Il diritto alla protezione dei dati personali è considerato un diritto fondamentale sia dalle fonti nazionali che da quelle sovranazionali. Nel corso dell’ultimo ventennio tuttavia, la sua tutela rischiava di subire una contrattura a causa dell’imponente sviluppo che ha avuto la dematerializzazione e la digitalizzazione dei dati personali. Tale fenomeno ha fatto sì che i dati personali subissero dei costanti e veloci trasferimenti da un server ad un altro il più delle volte posizionati in paesi differenti e quindi soggetti a differenti normative sul trattamento dei dati personali. Fortunatamente, il Legislatore comunitario non si è fatto trovare impreparato dinanzi a questa sfida che, oltre a coinvolgere gli appartenenti all’Unione Europea, si estende su un piano mondiale. Nel corso di questa trattazione, si porrà l’accento su una particolare tipologia di trasferimento dei dati personali, ossia il traffico dei dati che intercorre tra le società di una medesima multinazionale, dislocate in paesi diversi, che abbiano ad oggetto i dati dei loro dipendenti e dei loro clienti. Il problema principale che ha investito questa tipologia di trasferimenti, era rappresentato dalle differenti legislazioni con cui le multinazionali dovevano confrontarsi al momento del trasferimento dei dati, qualora protagonista del trasferimento medesimo fosse stata una multinazionale che doveva far elaborare i suoi dati ad una sua società dislocata fuori dai confini europei. Ci si trovava di fronte dunque ad una sorta di patchwork legislativo che limitava fortemente il dialogo tra il titolare e il responsabile del trattamento. Sul punto infatti, le disposizioni comunitarie contenute nel Direttiva 95/46 stabilivano che un trasferimento di questo tipo poteva trovare applicazione, solo allorché lo stato di destinazione presentasse delle garanzie di tutela per il diritto alla protezione dei dati personali che rispettassero gli standard presenti all’interno della Comunità Europea. Qualora così non fosse, continuava la Direttiva, il trasferimento dei dati personali poteva avere luogo solo qualora i soggetti che ponevano in essere il trasferimento e il trattamento dei dati fornissero delle adeguate garanzie per la tutela del diritto alla protezione dei dati personali. Si necessitava dunque di uno strumento atto a risolvere due ordini di problemi: assicurare le adeguate garanzie di tutela e oltrepassare l’ostacolo del patchwork legislativo. Tale strumento è rappresentato dalle Binding Corporates Rules – BCR (Norme Vincolanti d’Impresa). Si tratta di uno strumento rappresentato da clausole contrattuali (rules) che, fissando i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate), garantiscono adeguate tutele e permettono di regolare i rapporti tra le diverse parti contrattuali alla luce di un’unica disciplina legislativa. Ovviamente, come si è sostenuto in apertura di trattazione, l’evoluzione digitale ha fatto sì che anche le BCR subissero un’evoluzione per assolvere con efficienza al loro compito di tutela del diritto alla protezione dei dati personali. Tuttavia, più che di evoluzione dello strumento in sé, è più corretto parlare di evoluzione nell’utilizzo che tale strumento ha subito. Le BCR, infatti, seppur disciplinate in maniera superficiale nella Direttiva 95/46, hanno assunto un ruolo centrale nella elaborazione dei pareri e nell’interpretazione delle disposizioni che riguardano il diritto alla tutela dei dati personali da parte del Gruppo di lavoro articolo ex art. 29 (Working Party article 29 di seguito anche “WP 29”, “Gruppo di lavoro” o "Gruppo"). Per il WP 29, le BCR, sono state considerate lo strumento che più efficacemente di ogni altro riesce a fornire una tutela completa ed efficace dei dati personali dei soggetti interessati al trattamento. L’attenzione per le BCR mostrata dal Gruppo di lavoro e la contestuale importanza da esse assunta nel panorama europeo, hanno indotto il Legislatore europeo a darne una più compiuta disciplina nel Regolamento europeo n. 679 del 27 aprile 2016 (di seguito “Regolamento” o “GDPR”). Tale Regolamento è l’espressione della predetta sensibilità che l’Unione Europea dimostra circa la tutela di un diritto fondamentale quale il diritto alla protezione dei dati personali. Particolare attenzione è inoltre rivolta, a quei casi in cui il trasferimento dei dati interessi paesi terzi (extra-europei). Nel corso di questa trattazione ci si muoverà attraverso queste due distinte discipline per comprendere come le BCR rappresentino lo strumento che garantisce efficacemente questa tutela. Si analizzeranno i requisiti che le predette clausole devono presentare per far sì che la tutela sia effettivamente garantita. Infine, saranno oggetto di trattazione gli oneri contrattuali delle parti che sottoscrivono tali clausole, e le responsabilità che derivano in caso di un loro mancato rispetto.
Le clausole Binding Corporate Rules nei contratti per la circolazione transnazionale dei dati tra multinazionali alla luce del nuovo regolamento europeo 2016/679 / Mortati, ANDREA COSMA. - (2018 Sep 24).
