Quando si affronta il tema dell’internazionalizzazione del business di impresa molti sono i temi che devono essere affrontati. Particolare importanza assume il tipo di rapporto commerciale che si intende instaurare con clienti e partner, così come i vari vincoli normativi nazionali ed internazionali. Il presente contributo intende concentrarsi sul sempre più importante rilievo che ha la gestione delle informazioni nell’ambito dell’attività imprenditoriale, ma per far ciò occorre necessariamente introdurre, sia pur in modo molto semplificato le tipologie di relazioni commerciali e le scelte contrattuali più ricorrenti.
=> Internazionalizzazione: le nuove opportunità
Protezione dati
In primo luogo è importante segnalare come lo stesso Garante Privacy è stato sempre molto attento alla corretta gestione delle informazioni da parte delle imprese; l’Autorità infatti già da tempo ha pubblicato il vademecum, “La privacy da parte dell’impresa”. Appare evidente, infatti, come è ormai noto, che le imprese gestiscono una moltitudine di dati personali. Tanto ciò è vero che il Garante ha sottolineato come, in considerazione della struttura organizzativa (che può anche risultare molto complessa e policentrica, si pensi proprio al processo di internazionalizzazione) e degli obiettivi di business, è comunque sempre opportuno che emerga “chi fa cosa”, “cosa e come viene fatto” e con quali scadenze. Di qui l’importanza per le imprese di una serie di adempimenti (le informative, il consenso dell’interessato, il controllo sull’attività lavorativa; le misure di sicurezza minime ed idonee; è molto altro ancora).
=>Privacy e impresa: Vademecum del Garante
Trasferimento dati
Il vademecum del Garante affronta anche le questioni relative ai dati personali da “esportare” all’estero in relazione ai quali è necessario attenersi a precise regole.
Sul punto il documento innanzitutto richiama la normativa comunitaria ai sensi della quale i dati personali possono circolare liberamente entro l’Unione Europea, chiarendo invece, che per trasferire dati al di fuori dell’Unione Europea devono essere garantiti standard di protezione adeguati a quelli europei: in caso contrario è vietato trasferire dati personali.
Ai fini di una semplificazione delle relative procedure il Garante pubblica sul proprio sito internet un elenco aggiornato degli Stati “terzi” (cioè non appartenenti all’Unione europea o allo Spazio Economico Europeo) che sono già ritenuti affidabili a livello europeo e per i quali non è necessaria alcuna autorizzazione specifica per il trasferimento.Nel caso invece di imprese che devono trasferire dati verso Paesi terzi (non inseriti nella lista), anche se soltanto all’interno della propria struttura societaria (per esempio proprio nel caso in cui si stia attuando un piano di sviluppo di internazionalizzazione), è necessario che vengano adottate adeguate norme vincolanti d’impresa (BCR – Binding Corporate Rules) che devono essere autorizzate dalle Autorità Europee di protezione dati come, appunto, il Garante italiano. In alcuni casi potrebbe anche essere sufficiente redigere un c.d. “contratto di trasferimento” le cui clausole sono comunque riconducibili a quelle che si analizzeranno qui di seguito in relazione alle BCR.
Deve anche essere precisato che la normativa sul trattamento dei dati personali prevede alcune eccezioni al divieto di trasferire dati in Paesi terzi: è consentito, ad esempio, il trasferimento se vi è l’apposito consenso dell’interessato (consenso scritto nel caso in cui si tratti di dati sensibili), oppure quando il trasferimento risulta necessario per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato.
Se questa, in linea generale è la disciplina cui devono far riferimento le imprese che intendono aprirsi ai nuovi mercati internazionali, è importante capire, di fatto, quali effettive prescrizioni queste devono adottare.
Vincoli
A questo punto sembra opportuno richiamare quali siano comunemente le scelte che le imprese adottano quando decidono di intraprendere la strada dell’internazionalizzazione. Questo perché a seconda della scelta che si intende fare i vincoli possono essere più o meno stringenti.
- Alcune imprese preferiscono creare all’interno della propria struttura una divisione specificamente organizzata per interagire con i nuovi mercati soprattutto sotto il profilo del marketing sviluppando pertanto questo settore ricorrendo alle opportunità offerte dall’e-commerce.
