LTD UK o SRL ITA Internazionalizzazione delle imprese. Come trasferire i dati personali. Confronto Italia-Regno Unito

LTD UK o SRL ITA – Confronto tra Italia e Regno Unito

La crisi spinge sempre più spesso a ricercare mercati nei quali i propri prodotti ed i propri servizi siano ancora appetibili e sempre più spesso l’internazionalizzazione non è più un’alternativa di investimento ma una vera e propria esigenza.

E’ interessante notare che il Regno Unito, oltre ad essere un mercato interessante sia per le opportunità che offre a livello commerciale, che a livello di tassazione, risulta essere anche ai fini delle multinazionali, il più appetibile a livello di normativa sulla privacy.

L’analisi comprende anche riflessioni aggiornate al recente DL 93/13 in tema di delitti privacy.

LTD UK o SRL ITA – Confronto tra Italia e Regno Unito

Premessa normativa

La normativa europea prevede che il trasferimento di dati personali oggetto di un trattamento (o destinati a essere oggetto di un trattamento dopo il trasferimento) verso un paese terzo possa aver luogo solo quando il paese terzo in questione garantisca un livello di protezione adeguato, prendendo in particolare considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d’origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo stesso, nonché le regole professionali e le misure di sicurezza applicabili.

In particolare, la Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Gazzetta ufficiale n. L 281 del 23/11/1995 pag. 31 – 50) prevede che un trasferimento di dati personali verso un paese terzo che non garantisce una tutela adeguata possa avvenire a condizione che:

“a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto, oppure

b) il trasferimento sia necessario per l’esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o per l’esecuzione di misure precontrattuali prese a richiesta di questa, oppure

c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto, concluso o da concludere nell’interesse della persona interessata, tra il responsabile del trattamento e un terzo, oppure

d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria, oppure

e) il trasferimento sia necessario per la salvaguardia dell’interesse vitale della persona interessata, oppure

f) il trasferimento avvenga a partire da un registro pubblico il quale, in forza di disposizioni legislative o regolamentari, sia predisposto per l’informazione del pubblico e sia aperto alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo, nella misura in cui nel caso specifico siano rispettate le condizioni che la legge prevede per la consultazione.”

Inoltre, fatto salvo quanto sopra, uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato “qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole contrattuali appropriate.”

In ragione della normativa europea sul trattamento dei dati personali, dunque in Europa i dati personali possono circolare nei ventisette paesi membri nonché nei tre membri EEA (Norvegia, Liechtenstein e Islanda).

La Commissione europea ha inoltre il potere di determinare, sulla base dell’articolo 25 (6) della direttiva 95/46/CE, come indicato dal Consiglio e dal Parlamento europeo, se un paese terzo garantisca o meno un livello di protezione adeguato in ragione della propria legislazione domestica o dei impegni internazionali assunti.

Pertanto la Commissione ha definito una lista dei Paesi terzi che devono essere considerati tra quelli che applicano un adeguato livello di protezione ai fini del trattamento dei dati personali alla stregua di quello europeo, senza dover espletare ulteriori formalità.

LTD UK o SRL ITA – Paesi con un buon livello di protezione ai fini del trattamento dei dati personali

Tali Paesi risultano essere al momento: Andorra, Argentina, Autralia, Canada, Svizzera, Isole Faeroe, Guernsey, Stato di Israele, Isola di Man, Jersey, Stati Uniti (per quanto riguarda il trincio del safe harbor ed i trasferimenti di dati relativi ai passeggeri aerei), Nuova Zelanda, Repubblica Est Uruguay.

Qualora il Paese nel quale vengono esportati i dati non sia presente in questa lista o non faccia parte dell’elenco europeo alla quale si applica la normativa europea, sono previsti alcuni meccanismi (es. “Clausole contrattuali tipo” – Si veda in particolare la Decisione della Commissione 2004/915/CE, del 27 dicembre 2004, che modifica la decisione 2001/497/CE per quanto riguarda l’introduzione di un insieme alternativo di clausole contrattuali tipo per il trasferimento di dati personali a paesi terzi) al fine di esportare i dati personali.

Dal 2013, tra di essi, i Garanti per la privacy dei Paesi europei riuniti nel Gruppo “Articolo 29” (istituito dall’art. 29 della Dr. 95/46/Ce), organo consuntivo indipendente dell’Unione Europea per la privacy, hanno previsto ed approvato in particolare una procedura al fine di permettere la circolazione dei dati personali per le imprese che fanno parte di gruppi multinazionali anche al di fuori di questi Paesi per i quali non sia prevista un’adeguata protezione.

Il gruppo di lavoro ha prodotto diversi documenti nell’ottica di pervenire a linee guida utili per le imprese a partire dal 2003 in avanti. Ha fornito inoltre un documento esplicativo, datato 19 aprile 2013, per far comprendere sostanzialmente come una multinazionale si debba comportare nel trattamento dei dati personali per conto dei propri clienti facendoli circolare anche al di fuori dell’Unione europea.

