trattamento LeBCR per gli incaricati del trattamento devono stabilire che tutti i responsabilidel trattamento hanno il diritto di far valere le BCR contro qualsiasi membrodel gruppo dell'incaricato del trattamento per le violazioni che ha causato. Ilresponsabile del trattamento dovrebbe anche avere il potere di far valerel'accordo scritto (cui si fa riferimento nella sezione 2.2.2) contro qualsiasi subincaricatoesterno all'origine della violazione. Inoltre,qualora la violazione sia causata da un'entità dell'incaricato del trattamentoo da un subincaricato esterno non stabiliti nell'UE, il responsabile deltrattamento ha il diritto di far valere le BCR per gli incaricati del trattamentocontro l'entità dell'incaricato che ha accettato di assumersi la responsabilità 18 La sedeprincipale nell'UE dell'incaricato del trattamento, o il membro stabilitonell'UE dell'incaricato con compiti delegati di protezione dei dati ol'incaricato dell'esportatore stabilito nell'UE (cfr. la sezione 1.5 deldocumento WP195). 19 Ciò puòaccadere qualora il responsabile del trattamento sia scomparso di fatto, abbiagiuridicamente cessato di esistere o sia divenuto insolvente, a meno che tuttigli obblighi del responsabile del trattamento siano stati trasferiti, percontratto o per legge, all'eventuale successore, nel qual caso gli interessatipossono far valere i loro diritti nei confronti del successore. Nelsuo modulo di richiesta relativo alle BCR per gli incaricati del trattamento,l'organizzazione si impegna a garantire che l'entità che ha accettato diassumersi la responsabilità degli atti di altri membri delle BCR per gliincaricati del trattamento stabiliti al di fuori dell'UE e dei subincaricatiesterni stabiliti al di fuori dell'Unione disponga di risorse sufficienti percorrispondere i risarcimenti dei danni. 4.6.2.3.Disposizioni sull'onere della prova LeBCR per gli incaricati del trattamento devono anche stabilire che, qualora gliinteressati o il responsabile del trattamento possano dimostrare di aver subitodanni e accertare i fatti da cui risulti che verosimilmente i danni si sonoverificati in seguito alla violazione delle BCR per gli incaricati deltrattamento (o dell'accordo di servizio o degli accordi scritti di cui allasezione 2.2.2), spetti al membro del gruppo che ha accettato di assumersi laresponsabilità dimostrare che il membro dell'organizzazione stabilito al difuori dell'UE o il subincaricato esterno non era responsabile della violazioneche ha determinato i danni o che non si è verificata alcuna violazione. Sepuò dimostrare che il membro del gruppo stabilito al di fuori dell'UE non èresponsabile dell'atto, l'entità che si è assunta la responsabilità puòritenere assolto il suo compito. 4.7. Disposizioni sulla giurisdizione Comespiegato in precedenza nel capitolo 4.6.2., l'organizzazione deve ancheaccettare che, qualora non possano presentare ricorso contro il responsabiledel trattamento19 c)nella giurisdizione della sede principale in Europa dell'incaricato deltrattamento, o e)qualora nessun membro dell'organizzazione sia stabilito nell'UE, gliinteressati e il responsabile del trattamento abbiano il diritto di presentarericorso alle autorità di protezione dei dati o ai tribunali del luogo diresidenza o di stabilimento. Se l'interessato o il responsabile del trattamentorisiede/è stabilito al di fuori dell'UE e presenta ricorso a un tribunale di unpaese terzo, le autorità di protezione dei dati dell'UE competenti dovrebberoessere informate dell'esistenza di tale controversia e del relativo esito. Supponendoche il sistema funzioni correttamente garantendo un buon livello di conformitàin tutto il gruppo, lo svolgimento di audit periodici, una gestione efficacedei reclami e la collaborazione con le autorità di protezione dei dati esimili, il coinvolgimento dei tribunali sembra improbabile ma, in ogni caso,non può essere escluso. Detto questo, solo l'esperienza acquisita riguardo a talistrumenti potrà confermare l'esattezza di tale previsione. Siapplicano i principi e le norme relativi alla giurisdizione pertinenticontenuti nella direttiva e nelle normative nazionali. 