- Una ulteriore possibilità, tipica per le imprese di grandi dimensioni, è quella che privilegia invece la c.d. delocalizzazione; in questo caso ci sono indubbi vantaggi sotto molteplici profili, sia per quanto concerne il rapporto diretto con il mercato di riferimento.
- Ultima ipotesi, probabilmente la più facile da seguire dalle PMI è anche quella di agganciarsi a un soggetto imprenditoriale già operante nel mercato di riferimento e che funzioni come ponte verso il nuovo mercato.
In tutte tre le ipotesi, ma in particolare per le ultime due, dovrà prestarsi particolare attenzione ai contratti che si andranno a redigere, sia quelli aventi ad oggetto la compravendita dei beni o servizi offerti dall’impresa, sia quelli che formalizzano i rapporti con le realtà esistenti nel Paese verso cui ci si vuole espandere. Sul punto, in via generale, appare sicuramente consigliabile ai fini della redazione dei contratti ricorre ai Principi UNIDROIT, in materia di contratti commerciali; in ogni caso dovrà comunque tenersi in debito conto se il processo di internazionalizzazione coinvolge Paesi extracomunitari legati all’Italia da convenzioni e accordi bilaterali anche parziali, ovvero Paesi extracomunitari non convenzionati.
Gestione dati personali
A questo punto è possibile approfondire la tematica inerente alla gestione dei flussi informativi in relazione alla quale ci sono stati interventi normativi del Garante.
Come già accennato, la normativa europea, in particolare la direttiva 95/46/CE stabilisce che i dati personali possono essere trasferiti in un Paese non appartenente all’Unione Europea qualora il Paese terzo garantisca un livello di protezione adeguato.
Su questa base il Gruppo ex Articolo 29 ha ritenuto che le BCR potessero costituire uno strumento di trasferimento dei dati personali verso Paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE. A tal fine ha adottato tutta una serie di provvedimenti che indicano i specifici requisiti e clausole che le imprese devono adottare nella redazione delle BCR: WP 74 del 3 giugno 2003, WP 107 del 14 aprile 2005, WP 108 del 14 aprile 2005, WP 153 , WP 154, WP 155 del 24 giugno 2008 e WP 195 del 6 giugno 2012 contenente un nuovo modello di norme vincolanti d’impresa definito “BCR for processor” (cioè il responsabile del trattamento).
Sulla questione è intervenuta anche la Commissione europea la quale ha adottato alcune decisioni contenenti altrettanti set di clausole tra cui quelle:
- per il trasferimento dei dati da un titolare stabilito nel territorio europeo ad un altro titolare stabilito in un Paese extra-UE (decisioni 2001/497/CE e 2004/915/CE);
- per il trasferimento dei dati da un titolare stabilito nel territorio europeo ad un responsabile stabilito in un Paese extra-UE (decisione 2010/87/UE, che introduce nuove definizioni: “esportatore” è il titolare che trasferisce i dati personali e “importatore” è il responsabile o il titolare stabilito nel Paese terzo che riceve i dati).
Nell’ambito della normativa italiana invece occorre richiamare l’art. 44, comma 1, lett. a), del Codice Privacy nel quale si trova conferma che il trasferimento di dati personali diretto verso un Paese non appartenente all’Unione Europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato, individuate dall’Autorità anche in relazione a regole di condotta esistenti nell’ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules. In questo modo l’interessato viene garantito sia dal punto di vista normativo potendo applicare le prescrizioni del Codice, sia dal punto di vista privatistico facendo valere nei confronti dell’impresa le Bcr; Tnto è vero, si ritiene, che sotto il profilo strettamente giuridico l’adozione di dette regole di condotta costituiscono un fatto astrattamente idoneo a produrre effetti giuridicamente vincolanti nell’ordinamento giuridico italiano, ai sensi dell’art. 1173 cod. civ.
La redazione delle BCR, quindi, è il passaggio fondamentale per gestire in maniera corretta il flusso informativo che si viene a creare per le imprese che decidono di intraprendere il percorso di internazionalizzazione.
__________