LTD UK o SRL ITA – Normative

Le “Norme vincolanti d’impresa” (Binding Corporate Rules, BCR) sono particolarmente adatte nel caso in cui il responsabile del trattamento (impresa di un gruppo multinazionale) intenda effettuare il trasferimento di dati personali ad un platea grande di altre imprese che fanno parte dello stesso gruppo con sedi in qualsiasi parte del mondo.

Un tipico caso è quello dei servizi di outsourcing o di cloud computing offerti dalle imprese internazionali.

La procedura deve essere approvata da parte delle Autorità garanti nazionali, in merito alle “Norme vincolanti d’impresa” (Binding Corporate Rules, BCR) per “responsabili del trattamento” (“BCR for Processors”).

Tali regole consentono sostanzialmente ad una particolare impresa del gruppo di venire delegata a responsabile del trattamento per conto di titolari (clienti) stabiliti in un Paese dell’Unione europea, sulla base di un adeguato contratto di servizi, con le proprie regole di condotta (“BCR for Processors”) approvate in Europa potrà trattare e comunicare i dati personali all’interno del proprio gruppo, sia per le unità locali o per le sedi e che extra-europee.

Per l’Italia la procedura dovrà essere approvata dall’Autorità Garante per la privacy ed in generale dall’Autorità del paese della società capogruppo. Le BCR fungono sostanzialmente da regole di condotta all’interno di un gruppo multinazionale per spostare dati personali in paesi che non garantiscano una protezione adeguata.

Attualmente risultano essere quarantadue le multinazionali che hanno adottato tali regole.

Nessuno ha scelto l’Italia come sede per il proprio gruppo multinazionale ai fini privacy e la ragione è alquanto lapalissiana.

Si pensi ad esempio all’introduzione dei delitti in tema di privacy, frode informatica e carte di credito falsificate previsti dall’art. 9 c. 2 DL 93/13 che hanno introdotto di fatto la fattispecie delittuale della privacy anche nella responsabilità amministrativa delle società e degli enti (ai sensi e per gli effetti del D.Lgs. 231/01 e successive modifiche ed integrazioni).

In Italia in sostanza una società per dimostrare la propria innocenza ai fini di non essere ritenuta responsabile per i delitti privacy commessi nel proprio interesse o a proprio vantaggio da persone rientranti in posizione apicali (o sottoposti) dovrebbe in generale dimostrare di avere adottato un modello organizzativo atto ed idoneo a prevenire il compimento del reato.

Anche se poi la normativa è stato modificata, nel caso di trasferimento di dati all’estero ritengo che dovrebbe in particolare essere particolarmente importante focalizzarsi sulla fattispecie del trattamento illecito di dati o della falsità nelle dichiarazioni e notificazioni al Garante e nell’inosservanza dei provvedimenti dello stesso, andando a rivedere la propria analisi dei rischi ed aggiornando opportunamente sia il modello organizzativo ex D.lgs. 231/01 che l’analisi dei rischi.

Poiché in tema di trattamento illecito di dati personali, il Testo Unico sulla privacy Italiano, prevede che, salvo che il fatto costituisca più grave reato chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, proceda al trattamento di dati personali in violazione della norma debba essere punito, se dal fatto derivi “nocumento”, in particolare, secondo diversi orientamenti giurisprudenziali, il nocumento sarebbe da intendersi “come perdita patrimoniale o di mancato guadagno derivante dalla circolazione non autorizzata di dati personali”, e non sempre “esclusivamente riferibile a quello derivato alla persona fisica o giuridica cui si riferiscono i dati, ma anche a quello causato a soggetti terzi quale conseguenza dell’illecito trattamento” quando si concretizzi in un pregiudizio sostanziale alla parte offesa.

Pertanto ritengo che la fattispecie della circolazione non autorizzata di dati personali diventi ancora più importante in sede di trasferimento di dati personali.

Anche per le società quotate in borsa in Italia dunque i principi generali ed internazionali di controllo interno dovranno essere riletti ed aggiornati onde valutare il proprio allineamento con il profilo di rischio che caratterizza la stessa società.

In Italia l’art. 44, comma 1, lett. a) del Codice Privacy (D.Lgs. 196/03), stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all’Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato, individuate dall’Autorità anche in relazione a regole di condotta esistenti nell’ambito di società appartenenti a un medesimo gruppo, ovvero proprio le “norme vincolanti di impresa”, garantendo all’interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle norme vincolanti d’impresa stesse.

Tra le sedi più gettonate come sede per il proprio gruppo multinazionale ai fini privacy invece si evidenzia e svetta con il 38% il Regno Unito, seguito al 36% circa dalla Francia e dal 24% circa dai Paesi Bassi.