Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Autorizzazione al trasferimento dei dati mediante BCR nell'ambito del Gruppo LeasePlan - 20 luglio 2017 [6819647]

[doc. web n. 6819647]

Autorizzazione al trasferimento dei dati mediante BCR nell'ambito del Gruppo LeasePlan 20 luglio 2017

Registro dei provvedimenti
n. 325 del 20 luglio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l'art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all'Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l'art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali;

VISTO, in particolare, l'art. 44, comma 1, lett. a), del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all'Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato, individuate dall'Autorità anche in relazione a regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa" di seguito "Bcr");

VISTO che la citata disposizione garantisce all'interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall'art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all'interno dell'Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d'impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all'interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l'altro che essa sia coordinata da un'Autorità di protezione dei dati personali di uno degli Stati membri dell'UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell'adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nell'Application form, di cui al WP 133 del 10 gennaio 2007, presentata da LeasePlan Corporation N.V.− società del gruppo LeasePlan operante nel settore del noleggio a lungo termine e della gestione delle flotte aziendali su strada − dinanzi all'Autorità olandese di protezione dei dati personali (College bescherming persoonsgegevens di seguito "CBP"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata dalla capogruppo LeasePlan Corporation N.V. (con sede nei Paesi Bassi), in nome e per conto di tutte le società da essa controllate, direttamente o indirettamente (c.d. "Società del gruppo LeasePLan"), ed è volta a ottenere l'autorizzazione al trasferimento intra-gruppo verso paesi terzi dei dati personali relativi al personale dipendente, ai clienti, ai fornitori e ai partner commerciali per le finalità indicate nel dettaglio nell'Application form (WP 133, Parte 2, Sezione VII), mediante l'adozione delle Norme vincolanti di impresa, c.d. "Bcr  LeasePLan";

VISTO che le Bcr LeasePLan consistono in specifiche regole di condotta (di seguito "Policy") contenute nella "Policy sulla privacy di LeasePlan per i dati dei dipendenti" e nella "Policy sulla privacy di LeasePlan per i dati dei clienti, fornitori e partner commerciali", entrambe comprendenti un'appendice, "Allegato 1 – Definizioni";

CONSIDERATO che le suddette "Policy" contengono l'impegno della capogruppo LeasePlan Corporation N.V. e delle "Società del gruppo LeasePLan" ad osservare i principi contenuti nelle Bcr LeasePlan,  ivi comprese le clausole di responsabilità e del terzo beneficiario (v. "Policy sulla privacy di LeasePlan per i dati dei dipendenti" e "Policy sulla privacy di LeasePlan per i dati dei clienti, fornitori e partner commerciali", per entrambe art. 1.8; v. Application form - WP 133, Parte 2, sezione IV);

PRESO ATTO che tale impegno acquista efficacia vincolante per le "Società del gruppo LeasePLan" e per il relativo personale dipendente a seguito dell'approvazione delle suddette "Policy" da parte del Consiglio di amministrazione della LeasePlan Corporation N.V. (v. "Policy sulla privacy di LeasePlan per i dati dei dipendenti" e "Policy sulla privacy di LeasePlan per i dati dei clienti, fornitori e partner commerciali", per entrambe art. 1.6; v. Application form - WP 133, Parte 2, sezione IV);

VISTO,  inoltre, che le "Società del gruppo LeasePlan" si sono impegnate ad effettuare periodicamente una valutazione di impatto in materia di protezione dei dati (v. Application form – Wp 133, Parte 2, sezione V) e ad attuare, nell'ambito di un più ampio programma di controllo (c.d. "Piano di audit globale di LeasePlan"), opportune verifiche in ordine al rispetto delle Bcr LeasePlan (v. "Policy sulla privacy di LeasePlan per i dati dei dipendenti", art. 15 e "Policy sulla privacy di LeasePlan per i dati dei clienti, fornitori e partner commerciali",  art. 16);

TENUTO CONTO,  in particolare, che la capogruppo LeasePlan Corporation N.V., in virtù della propria posizione di controllo (v. Application form - WP 133, Parte 2, sezione IV), ha il potere di richiedere alle società del gruppo l'attuazione delle "Policy" e che, in caso di mancata osservanza delle Bcr LeasePlan, le "Policy" stesse prevedono specifiche sanzioni disciplinari nei confronti del personale dipendente (v. "Policy sulla privacy di LeasePlan per i dati dei dipendenti", art. 18 e "Policy sulla privacy di LeasePlan per i dati dei clienti, fornitori e partner commerciali",  art. 19);

PRESO ATTO che le "Policy" saranno pubblicate rispettivamente sulla intranet aziendale e sul sito internet del gruppo LeasePlan (v. "Policy sulla privacy di LeasePlan per i dati dei dipendenti", art. 1.6 e "Policy sulla privacy di LeasePlan per i dati dei clienti, fornitori e partner commerciali", art. 1.6);

