Legge privacy 675 analisi dei rischi   Privacy e trasferimento dati all'estero     ©CONSULENTIPRIVACY.IT

 

Home - Consulenti Privacy

CHI SIAMO - CONTATTI

Mappa del sito

 

SERVIZI CONSULENZA

 

:. QUESITI E PARERI SULLA PRIVACY

:. PARERI LEGALI

:. CONSULENZA LEGALE

:. ADEGUAMENTO-CONSULENZA

:. DOCUMENTO PROGRAMMATICO

:. VERIFICHE GRATUITE

:. FORMAZIONE 

:. SICUREZZA INFORMATICA

:. NOTIFICA AL GARANTE

 

SEZIONE INFORMATIVA

:. PRIVACY IN PILLOLE

:. SANZIONI

:. CHI DEVE ADEGUARSI?

:. CONTROLLA ADEMPIMENTI

:. CODICE PRIVACY E NORMATIVA

:. PRIVATI E DIRITTO ALLA PRIVACY

 

ARCHIVIO E NEWS dal 1997

 

NORMATIVE ATTINENTI

TESTO UNICO BANCARIO

LEGGE 626/94

 

FAQ

 

SITI UTILI

 

Policy privacy

Privacy e trasferimento dati all'estero

Il Gruppo dei Garanti europei ha approvato un primo documento di lavoro relativo a norme vincolanti d’impresa che  possono offrire garanzie sufficienti ai fini del trasferimento di dati verso Paesi terzi che non dispongono di un livello adeguato di protezione dei dati personali. 

Le norme vincolanti d’impresa sono veri e propri codici di condotta elaborati nell’ambito di un gruppo di imprese e validi per tutte le imprese che di tale gruppo fanno parte.
 

Le imprese possono difatti effettuare un trasferimento di dati verso Paesi terzi, non ritenuti "adeguati" secondo la propria normativa nazionale, sulla base di garanzie sufficienti, che possono consistere, in particolare, in clausole contrattuali appropriate.
 

A livello UE, sono state riconosciute sufficienti delle clausole contrattuali standard relative ai trasferimenti di dati. Ora la Commissione valuta altri strumenti che rivelarsi utili per le imprese, in particolare multinazionali e gruppi societari, che operano in più Paesi, anche al di fuori dell’UE, con legislazioni spesso piuttosto distanti.
 

Sono state date dunque indicazioni più stringenti sui termini e le condizioni che offrono garanzie sufficienti.
 

La possibilità di utilizzare queste norme vincolanti di impresa per i trasferimenti di dati personali da imprese europee ad altre società appartenenti allo stesso gruppo multinazionale presuppone almeno che: 

a) le norme d’impresa siano effettivamente vincolanti; 

b) si tratti, appunto, di norme d’impresa, ossia di norme elaborate da un gruppo multinazionale ed effettivamente valide per tutte le società che di tale gruppo fanno parte. Ciò significa, in pratica, che per il trasferimento di dati verso soggetti terzi extra-gruppo, le norme d’impresa non possono avere, ovviamente, alcuna validità e dunque si dovrà ricorrere, eventualmente, ad altri strumenti contrattuali come le clausole standard.
 

Quanto alla vincolatività delle norme, le Autorità per la protezione dei dai europee sottolineano che essa deve sussistere sia all’interno del gruppo di imprese, sia nei confronti del mondo esterno. 

I Garanti suggeriscono l'uso di clausole da inserire nei contratti che regolano i rapporti fra le imprese del gruppo e di strumenti per assicurare all’interno del gruppo il rispetto delle norme d’impresa: sanzioni disciplinari in caso di violazione delle norme, un’adeguata sensibilizzazione del personale, corsi di formazione speciali.
 

Ma vengono fornite anche dettagliate indicazioni sul contenuto delle norme. Occorre prevedere:

  • un controllo regolare da parte di revisori esterni, e la possibilità per le autorità nazionali di protezione dati di condurre accertamenti; 

  • la  specificazione dei meccanismi di trattazione di eventuali ricorsi individuali, e di  quali siano gli uffici competenti all’interno del gruppo; 

  • l’obbligo di cooperare con le autorità di protezione dati, con l’impegno ad accettare sia i controlli esterni, sia le indicazioni fornite dalle autorità rispetto all’interpretazione e all’applicazione delle norme stesse; 

  • l’indicazione che gli interessati beneficiano degli stessi rimedi giuridici ai quali avrebbero diritto se il trattamento svolto dalla multinazionale fosse soggetto alla direttiva o alla legge nazionale di uno degli Stati membri;

  • la responsabilità congiunta e solidale della capogruppo rispetto alle violazioni commesse da altre società appartenenti al gruppo, e l’impegno della capogruppo a farsi carico di eventuali risarcimenti (qualora la capogruppo non sia stabilita in Europa, tale responsabilità deve essere delegata ad una delle società con sede in Europa);

  • l’onere della prova deve ricadere non già sull’interessato,  il quale non deve essere tenuto a dimostrare la violazione commessa dalla singola società nel Paese terzo, ma sulla capogruppo o sulla società con sede nell’UE delegata alla trattazione delle tematiche di protezione dati, che deve dimostrare l’estraneità della società situata nel Paese terzo in questione;

  • l’interessato deve avere la possibilità di citare in giudizio la multinazionale (qualora intenda chiedere un risarcimento, oppure non sia soddisfatto dell’esito della procedura interna di ricorso sopra menzionata) e di scegliere se farlo nello Stato in cui ha sede la società che ha inizialmente trasferito i dati, oppure nello Stato ove ha sede la capogruppo europea o la società europea delegata alla trattazione delle tematiche di protezione dati.

I Garanti evidenziano, infine, un punto fondamentale: la necessità di estendere agli interessati lo status di "terzi beneficiari" già riconosciuto loro dalle clausole contrattuali standard. Questo significa il diritto: di essere informati prima del trasferimento di dati sensibili che li riguardino; di ottenere copia delle norme; di ottenere risposta, in tempi ragionevoli, a richieste concernenti il trattamento dei loro dati in Paesi terzi; di ottenere eventuali risarcimenti in caso di violazione delle norme; di adire le autorità giudiziarie europee nei termini previsti dalle norme stesse, etc.

Nei Paesi nei quali non è considerato sufficiente a livello giuridico l’impegno assunto unilateralmente da una società, si potrà aggiungere una clausola ad hoc ("clausola del terzo beneficiario") al contratto che regola il rapporto fra le società appartenenti al gruppo.

Dalla newsletter del Garante di giugno 2003 www.garanteprivacy.it