Privacy: Le BCR nel trasferimento dati extra UE – parte 2 (mini-guide)

Parte 1 – Le regole generali nel trasferimento dei dati verso l’estero.

Quali sono i principali vantaggi delle BCR?

Il rilascio di un’autorizzazione al trasferimento di dati personali tramite Bcr consente alle filiali della multinazionale che ne abbia fatto richiesta, anche se stabilite in diversi Paesi, di trasferire, all’interno del gruppo d’impresa, i dati personali oggetto delle Bcr, senza ulteriori adempimenti (quali ad esempio la sottoscrizione di Clausole contrattuali tipo, l’adesione all’accordo Safe Harbour, il rilascio di specifiche autorizzazioni ai sensi del Codice).

Da quale strumento normativo traggono efficacia?

Le Bcr traggono efficacia dalla concessione di una autorizzazione del Garante al trasferimento dei dati personali verso Paesi terzi (art.icolo 45, lettera a), del decreto legislativo 196/2003 – ” Codice”).
L’autorizzazione è rilasciata dietro espressa richiesta della società interessata, con riferimento a trasferimenti di dati personali dall’Italia verso Paesi terzi che si svolgano nel rispetto di quanto stabilito all’interno del testo di Bcr e per le sole finalità ivi indicate.

Come viene predisposto il testo di Bcr?

La procedura per la definizione del testo di Bcr prevede una fase “europea” ed una fase “nazionale”; quest’ultima è finalizzata al rilascio dell’autorizzazione nazionale (ove necessaria, come in Italia).

Dal momento che le Bcr hanno ad oggetto i flussi di dati personali tra società appartenenti a un unico gruppo di impresa e dislocate in diversi paesi del mondo, l’autorizzazione al trasferimento transfrontaliero di dati tramite Bcr trova una sua utilità esclusivamente se rilasciata da tutte le Autorità di protezione dei dati (Data Protection Authorities – “DPAs”) competenti negli Stati Membri da cui hanno origine i trasferimenti.

Per questo motivo, il Gruppo Articolo 29 ha elaborato una procedura di cooperazione a livello europeo (cfr. WP 107) in grado di assicurare la predisposizione di un testo di Bcr condiviso da tutte le Autorità e valevole per tutti i trasferimenti oggetto delle Bcr medesime.
Tale procedura è condotta da una sola Autorità (c.d. “lead Authority”) la quale dialoga, in rappresentanza di tutte le altre DPA, con la società capogruppo.
In particolare, la lead Authority esamina la bozza di Bcr presentata dalla società (c.d. “consolidated draft”), la invia alle altre Autorità per riceverne eventuali commenti (Fase 1) e dialoga con la società per la predisposizione di un testo che accolga tutte le osservazioni formulate (c.d. “final draft” – Fase 2).

Il documento così redatto è inviato alle Autorità partecipanti alla procedura, al fine di ottenerne una valutazione  positiva in termini di adeguatezza del livello di protezione dei dati personali.
Di recente, alcune Autorità (fra cui il Garante) hanno aderito ad una dichiarazione di intenti, c.d. “dichiarazione di Mutuo riconoscimento”, al fine di semplificare la procedura di approvazione del testo di Bcr a livello europeo, velocizzandone la relativa tempistica.

Ai sensi di tale nuovo modello, la lead Authority, con il supporto di altre due Autorità, dialoga con la società capogruppo al fine di giungere alla predisposizione di un testo ritenuto in linea con i principi fissati dai documenti del Gruppo Articolo 29 in materia di Bcr:  WP 74 –  WP 108 –  WP 153 – (Fase 1).

Il parere con il quale la lead Authority attesta la conformità del testo di Bcr ai principi sopra indicati è considerato dalle altre Autorità aderenti al sistema di Mutuo riconoscimento quale fondamento sufficiente al rilascio della rispettiva autorizzazione nazionale (Fase 2).

Procedura a livello nazionale

Qualora la singola Autorità si esprima a favore del testo di Bcr, ovvero una volta raggiunta la definizione di un testo di Bcr giudicato conforme dalla lead Authority in base alla procedura semplificata sopra descritta, l’Autorità nazionale potrà procedere al rilascio di un’autorizzazione nazionale al trasferimento dei dati personali oggetto del testo medesimo, ove prevista (Fase 3).

Come si articola la procedura nazionale di autorizzazione dinanzi al Garante per la protezione dei dati personali?

Il titolare del trattamento stabilito sul territorio dello Stato italiano deve trasmettere al Garante una specifica richiesta di autorizzazione ai trasferimenti di dati personali dal territorio dello Stato verso Paesi Terzi tramite Bcr.