Le norme vincolanti d'impresa (Binding Corporate Rules

validità delle norme vincolanti d'impresa, delle quali si offre per la prima volta una definizione legale:<<politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale339

o di un gruppo di imprese che svolge un'attività economica comune>> (art. 4, par. 20). Esse costituiscono una sorta di codice di condotta interno alle società multinazionali, che fissa a livello globale una

privacy policy di gruppo e regola i trasferimenti verso tutti i rami

societari, a prescindere dalla sede.

Si tratta di strumenti che valgono ad assicurare la sussistenza di garanzie adeguate, rendendo fluidi i trasferimenti intra-gruppo, anche nel caso che la società di destinazione si trovi in un Paese terzo che non beneficia di una decisione di adeguatezza circa il livello di protezione offerto dal suo ordinamento.

In passato, sebbene le Binding Corporate Rules non fossero in alcun modo menzionate nella direttiva, tale nozione era stata supportata e sviluppata in una serie di documenti del Gruppo di lavoro Articolo 29, che si era sforzato di enucleare i principi sostanziali e procedurali, che dovevano essere inclusi nelle BCR, e di definirne meglio la struttura.

Nella comunicazione della Commissione, intitolata “Salvaguardare la privacy in un mondo interconnesso”, si era espresso l’obiettivo di razionalizzare ed estendere il ricorso a tali

339

L’art. 4, par. 19 del regolamento precisa che per “gruppo imprenditoriale” s’intende <<un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate>>.

180

strumenti340, poiché presentano il vantaggio di consentire <<l’applicazione di un unico corpus di regole in tutto il gruppo, senza dover concludere diversi contratti a livello interno>> in relazione a singoli trasferimenti.

Il regolamento persegue tale obiettivo con l'art. 47, che disciplina specificamente i trasferimenti di dati personali fondati sul sistema delle norme vincolanti d’impresa.

Esse vengono approvate dall’autorità di controllo competente in base al meccanismo di coerenza, a condizione che:

<<a) siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune, compresi i loro dipendenti; b) conferiscano espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali; e

c) soddisfino i requisiti di cui al paragrafo 2>> (art. 47, par. 1).

In particolare il paragrafo 2 individua dettagliatamente il contenuto minimale che le BCR devono presentare341.

Il regolamento ha ripreso molti degli aspetti contenutistici già individuati nelle linee guida del Gruppo di lavoro Articolo 29342, sviluppando tali spunti ed aggiungendo riferimenti ad alcuni principi e obblighi introdotti dalla riforma, ma non chiarisce come nuovi

340

COMMISSIONE EUROPEA, Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato Economico e Sociale Europeo e al Comitato delle Regioni, “Salvaguardare la privacy in un mondo interconnesso - Un quadro europeo della protezione dei dati per il XXI secolo”, COM(2012) 9 final, p. 12.

341

Per completezza si ricorda che l’art. 47, par. 3 attribuisce alla Commissione il potere di adottare atti di esecuzione per <<specificare il formato e le procedure per lo scambio di informazioni tra titolari del trattamento, responsabili del trattamento e autorità di controllo in merito alle norme vincolanti d'impresa>>.

342

Per una sintesi, si veda EUROPEAN COMMISSION, Frequently Asked

Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries,

http://ec.europa.eu/justice/policies/privacy/docs/international_transfers_faq/internat ional_transfers_faq.pdf, pp. 43-46.

181

membri di un gruppo di imprese possano essere inclusi nelle BCR, né come possa avvenire l’esclusione di precedenti membri343.

La semplificazione del relativo meccanismo di approvazione si realizza mediante l’attribuzione di un ruolo centrale all’autorità di controllo capofila, che potrà rendere valide le norme vincolanti d’impresa in tutto il territorio europeo, senza la necessità di ulteriori autorizzazioni da parte di altre autorità di controllo in ambito nazionale. In passato, invece, nonostante il Gruppo di lavoro Articolo 29 avesse escogitato un percorso agevolato, la c.d. “procedura di cooperazione”344

, rimaneva il problema di fondo per cui la decisione assunta dalla “lead authority” non vincolava necessariamente le altre autorità di controllo, che comunque dovevano procedere al rilascio di autorizzazioni a livello nazionale, ove previsto. Ciò aumentava gli oneri amministrativi e rallentava i tempi di approvazione delle

Binding Corporate Rules, a scapito delle esigenze del gruppo

d’imprese interessato.

Nel complesso la scelta di codificare lo strumento delle BCR, sancendone espressamente il carattere giuridicamente vincolante e precisandone i requisiti contenutistici, deve ritenersi positiva per una duplice ragione: a) la predisposizione di un’esplicita disciplina legale assicurerà maggiore certezza giuridica in favore degli operatori e delle stesse autorità di controllo; b) il ricorso al meccanismo di coerenza anche in tale ambito contribuirà a una piena armonizzazione del quadro normativo a livello dell’Unione, dal momento che in precedenza alcuni ordinamenti non riconoscevano affatto le norme vincolanti d’impresa345

.

343

Rolf H. WEBER, “Transborder data transfers: concepts, regulatory approaches and new legislative initiatives”, International Data Privacy Law, 2013, Vol. 3, N. 2, p. 128.

344

V. ARTICLE 29 WORKING PARTY, Working Document Setting Forth a Co-

Operation Procedure for Issuing Common Opinions on Adequate Safeguards Resulting From “Binding Corporate Rules” (WP 107, 14 April 2005).

345

Sian RUDGARD, Hannah JACKSON, “BCRs under the Regulation - reasons to be cheerful?”, Privacy & Data Protection, 2012, Vol. 13, Issue 1, p. 8.

182

2.2. I meccanismi di certificazione ed i sigilli di protezione dei dati