Italia
La globalizzazione dei flussi e dei mercati richiede soluzioni innovative affinché le imprese multinazionali possano utilizzare modalità non burocratiche, ma pur sempre di garanzia per i cittadini, nel trasferire dati personali verso Paesi fuori dell’Unione europea. Occorre dunque rendere effettive anche in Italia le “norme vincolanti di impresa” applicate uniformemente dai gruppi aziendali che operano contemporaneamente in diversi Paesi.
É quanto chiede il Garante per la protezione dei dati personali il quale ha segnalato a Parlamento e Governo l’esigenza di integrare la normativa italiana sulla privacy con una norma che consenta al Garante di autorizzare le società appartenenti ad uno stesso gruppo, e operanti in Paesi diversi, a trasferire dati personali dall’Italia sulla base delle garanzie che il gruppo stesso si vincola ad osservare una volta che esse siano state vagliate positivamente dalle Autorità di protezione dati Ue.
Sono diversi i Paesi fuori dell’Ue e dello Spazio economico europeo che non garantiscono un livello adeguato di tutela dei dati personali in base alla direttiva europea del 1995. Dopo le prime esperienze delle clausole contrattuali-tipo, delle valutazioni specifiche di “adeguatezza” di singoli Paesi e dell’accordo Safe Harbour con gli Usa, la Commissione europea e i Garanti europei hanno individuato un’ ulteriore modalità per porre i gruppi di imprese in condizione di operare in base a garanzie uniformi e certificate con un procedimento valido per tutti i Paesi europei: appunto, le cosiddette “Binding Corporate Rules” (BCR), particolarmente adatte per realtà imprenditoriali che hanno sedi di diversi Paesi e che si impegnano a farle rispettare effettivamente in tutto il gruppo.
Già in alcuni Paesi dell’Ue, come Francia e Repubblica federale tedesca, il legislatore ha introdotto nella normativa nazionale un riferimento a “regole interne” al gruppo.
Il Codice italiano sulla protezione dei dati personali non reca espresse indicazioni in materia. Consapevole dell’importanza che rivestono oggi i flussi di dati anche per lo sviluppo del mercato e della necessità di conciliare tale sviluppo con il rispetto di alti livelli di tutela dei dati, il Garante ha invitato Parlamento e Governo a prendere in esame la possibilità di inserire nel Codice un’apposita norma. Tale norma, nel prevedere la possibilità per il Garante di autorizzare il trasferimento sulla base delle garanzie assicurate dalle imprese stesse anche mediante “regole di condotta esistenti nell’ambito di società appartenenti ad un medesimo gruppo”, dovrà specificare che i cittadini interessati saranno garantiti anche in Italia in caso di mancata osservanza dell’impegno a rispettare le Bcr.
