Trasferimento dati infragruppo

Capita sovente che i gruppi aziendali abbiano necessità di poter trasferire, tra le varie sedi del gruppo, dati personali. Con altrettanta frequenza i gruppi hanno sedi all’esterno di quello che è il contesto geopolitico dell’Unione Europea e, tecnicamente parlando, si è in presenza di un trasferimento di dati personali verso paesi terzi, fattispecie regolata dagli art. 44 e seguenti del GDPR (per approfondimento leggi questo articolo)

In particolare, l’art. 47 GDPR disciplina le norme vincolanti d’impresa, o come denominate in inglese Binding Corporate Rules – BCR, a chiusura delle garanzie adeguate per il trasferimento dati verso paesi terzi, per i gruppi imprenditoriali al fine di poter permettere a tali gruppi di effettuare trasferimenti su basi legittime e garanzie adeguate. Le BCR dovranno essere approvate dall’autorità di controllo competente (per approfondimenti leggi l’articolo sulle autorità di controllo capofila e relativa identificazione).

Tali norme, oltre a dover essere giuridicamente vincolanti per tutti i membri del gruppo imprenditoriale (compresi i dipendenti) e conferire agli interessati diritti azionabili, devono contenere almeno i requisiti indicati al par. 2 dell’art. 47.

In particolare, le norme vincolanti dovranno indicare la struttura del gruppo imprenditoriale, le coordinate di contatto sia del gruppo che dei singoli membri e dovranno, altresì, indicare nel dettaglio i trasferimenti dati che vengono effettuati.

Le norme vincolanti dovranno indicare puntualmente “l’applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione della finalità, alla minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualità dei dati, alla protezione fin dalla progettazione e alla protezione per impostazione predefinita, alla base giuridica del trattamento e al trattamento di categorie particolari di dati personali, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organismi che non sono vincolati dalle norme vincolanti d’impresa”.

Come si può notare, le disposizioni di cui sopra risultano simili alle disposizioni di cui al registro del registro del trattamento ex art. 30 GDPR che, in questo caso, sarà molto utile tenere per adempiere agli obblighi normativi e monitorare i flussi di trattamento dati all’interno sia del gruppo che delle singole sedi.

L’art. 47 GDPR dispone ulteriori requisiti al fine di poter elaborare delle BCR in grado di costituire una garanzia adeguata per il trasferimento dati verso paesi terzi.

Oltre ai “canonici” requisiti di indicare la struttura e le coordinate di contatto del gruppo e delle sedi, nonché della natura giuridicamente vincolante (sia interna che esterna) delle BCR, il par. 2 dell’art. 47 indica l’obbligo di indicazione dei diritti degli interessati e delle relative modalità di esercizio all’interno del gruppo: a titolo esemplificativo, l’interessato che esercita il diritto di oblio dovrà ottenere la cancellazione da parte di tutti i membri del gruppo.

Il par. 2 continua con le indicazioni sull’obbligo di assunzione di responsabilità per la violazione delle norme in capo ad un’entità giuridica, da identificarsi tra titolare e responsabile, all’interno dell’Unione Europea. Inoltre, sarà importante definire quelle che sono i compiti della figura responsabile della vigilanza sul rispetto delle BCR, in particolare ove tale figura sia un DPO.

In chiusura, il par. 2 sancisce l’obbligo di dotazione di meccanismi idonei per verificare periodicamente il rispetto delle regole infragruppo (c.d. attività di audit) e delle procedure di reclamo, oltre a meccanismi per permettere un rapporto costante e trasparente con l’autorità di controllo.

Fondamentale importanza, nonostante venga indicata sempre in ultima battuta, viene rivestita dalla formazione per tutto il gruppo, i membri e i relativi livelli interni.

Vuoi innovare la tua azienda? Contattaci per una consulenza legal-tech:


    Cliccando sul pulsante "Invia Messaggio" si acconsente al trattamento dei dati personali come disposto dall'Informativa sulla Privacy

    Related Posts

    23

    Ott
    AB/blog, GDPR e Data Strategy

    Privacy e DPO: cosa fa e come sceglierlo

    La figura del Data Protection Officer (DPO), a volte chiamato impropriamente Data Privacy Officer e tradotto in italiano con Responsabile della Protezione dei dati personali (RPD), è la figura introdotta dal GDPR che si eleva a responsabile privacy nelle aziende e nelle pubbliche amministrazioni.   Quando nominare il responsabile privacy, o meglio il nostro DPO?   L’art.[…]

    19

    Ott
    AB/blog, Contrattualistica Legal Tech

    Legal tech: L’innovazione è nel rapporto tra technology e legal

    Il settore legale è stato fortemente rivoluzionato negli ultimi decenni dal cambio del mercato e dalla percezione del consulente legale, ma è negli ultimi anni che, grazie allo sviluppo delle nuove tecnologie, la consulenza legale ha visto il suo spostamento verso il legal-tech. Quando si parla di legal-tech bisogna pensare a due macro-argomenti: i) la consulenza legale[…]