4.8. Trasparenza Leorganizzazioni che attuano le BCR per gli incaricati del trattamento devonopoter dimostrare che gli interessati hanno facile accesso a tutti gli impegniassunti in base alle BCR che possono far valere come terzi beneficiari. Aquesto proposito, sul sito Internet dell'organizzazione devono esserepubblicate le BCR per gli incaricati del trattamento in modo che sianofacilmente accessibili agli interessati o deve essere disponibile almeno undocumento che includa tutte le informazioni (e non una sintesi) relative aidiritti del terzo beneficiario di cui al capitolo 2.3.3.1. Perquanto riguarda il responsabile del trattamento, l'accordo di serviziogarantisce che le BCR per gli incaricati del trattamento facciano parte delcontratto. Le BCR per gli incaricati del trattamento vanno allegate all'accordodi servizio o deve esserne fatto riferimento con la possibilità di accederviper via elettronica. 5. CONCLUSIONE IlGruppo di lavoro ritiene che gli orientamenti forniti nel presente documentopossano favorire l'applicazione dell'articolo 26, paragrafo 2, della direttivanel caso delle BCR per gli incaricati del trattamento. Questo dovrebbecomportare anche un certo grado di semplificazione per le organizzazionimultinazionali che trattano e scambiano sistematicamente dati personali alivello mondiale per conto dei responsabili del trattamento. Ilcontenuto del presente documento di lavoro non dovrebbe essere considerato ilparere definitivo del Gruppo di lavoro "articolo 29" in materia, maun primo passo importante per sottolineare la possibilità di utilizzare le BCRper gli incaricati del trattamento sulla base di un criterio diautoregolamentazione e di cooperazione tra le autorità, fatta salva lapossibilità di utilizzare altri strumenti per il trasferimento di datipersonali all'estero, come le clausole contrattuali tipo o i principi dell'approdosicuro, nei casi in cui siano applicabili. 21 Fattoa Bruxelles, il 19/4/2013 Peril Gruppo di lavoro 1GU L 281 del 23.11.1995, pag. 31, disponibile all'indirizzo: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:it:HTML. 2Cfr. i documenti WP153, WP154 e WP155 disponibili all'indirizzo: 3Cfr. l'articolo 42 della proposta di regolamento concernentela tutela delle persone fisiche con riguardo al trattamento dei dati personalie la libera circolazione di tali dati,http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_it.pdf. 4Cfr. il documento WP195, adottato il 6 giugno 2012, 5Cfr. il modulo di richiesta di approvazione delle norme vincolanti d'impresaper il trasferimento di dati personali per le attività di trattamento, adottatoil 17 settembre 2012, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195_application_form_en.doc. 6Cfr. il comunicato stampa emesso il 21 dicembre 2012, 8Cfr. il documento WP107, adottato il 14 aprile 2005, disponibile all'indirizzo:http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp107_en.pdf. 9Informazioni sui principali elementi (parti, paesi, sicurezza, garanzie in casodi trasferimenti internazionali, con la possibilità di ottenere una copia deicontratti utilizzati). Le informazioni dettagliate, ad esempio, relative al nomedei subincaricati potrebbero essere fornite in un registro pubblico digitale. 10Op. cit. nota 6. 11L'adozione di un codice di condotta è una fase che le imprese nonsottovalutano, in quanto implica considerevoli rischi nonché conseguenzegiuridiche per le organizzazioni che violano il proprio codice. 13Secondo il 14Questo 15Attualmente è possibile concedere i diritti del terzo beneficiario in uncontratto in tutti gli Stati membri. Cfr. a questo proposito le precedenti esperienzeriguardo alle clausole contrattuali tipo e ai terzi beneficiari. |