1. L’autorità di controllo approva, in conformità del meccanismo di coerenza di cui all’articolo 58, le norme vincolanti d’impresa, a condizione che queste:
a) siano giuridicamente vincolanti e si applichino a tutti i membri del gruppo d’imprese del responsabile del trattamento o dell’incaricato del trattamento, compresi i loro dipendenti, e siano da questi rispettate;
b) conferiscano espressamente agli interessati diritti opponibili;
c) soddisfino i requisiti di cui al paragrafo 2.
2. Le norme vincolanti d’impresa specificano almeno:
a) la struttura e le coordinate di contatto del gruppo d’imprese e dei suoi membri;
b) i trasferimenti o l’insieme di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l’identificazione del paese terzo o dei paesi terzi in questione;
c) la loro natura giuridicamente vincolante, a livello sia interno che esterno;
d) i principi generali di protezione dei dati, in particolare in relazione alla finalità, alla qualità dei dati, alla base giuridica del trattamento e al trattamento di dati personali sensibili, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organizzazioni che non sono vincolate dalle politiche;
e) i diritti dell’interessato e i mezzi per esercitarli, compresi il diritto di non essere sottoposto a misure basate sulla profilazione ai sensi dell’articolo 20, il diritto di proporre reclamo all’autorità di controllo competente e di ricorrere alle autorità giurisdizionali competenti degli Stati membri conformemente all’articolo 75, e il diritto di ottenere riparazione e, se del caso, il risarcimento per violazione delle norme vincolanti d’impresa;
f) il fatto che il responsabile del trattamento o l’incaricato del trattamento stabilito nel territorio di uno Stato membro si assume la responsabilità per qualunque violazione delle norme vincolanti d’impresa commesse da un membro del gruppo di imprese non stabilito nell’Unione; il responsabile del trattamento o l’incaricato del trattamento può essere esonerato in tutto o in parte da tale responsabilità solo se prova che l’evento dannoso non è imputabile al membro in questione;
g) le modalità in base alle quali sono fornite all’interessato, in conformità dell’articolo 11, le informazioni sulle norme vincolanti d’impresa, in particolare sulle disposizioni di cui alle lettere d), e) e f);
h) i compiti del responsabile della protezione dei dati designato ai sensi dell’articolo 35, compreso il controllo del rispetto delle norme vincolanti d’impresa all’interno del gruppo di imprese e il controllo della formazione e della gestione dei reclami;
i) i meccanismi all’interno del gruppo di imprese diretti a garantire la verifica della conformità alle norme vincolanti d’impresa;
j) i meccanismi per riferire e registrare le modifiche delle politiche e comunicarle all’autorità di controllo;
k) il meccanismo di cooperazione con l’autorità di controllo per garantire la conformità da parte di ogni membro del gruppo di imprese, in particolare la messa a disposizione dell’autorità di controllo dei risultati delle verifiche delle misure di cui alla lettera i).
3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le norme vincolanti d’impresa ai sensi del presente articolo, in particolare i criteri per la loro approvazione, l’applicazione del paragrafo 2, lettere b), d), e) e f) alle norme vincolanti d’impresa cui gli incaricati del trattamento aderiscono e gli ulteriori requisiti per garantire la protezione dei dati personali degli interessati in questione.
4. La Commissione può specificare il formato e le procedure per lo scambio di informazioni con mezzi elettronici tra responsabili del trattamento, incaricati del trattamento e autorità di controllo in merito alle norme vincolanti d’impresa ai sensi del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.
