Trasferimento dati infragruppo

Capita sovente che i gruppi aziendali abbiano necessità di poter trasferire, tra le varie sedi del gruppo, dati personali. Con altrettanta frequenza i gruppi hanno sedi all’esterno di quello che è il contesto geopolitico dell’Unione Europea e, tecnicamente parlando, si è in presenza di un trasferimento di dati personali verso paesi terzi, fattispecie regolata dagli art. 44 e seguenti del GDPR (per approfondimento leggi questo articolo)

In particolare, l’art. 47 GDPR disciplina le norme vincolanti d’impresa, o come denominate in inglese Binding Corporate Rules – BCR, a chiusura delle garanzie adeguate per il trasferimento dati verso paesi terzi, per i gruppi imprenditoriali al fine di poter permettere a tali gruppi di effettuare trasferimenti su basi legittime e garanzie adeguate. Le BCR dovranno essere approvate dall’autorità di controllo competente (per approfondimenti leggi l’articolo sulle autorità di controllo capofila e relativa identificazione).

Tali norme, oltre a dover essere giuridicamente vincolanti per tutti i membri del gruppo imprenditoriale (compresi i dipendenti) e conferire agli interessati diritti azionabili, devono contenere almeno i requisiti indicati al par. 2 dell’art. 47.

In particolare, le norme vincolanti dovranno indicare la struttura del gruppo imprenditoriale, le coordinate di contatto sia del gruppo che dei singoli membri e dovranno, altresì, indicare nel dettaglio i trasferimenti dati che vengono effettuati.

Le norme vincolanti dovranno indicare puntualmente “l’applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione della finalità, alla minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualità dei dati, alla protezione fin dalla progettazione e alla protezione per impostazione predefinita, alla base giuridica del trattamento e al trattamento di categorie particolari di dati personali, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organismi che non sono vincolati dalle norme vincolanti d’impresa”.

Come si può notare, le disposizioni di cui sopra risultano simili alle disposizioni di cui al registro del registro del trattamento ex art. 30 GDPR che, in questo caso, sarà molto utile tenere per adempiere agli obblighi normativi e monitorare i flussi di trattamento dati all’interno sia del gruppo che delle singole sedi.

L’art. 47 GDPR dispone ulteriori requisiti al fine di poter elaborare delle BCR in grado di costituire una garanzia adeguata per il trasferimento dati verso paesi terzi.

Oltre ai “canonici” requisiti di indicare la struttura e le coordinate di contatto del gruppo e delle sedi, nonché della natura giuridicamente vincolante (sia interna che esterna) delle BCR, il par. 2 dell’art. 47 indica l’obbligo di indicazione dei diritti degli interessati e delle relative modalità di esercizio all’interno del gruppo: a titolo esemplificativo, l’interessato che esercita il diritto di oblio dovrà ottenere la cancellazione da parte di tutti i membri del gruppo.

Il par. 2 continua con le indicazioni sull’obbligo di assunzione di responsabilità per la violazione delle norme in capo ad un’entità giuridica, da identificarsi tra titolare e responsabile, all’interno dell’Unione Europea. Inoltre, sarà importante definire quelle che sono i compiti della figura responsabile della vigilanza sul rispetto delle BCR, in particolare ove tale figura sia un DPO.

In chiusura, il par. 2 sancisce l’obbligo di dotazione di meccanismi idonei per verificare periodicamente il rispetto delle regole infragruppo (c.d. attività di audit) e delle procedure di reclamo, oltre a meccanismi per permettere un rapporto costante e trasparente con l’autorità di controllo.

Fondamentale importanza, nonostante venga indicata sempre in ultima battuta, viene rivestita dalla formazione per tutto il gruppo, i membri e i relativi livelli interni.

Ti è piaciuto questo contenuto? Contattaci per approfondimenti:


Cliccando sul pulsante "Invia Messaggio" si acconsente al trattamento dei dati personali come disposto dall'Informativa sulla Privacy

Related Posts

15

Giu
Diritto societario

Il Covid-19 e la vita societaria – L’applicazione e l’operatività della clausola Material Adverse Change

Tra gli effetti economici della diffusione del coronavirus, ce n’è uno di carattere squisitamente tecnico che potrebbe avere conseguenze incalcolabili, relativo al “sistematico” inserimento nei contratti societari della clausola cosiddetta “MAC” (in italiano “clausola di assenza di effetti sfavorevoli”). Talvolta denominate “Material Adverse Effect” o “Material Adverse Event”, queste clausole, nate dalla prassi dei contratti di M&A, dispiegano loro utilità laddove sussista […]

01

Giu
GDPR e Data Strategy

Trasferimento dati verso paesi terzi: la fattispecie

Gli art. 44 e seguenti del GDPR disciplinano il trasferimento di dati verso Paesi terzi (per tali intesi gli Stati non ricompresi nell’Unione Europea), in quanto tale trasferimento può avere luogo solo vi siano, alternativamente: Decisione di adeguatezza; o Trasferimento soggetto a garanzie; o Norme vincolanti d’impresa Decisione di adeguatezza L’art. 45 GDPR prevede che il trasferimento[…]

29

Mag
Diritto societario

Il Covid-19 e la vita societaria – L’assemblea societaria “digitale”

Come è noto, la pandemia in atto in questo periodo, causata dal diffondersi del Covid-19, ha indotto in primis il legislatore ad introdurre delle misure stringenti al fine di limitare il più possibile gli assembramenti di persone e in seconda istanza la società a dover adattarsi a trovare una nuova comfort zone. Oggi portiamo un esempio che ha influenzato molto la[…]