Dall’analisi dei provvedimenti del Garante Privacy è possibile individuare gli elementi fondanti per la costruzione di efficaci BCR (Binding Corporate Rules) da adottare per il trasferimento di informazioni personali nell’ambito di attività di internazionalizzazione d’impresa, tali da passare indenni al vaglio autorizzativo dell’Autorità.
=> Internazionalizzazione e gestione informazioni
In primo luogo è importante il dato definitorio. La ragione è chiara: nel momento in cui si ragiona in termini di internazionalizzazione, le BCR devono essere conosciute e conoscibili da tutti gli interessati, ne consegue che le norme vincolanti dovranno essere redatte, per forza di cose, quanto meno in due lingue. Tale esigenza pone il problema di ricorrere a termini interpretabili in un solo senso anche in lingue diverse. Dalla lettura dei provvedimenti emessi dal Garante si evince infatti che sono emerse questioni relative – per esempio, ma non solo – alle definizioni di titolare del trattamento, responsabile del trattamento ed incaricato alle misure idonee di sicurezza.Un secondo elemento fondamentale attiene all’individuazione dei soggetti i cui dati personali verranno trasferiti intra-gruppo verso Paesi terzi e che devono essere esattamente individuati ai fini del pieno rispetto dei principi di proporzionalità e necessità dettati dal Codice della Privacy. Gli interessati possono essere: dipendenti (anche “ex”), c.d. “persone a carico”, clientela, fornitori, candidati all’assunzione, tirocinanti, utenti dei siti web, gli azionisti, partner commerciali.
Trattamento
Di pari importanza assume l’esatta individuazione (nel rispetto dei principi appena richiamati) delle finalità del trattamento, per le quali si richiede l’autorizzazione al trasferimento. A titolo di esempio possono: gestione delle risorse umane, adempimenti contabili e amministrativi, attività di customer, management e marketing, gestione del rapporto di lavoro, gestione dei piani di offerta azionaria, sviluppo aziendale e creazione e gestione delle relazioni esterne, infrastruttura e supporto tecnologico, gestione dei mezzi e dei viaggi, conoscenze. Come è facile intuire, la mole di informazioni da gestire e regolare durante e a fine processo di internazionalizzazione è veramente notevole.
Responsabilità
Un punto ulteriore su cui sia la normativa europea sia il Garante italiano si soffermano è la previsione della cosiddetta clausola di responsabilità secondo la quale l’interessato, in qualità di terzo beneficiario, può far valere nei confronti dell’impresa i vincoli previsti dalle BCR innanzi alle Autorità di protezione dei dati personali e alle Autorità Giudiziarie competenti (si ricordi il richiamo sopra accennato all’art.1173 c.c.), anche sotto il profilo del risarcimento del danno. Sotto questo profilo alcune aziende si sono preoccupate, a maggior tutela dell’interessato, anche di prevedere nell’ambito delle proprie BCR un collegamento tra clausola di responsabilità e criteri di scelta in materia di giurisdizione avanti alla quale è possibile ricorrere per far valere i propri diritti.
Privacy
Per sottolineare l’importanza e l’effettivo valore precettivo delle BCR nell’impresa, è consigliabile prevedere nelle norme vincolanti un esplicito richiamo alla privacy policy aziendale o quanto meno ai principi in materia di protezione dei dati personali con particolare riferimento a: diritto di accesso ai dati personali e altri diritti, modalità del trattamento e requisiti dei dati, informativa, diritto di ottenere il blocco o la cancellazione dei dati, trattamento dei dati sensibili e di quelli a carattere giudiziario, misure di sicurezza. Insomma è fondamentale che l’impresa formalizzi la propria conformità alle prescrizioni dettate dal d.lgs. 196/03.
Trasparenza
Un ultima considerazione: in ragione del rilevante valore che assumono ai fini del corretto trattamento dei dati personali trasferiti infra-gruppo verso un Paese terzo, le BCR devono essere portate a conoscenza di tutti i soggetti interessati, in linea con i criteri di consapevolezza, trasparenza e consenso informato che caratterizzano la normativa in tema di privacy. Proprio per tale ragione il Garante ritiene che le BCR, come la privacy policy alle stesse collegate, dovranno essere pubblicate su Internet nel caso della clientela e nell’Intranet aziendale con riguardo ai dipendenti.
Conformità
In chiusura va poi rilevato come il Garante precisi che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio dell’autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi.
Non solo: il Garante precisa altresì che ai sensi dell’art. 154, comma 1, lett. a) e d) del Codice, lo stesso ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d’ufficio, vietare o disporre il blocco, nonché adottare gli ulteriori provvedimenti previsti dalla medesima; si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.
Per quanto scontato sia, va rilevato che ai sensi dell’art. 157 del Codice, l’impresa dovrà comunicare al Garante entro novanta giorni dall’approvazione di eventuali modifiche di carattere sostanziale apportate al testo delle BCR.
__________