Le clausole Binding Corporate Rules nei contratti per la circolazione transnazionale dei dati tra multinazionali alla luce del nuovo regolamento europeo 2016/679
MORTATI, ANDREA COSMA
24/09/2018
Abstract
Il diritto alla protezione dei dati personali è considerato un diritto fondamentale sia dalle fonti nazionali che da quelle sovranazionali. Nel corso dell’ultimo ventennio tuttavia, la sua tutela rischiava di subire una contrattura a causa dell’imponente sviluppo che ha avuto la dematerializzazione e la digitalizzazione dei dati personali. Tale fenomeno ha fatto sì che i dati personali subissero dei costanti e veloci trasferimenti da un server ad un altro il più delle volte posizionati in paesi differenti e quindi soggetti a differenti normative sul trattamento dei dati personali. Fortunatamente, il Legislatore comunitario non si è fatto trovare impreparato dinanzi a questa sfida che, oltre a coinvolgere gli appartenenti all’Unione Europea, si estende su un piano mondiale. Nel corso di questa trattazione, si porrà l’accento su una particolare tipologia di trasferimento dei dati personali, ossia il traffico dei dati che intercorre tra le società di una medesima multinazionale, dislocate in paesi diversi, che abbiano ad oggetto i dati dei loro dipendenti e dei loro clienti. Il problema principale che ha investito questa tipologia di trasferimenti, era rappresentato dalle differenti legislazioni con cui le multinazionali dovevano confrontarsi al momento del trasferimento dei dati, qualora protagonista del trasferimento medesimo fosse stata una multinazionale che doveva far elaborare i suoi dati ad una sua società dislocata fuori dai confini europei. Ci si trovava di fronte dunque ad una sorta di patchwork legislativo che limitava fortemente il dialogo tra il titolare e il responsabile del trattamento. Sul punto infatti, le disposizioni comunitarie contenute nel Direttiva 95/46 stabilivano che un trasferimento di questo tipo poteva trovare applicazione, solo allorché lo stato di destinazione presentasse delle garanzie di tutela per il diritto alla protezione dei dati personali che rispettassero gli standard presenti all’interno della Comunità Europea. Qualora così non fosse, continuava la Direttiva, il trasferimento dei dati personali poteva avere luogo solo qualora i soggetti che ponevano in essere il trasferimento e il trattamento dei dati fornissero delle adeguate garanzie per la tutela del diritto alla protezione dei dati personali. Si necessitava dunque di uno strumento atto a risolvere due ordini di problemi: assicurare le adeguate garanzie di tutela e oltrepassare l’ostacolo del patchwork legislativo. Tale strumento è rappresentato dalle Binding Corporates Rules – BCR (Norme Vincolanti d’Impresa). Si tratta di uno strumento rappresentato da clausole contrattuali (rules) che, fissando i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate), garantiscono adeguate tutele e permettono di regolare i rapporti tra le diverse parti contrattuali alla luce di un’unica disciplina legislativa. Ovviamente, come si è sostenuto in apertura di trattazione, l’evoluzione digitale ha fatto sì che anche le BCR subissero un’evoluzione per assolvere con efficienza al loro compito di tutela del diritto alla protezione dei dati personali. Tuttavia, più che di evoluzione dello strumento in sé, è più corretto parlare di evoluzione nell’utilizzo che tale strumento ha subito. Le BCR, infatti, seppur disciplinate in maniera superficiale nella Direttiva 95/46, hanno assunto un ruolo centrale nella elaborazione dei pareri e nell’interpretazione delle disposizioni che riguardano il diritto alla tutela dei dati personali da parte del Gruppo di lavoro articolo ex art. 29 (Working Party article 29 di seguito anche “WP 29”, “Gruppo di lavoro” o "Gruppo"). Per il WP 29, le BCR, sono state considerate lo strumento che più efficacemente di ogni altro riesce a fornire una tutela completa ed efficace dei dati personali dei soggetti interessati al trattamento. L’attenzione per le BCR mostrata dal Gruppo di lavoro e la contestuale importanza da esse assunta nel panorama europeo, hanno indotto il Legislatore europeo a darne una più compiuta disciplina nel Regolamento europeo n. 679 del 27 aprile 2016 (di seguito “Regolamento” o “GDPR”). Tale Regolamento è l’espressione della predetta sensibilità che l’Unione Europea dimostra circa la tutela di un diritto fondamentale quale il diritto alla protezione dei dati personali. Particolare attenzione è inoltre rivolta, a quei casi in cui il trasferimento dei dati interessi paesi terzi (extra-europei). Nel corso di questa trattazione ci si muoverà attraverso queste due distinte discipline per comprendere come le BCR rappresentino lo strumento che garantisce efficacemente questa tutela. Si analizzeranno i requisiti che le predette clausole devono presentare per far sì che la tutela sia effettivamente garantita. Infine, saranno oggetto di trattazione gli oneri contrattuali delle parti che sottoscrivono tali clausole, e le responsabilità che derivano in caso di un loro mancato rispetto.| File | Dimensione | Formato | |
|---|---|---|---|
|
Tesi_dottorato_Mortati.pdf
accesso aperto
Tipologia:
Tesi di dottorato
Licenza:
Tutti i diritti riservati (All rights reserved)
Dimensione
7.54 MB
Formato
Adobe PDF
|
7.54 MB | Adobe PDF |
I documenti in IRIS sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.
