Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'analisi

Aziende con sedi all’estero: le regole di compliance GDPR per gestire i dati

I consigli per tutte le aziende che hanno sedi operative all’estero e devono gestire dati personali: le regole del GDPR puntano ad assicurare la data protection anche in caso di trasferimento delle informazioni verso altri Paesi

24 Ott 2019
C
Sara Crincoli

Privacy Officer mydpo.it


Spesso le grandi aziende hanno sedi all’estero e i dati personali circolano fra di esse senza adeguate tutele.

Il caso si complica maggiormente quando ci troviamo di fronte a multinazionali con sedi extra UE. In merito a questo punto, il GDPR è molto chiaro e vieta il trasferimento di dati personali da Paesi appartenenti all’UE verso Paesi “terzi”, a meno che il Paese di destinazione non garantisce un livello di protezione ritenuto “adeguato” sulla base di specifiche decisioni di adeguatezza adottate dalla commissione.

Cerchiamo, quindi, di analizzare i vari casi che si possono presentare per le multinazionali o comunque per aziende che hanno la necessità di trasferire i dati all’estero e il ruolo del DPO.

Il trasferimento di dati verso Paesi terzi

Il trasferimento dei dati verso Paesi terzi è possibile, ma è importante mantenerne il controllo. Uno dei primi problemi che il GDPR pone alle aziende con sedi all’estero riguarda il tracciamento del dato durante il suo itinerario, soprattutto quando circola oltre i confini.

Nella società dell’informazione attuale, grazie anche all’uso intensivo delle reti e del cloud, il concetto di confine (inteso come “barriera”) viene a cadere e le informazioni, soprattutto nelle multinazionali, attraversano il globo passando da una business unit a un’altra o da sedi centrali a clienti in tutto il mondo.

Il fine che la normativa vuole raggiungere è quello di garantire lo stesso livello di protezione in ogni luogo in cui il dato giunge o dove l’informazione è custodita.

In altre parole: il dato può essere trasferito solo verso Paesi che garantiscano, in vari modi, un livello di sicurezza equivalente a quello previsto in Unione Europea dal GDPR.

La Commissione europea può stabilire che il livello di protezione offerto in un determinato Paese è adeguato e che, pertanto, è possibile trasferirvi dati personali. Ma nel caso delle multinazionali? Come possono muoversi in merito? La risposta è: Binding Corporate Rules.

Binding Corporate Rules, cosa sono

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Si tratta di uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi (extra-UE) tra società facenti parte dello stesso gruppo d’impresa.

Si concretizzano in un unico documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).

Le BCR costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società a carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.

Altro aspetto sicuramente importante, già preannunciato all’inizio di questo articolo, riguarda la nomina del DPO: è possibile nominare un DPO unico per le multinazionali? Le multinazionali possono nominare un unico DPO a condizione che sia facilmente contattabile da ciascuna sede del gruppo.

A tal fine, il titolare o il responsabile del trattamento sono tenuti a pubblicare i dati di contatto del soggetto nominato ed a comunicarli all’autorità di controllo.

Inoltre, è fondamentale che il Data Protection Officer sia tempestivamente e adeguatamente coinvolto in tutte le questioni che riguardano la protezione dei dati personali e che gli siano fornite le risorse necessarie per lo svolgimento delle sue funzioni in maniera del tutto indipendente.

Alcune multinazionali che hanno la sede “madre” all’estero (ad esempio in Francia, Germania o altri Paesi) hanno scelto di mantenere un solo DPO nel Paese di origine e di prevedere degli uffici ad hoc nei singoli Paesi, dei veri e propri uffici (privacy office) che gestiscono le questioni relative alla protezione dei dati e si relazionano con il DPO “centrale”.

Si tratta di una strategia che può garantire efficienza, anche se molto spesso la conoscenza della normativa specifica nel singolo Paese (si pensi, ad esempio, ai temi del diritto del lavoro) o la necessità di dialogare con l’autorità di controllo locale possono suggerire l’opportunità di nominare anche un DPO “locale” nel Paese della business unit.

Ciò comporterà la necessità di coordinamento, soprattutto nel caso di adempimenti che richiedono una reazione rapida, che potrebbe essere viziata dalle distanze o dalle comunicazioni tra Paese e Paese.

Si pensi, ad esempio, alla denuncia di un data breach o alla risposta a un interessato che eserciti i suoi diritti. In caso d’ispezione, peraltro, la figura del DPO riveste un ruolo fondamentale: viene valutato fin da subito il suo grado di reperibilità e la sua disponibilità a raggiungere la sede e a seguire l’ispezione: elementi questi che andranno ad innalzare il livello di accountability del titolare del trattamento.

Aziende con sedi all’estero: il ruolo dell’accountability

Il concetto di accountability assume un ruolo fondamentale, anche nelle aziende con sedi all’estero: è il metro di valutazione del giusto comportamento che il titolare del trattamento deve adottare davanti ad un quesito, ad un problema, al dubbio sul corretto processo organizzativo o tecnico alla base di un trattamento dei dati.

Il concetto è legato al rendere conto dell’azione fatta o da fare, a rendicontare i risultati ottenuti e le cose fatte (fatte bene e fatte male). In italiano viene tradotto con il termine “responsabilizzazione” in quanto “accountability” non ha un diretto equivalente nella nostra lingua.

Responsabilizzarsi non vuol dire soltanto confrontarsi agli obblighi di legge, ma anche e soprattutto avere un atteggiamento proattivo che non si esaurisca nel semplice adempimento ma, ad esempio, come richiamato dalla norma del considerando 74, si spinga fino al “dimostrare l’efficacia delle misure adottate”.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Difatti, nel caso in cui l’autorità di controllo accerti una violazione, nel calcolo della sanzione si terrà in debito conto delle capacità del titolare di attenuare i rischi e di rendicontare le proprie scelte in tema di misure di sicurezza.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3