b) conferiscano espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali; e
c) soddisfino i requisiti di cui al paragrafo 2.
2.
Le norme vincolanti d'impresa di cui al paragrafo 1 specificano almeno:
a) la struttura e le coordinate di contatto del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività
economica comune e di ciascuno dei suoi membri;
b) i trasferimenti o il complesso di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di
trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l'identificazione del paese terzo o dei
paesi terzi in questione;
c) la loro natura giuridicamente vincolante, a livello sia interno che esterno;
d) l'applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione della finalità, alla
minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualità dei dati, alla protezione fin dalla
progettazione e alla protezione per impostazione predefinita, alla base giuridica del trattamento e al trattamento di
categorie particolari di dati personali, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti
successivi ad organismi che non sono vincolati dalle norme vincolanti d'impresa;
e) i diritti dell'interessato in relazione al trattamento e i mezzi per esercitarli, compresi il diritto di non essere
sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione ai sensi dell'ar
ticolo 22, il diritto di proporre reclamo all'autorità di controllo competente e di ricorrere alle autorità giurisdizionali
competenti degli Stati membri conformemente all'articolo 79, e il diritto di ottenere riparazione e, se del caso, il
risarcimento per violazione delle norme vincolanti d'impresa;
f) il fatto che il titolare del trattamento o il responsabile del trattamento stabilito nel territorio di uno Stato membro si
assume la responsabilità per qualunque violazione delle norme vincolanti d'impresa commesse da un membro
interessato non stabilito nell'Unione; il titolare del trattamento o il responsabile del trattamento può essere esonerato
in tutto o in parte da tale responsabilità solo se dimostra che l'evento dannoso non è imputabile al membro in
questione;
g) le modalità in base alle quali sono fornite all'interessato le informazioni sulle norme vincolanti d'impresa, in
particolare sulle disposizioni di cui alle lettere d), e) e f), in aggiunta alle informazioni di cui agli articoli 13 e 14;
h) i compiti di qualunque responsabile della protezione dei dati designato ai sensi dell'articolo 35 o di ogni altra
persona o entità incaricata del controllo del rispetto delle norme vincolanti d'impresa all'interno del gruppo impren
ditoriale o del gruppo di imprese che svolgono un'attività economica comune e il controllo della formazione e della
gestione dei reclami;
i) le procedure di reclamo;
j) i meccanismi all'interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica
comune per garantire la verifica della conformità alle norme vincolanti d'impresa. Tali meccanismi comprendono
verifiche sulla protezione dei dati e metodi per assicurare provvedimenti correttivi intesi a proteggere i diritti dell'in
teressato. I risultati di tale verifica dovrebbero essere comunicati alla persona o entità di cui alla lettera h) e
all'organo amministrativo dell'impresa controllante del gruppo imprenditoriale o del gruppo di imprese che
svolgono un'attività economica comune e dovrebbero essere disponibili su richiesta all'autorità di controllo
competente;
k) i meccanismi per riferire e registrare le modifiche delle norme e comunicarle all'autorità di controllo;
l) il meccanismo di cooperazione con l'autorità di controllo per garantire la conformità da parte di ogni membro del
gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune, in particolare la messa
a disposizione dell'autorità di controllo dei risultati delle verifiche delle misure di cui alla lettera j);
m) i meccanismi per segnalare all'autorità di controllo competente ogni requisito di legge cui è soggetto un membro del
gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune in un paese terzo che
potrebbe avere effetti negativi sostanziali sulle garanzie fornite dalle norme vincolanti d'impresa; e
n) l'appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati
personali.
4.5.2016
L 119/63
Gazzetta ufficiale dell'Unione europea
IT