Quando si affronta il tema dell’internazionalizzazione del business di impresa molti sono i temi che devono essere affrontati. Particolare importanza assume il tipo di rapporto commerciale che si intende instaurare con clienti e partner, così come i vari vincoli normativi nazionali ed internazionali. Come si possono gestire al meglio le informazioni nell’ambito dell’attività imprenditoriale?
Protezione dati
Il Garante Privacy nel suo vademecum “La privacy da parte dell’impresa” è stato sempre molto attento alla corretta gestione delle informazioni da parte delle imprese. In particolare ha sottolineato come, in considerazione della struttura organizzativa (che può anche risultare molto complessa e policentrica, si pensi proprio al processo di internazionalizzazione) e degli obiettivi di business, è comunque sempre opportuno che emerga “chi fa cosa”, “cosa e come viene fatto” e con quali scadenze. Di qui l’importanza per le imprese di una serie di adempimenti (le informative, il consenso dell’interessato, il controllo sull’attività lavorativa; le misure di sicurezza minime ed idonee; è molto altro ancora).
Trasferimento dati
Il vademecum del Garante affronta anche le questioni relative ai dati personali da“esportare” all’estero in relazione ai quali è necessario attenersi a precise regole, dichiarando che per trasferire dati al di fuori dell’Unione Europea devono essere garantiti standard di protezione adeguati a quelli europei: in caso contrario è vietato trasferire dati personali.
Ai fini di una semplificazione delle relative procedure il Garante pubblica sul proprio sito internet un elenco aggiornato degli Stati “terzi” (cioè non appartenenti all’Unione europea o allo Spazio Economico Europeo) che sono già ritenuti affidabili a livello europeo e per i quali non è necessaria alcuna autorizzazione specifica per il trasferimento.
Nel caso invece di imprese che devono trasferire dati verso Paesi terzi (non inseriti nella lista), anche se soltanto all’interno della propria struttura societaria (per esempio proprio nel caso in cui si stia attuando un piano di sviluppo di internazionalizzazione), è necessario che vengano adottate adeguate norme vincolanti d’impresa (BCR – Binding Corporate Rules) che devono essere autorizzate dalle Autorità Europee di protezione dati come, appunto, il Garante italiano.
Vincoli
A seconda della scelta che si intende fare i vincoli possono essere più o meno stringenti.
- Alcune imprese preferiscono creare all’interno della propria struttura una divisionespecificamente organizzata per interagire con i nuovi mercati soprattutto sotto il profilo del marketing sviluppando pertanto questo settore ricorrendo alle opportunità offerte dall’e-commerce.
- Una ulteriore possibilità, tipica per le imprese di grandi dimensioni, è quella che privilegia invece la c.d. delocalizzazione; in questo caso ci sono indubbi vantaggi sotto molteplici profili, sia per quanto concerne il rapporto diretto con il mercato di riferimento.
- Ultima ipotesi, probabilmente la più facile da seguire dalle PMI è anche quella di agganciarsi a un soggetto imprenditoriale già operante nel mercato di riferimento e che funzioni come ponte verso il nuovo mercato.
Sarà necessario prestare particolare attenzione ai contratti. In merito a ciò è consigliabile ricorrere ai Principi UNIDROIT, in materia di contratti commerciali; in ogni caso dovrà comunque tenersi in debito conto se il processo di internazionalizzazione coinvolge Paesi extracomunitari legati all’Italia da convenzioni e accordi bilaterali anche parziali, ovvero Paesi extracomunitari non convenzionati.
Gestione dati personali
Come già accennato, la normativa europea, in particolare la direttiva 95/46/CE stabilisce che i dati personali possono essere trasferiti in un Paese non appartenente all’Unione Europea qualora il Paese terzo garantisca un livello di protezione adeguato.
Lle BCR possono costituire uno strumento di trasferimento dei dati personali verso Paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE. A tal fine ha adottato tutta una serie diprovvedimenti che indicano i specifici requisiti e clausole che le imprese devono adottare nella redazione delle BCR: WP 74 del 3 giugno 2003, WP 107 del 14 aprile 2005, WP 108 del 14 aprile 2005, WP 153 , WP 154, WP 155 del 24 giugno 2008 e WP 195 del 6 giugno 2012 contenente un nuovo modello di norme vincolanti d’impresa definito “BCR for processor” (cioè il responsabile del trattamento).
Sulla questione è intervenuta anche la Commissione europea la quale ha adottato alcune decisioni contenenti altrettanti set di clausole tra cui quelle:
- per il trasferimento dei dati da un titolare stabilito nel territorio europeo ad un altro titolare stabilito in un Paese extra-UE (decisioni 2001/497/CE e 2004/915/CE);
- per il trasferimento dei dati da un titolare stabilito nel territorio europeo ad un responsabile stabilito in un Paese extra-UE (decisione 2010/87/UE, che introduce nuove definizioni: “esportatore” è il titolare che trasferisce i dati personali e “importatore” è il responsabile o il titolare stabilito nel Paese terzo che riceve i dati).
In Italia, l’art. 44, comma 1, lett. a del Codice Privacy si afferma che il trasferimento di dati personali diretto verso un Paese non appartenente all’Unione Europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato, individuate dall’Autorità anche in relazione a regole di condotta esistenti nell’ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules. In questo modo l’interessato viene garantito sia dal punto di vista normativo potendo applicare le prescrizioni del Codice, sia dal punto di vista privatistico facendo valere nei confronti dell’impresa le Bcr; Tnto è vero, si ritiene, che sotto il profilo strettamente giuridico l’adozione di dette regole di condotta costituiscono un fatto astrattamente idoneo a produrre effetti giuridicamente vincolanti nell’ordinamento giuridico italiano, ai sensi dell’art. 1173 cod. civ.
