Articolo 47

Norme vincolanti d’impresa

  • L’autorit├á di controllo competente approva le norme vincolanti d’impresa in conformit├á del meccanismo di coerenza di cui all’articolo 63, a condizione che queste:
    • a) siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attivit├á economica comune, compresi i loro dipendenti;
    • b) conferiscano espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali; e
    • c) soddisfino i requisiti di cui al paragrafo┬á2.
  • Le norme vincolanti d’impresa di cui al paragrafo┬á1 specificano almeno:
    • a) la struttura e le coordinate di contatto del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attivit├á economica comune e di ciascuno dei suoi membri;
    • b) i trasferimenti o il complesso di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di trattamento e relative finalit├á, il tipo di interessati cui si riferiscono i dati e l’identificazione del paese terzo o dei paesi terzi in questione;
    • c) la loro natura giuridicamente vincolante, a livello sia interno che esterno;
    • d) l’applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione della finalit├á, alla minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualit├á dei dati, alla protezione fin dalla progettazione e alla protezione per impostazione predefinita, alla base giuridica del trattamento e al trattamento di categorie particolari di dati personali, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organismi che non sono vincolati dalle norme vincolanti d’impresa;
    • e) i diritti dell’interessato in relazione al trattamento e i mezzi per esercitarli, compresi il diritto di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione ai sensi dell’articolo 22, il diritto di proporre reclamo all’autorit├á di controllo competente e di ricorrere alle autorit├á giurisdizionali competenti degli Stati membri conformemente all’articolo 79, e il diritto di ottenere riparazione e, se del caso, il risarcimento per violazione delle norme vincolanti d’impresa;
    • f) il fatto che il titolare del trattamento o il responsabile del trattamento stabilito nel territorio di uno Stato membro si assume la responsabilit├á per qualunque violazione delle norme vincolanti d’impresa commesse da un membro interessato non stabilito nell’Unione; il titolare del trattamento o il responsabile del trattamento pu├▓ essere esonerato in tutto o in parte da tale responsabilit├á solo se dimostra che l’evento dannoso non ├Ę imputabile al membro in questione;
    • g) le modalit├á in base alle quali sono fornite all’interessato le informazioni sulle norme vincolanti d’impresa, in particolare sulle disposizioni di cui alle lettere d), e) e f), in aggiunta alle informazioni di cui agli articoli┬á13 e 14;
    • h) i compiti di qualunque responsabile della protezione dei dati designato ai sensi dell’articolo┬á35 o di ogni altra persona o entit├á incaricata del controllo del rispetto delle norme vincolanti d’impresa all’interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attivit├á economica comune e il controllo della formazione e della gestione dei reclami;
    • i) le procedure di reclamo;
    • j) i meccanismi all’interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attivit├á economica comune per garantire la verifica della conformit├á alle norme vincolanti d’impresa. Tali meccanismi comprendono verifiche sulla protezione dei dati e metodi per assicurare provvedimenti correttivi intesi a proteggere i diritti dell’interessato. I risultati di tale verifica dovrebbero essere comunicati alla persona o entit├á di cui alla lettera┬áh) e all’organo amministrativo dell’impresa controllante del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attivit├á economica comune e dovrebbero essere disponibili su richiesta all’autorit├á di controllo competente;
    • k) i meccanismi per riferire e registrare le modifiche delle norme e comunicarle all’autorit├á di controllo;
    • l) il meccanismo di cooperazione con l’autorit├á di controllo per garantire la conformit├á da parte di ogni membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attivit├á economica comune, in particolare la messa a disposizione dell’autorit├á di controllo dei risultati delle verifiche delle misure di cui alla lettera┬áj);
    • m) i meccanismi per segnalare all’autorit├á di controllo competente ogni requisito di legge cui ├Ę soggetto un membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attivit├á economica comune in un paese terzo che potrebbe avere effetti negativi sostanziali sulle garanzie fornite dalle norme vincolanti d’impresa; e
    • n) l’appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali.
  • La Commissione pu├▓ specificare il formato e le procedure per lo scambio di informazioni tra titolari del trattamento, responsabili del trattamento e autorit├á di controllo in merito alle norme vincolanti d’impresa ai sensi del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo┬á93, paragrafo┬á2.