RILEVATO che il CBP in data 22 settembre 2015, all'esito della procedura europea concernente le Bcr LeasePlan, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante, in data 21 ottobre 2015, ha confermato di aver ricevuto il testo definitivo delle Bcr LeasePlan, rappresentando che avrebbe valutato, in sede di procedura nazionale, la conformità di tale final draft alla normativa italiana in particolare con riferimento alle clausole di giurisdizione e di competenza esclusiva in favore dell'Autorità e dei tribunali olandesi ivi previste (v. "Policy sulla privacy di LeasePlan per i dati dei dipendenti", artt. 17.3, 17.4  e 17.5 e "Policy sulla privacy di LeasePlan per i dati dei clienti, fornitori e partner commerciali", artt. 18.3, 18.4 e 18.5); 

VISTA l'istanza del 27 luglio 2016  presentata, ai sensi dell'art. 44, comma 1, lett. a), da LeasePlan Italia S.p.A. (con sede in Roma), volta a ottenere il rilascio dell'autorizzazione nazionale ai trasferimenti infragruppo da parte delle società del gruppo LeasePlan, mediante le Bcr LeasePlan, con riferimento ai dati personali relativi a: il personale dipendente (ivi compresi gli ex dipendenti, i candidati all'assunzione, gli amministratori esecutivi e non esecutivi, i membri del consiglio di sorveglianza o di un organo analogo) per le "finalità amministrativo-contabili" specificamente indicate all'interno della "Policy sulla privacy di LeasePlan per i dati dei dipendenti" (v. artt. 2 e 4); i clienti, i fornitori, i partner commerciali e le "altre persone" per le "finalità aziendali" espressamente individuate nella "Policy sulla privacy di LeasePlan per i dati dei clienti, fornitori e partner commerciali" (v. artt. 2 e 4);

VISTE le richieste di informazioni e di integrazione documentale avanzate dal Garante in data 12 settembre 2016, 24 gennaio e 24 marzo 2017 nei confronti della menzionata società, volte ad ottenere specifici chiarimenti in merito a: le categorie di interessati (con particolare riferimento alle "altre persone"), il rispetto di alcuni principi in materia di protezione dei dati personali , i presupposti di applicabilità della regola dei c.d. "interessi preminenti" (v. "Policy sulla privacy di LeasePlan per i dati dei dipendenti", art. 11 e "Policy sulla privacy di LeasePlan per i dati dei clienti, fornitori e partner commerciali", art. 12) e la clausola di responsabilità;

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell'art. 168 del Codice, con note del 28 ottobre 2016, del 20 febbraio e 10 maggio 2017, ha espressamente dichiarato che:

- in merito alle categorie di interessati, la locuzione "altre persone" si riferisce ai "guidatori di veicoli noleggiati" con i quali LeasePlan non ha direttamente concluso un contratto di noleggio (es. i dipendenti dei clienti corporate) (v. nota della società del 28 ottobre 2016, punto (a));

- in ordine ai principi in materia di protezione dei dati personali, le Bcr LeasePlan saranno interpretate e applicate in conformità con il Codice, ciò con particolare riferimento a: il riconoscimento del diritto di opposizione al trattamento per finalità di carattere promozionale (art. 7, comma 4, lett. b), le modalità di riscontro all'esercizio dei diritti da parte dell'interessato (art. 8), il rilascio di idonea informativa (specialmente ove i dati non siano raccolti presso l'interessato – art. 13, comma 4), le misure di sicurezza (artt. 31 e ss.) e i trasferimenti di dati verso Paesi terzi (artt. 43 e ss.) (v. nota della società del 20 febbraio 2017, punto (a) e nota del 10 maggio 2017);

- relativamente alla "regola degli interessi preminenti", la normativa italiana sarà osservata anche ove non consenta le deroghe in merito previste dalle "Policy" (v. nota della società del 20 febbraio 2017, punto (b));

- con riferimento alla clausola di responsabilità, questa ricomprende "ogni danno sofferto dall'interessato per la violazione di una qualsiasi clausola delle Bcr" così come previsto dal WP 153, par. 1.4 (v. nota della società del 28 ottobre 2016, punto (c));

TENUTO CONTO altresì che, nonostante quanto stabilito nelle "Policy" con riferimento alla giurisdizione esclusiva delle autorità olandesi (v. "Policy sulla privacy di LeasePlan per i dati dei dipendenti", art. 17 e "Policy sulla privacy di LeasePlan per i dati dei clienti, fornitori e partner commerciali", art. 18), l'interessato, in base al diritto nazionale applicabile, può, in ogni caso, far valere i propri diritti nel territorio dello Stato anche in ordine all'inosservanza delle garanzie contenute nelle regole di condotta di cui alle Bcr LeasePlan (art. 44, comma 1, lett. a) del Codice);

CONSIDERATO inoltre che "tutte le società del gruppo LeasePlan devono collaborare a indagini e verifiche delle competenti Autorità, incluse le verifiche dell'Autorità olandese di protezione dei dati sulla compliance con le Policy" (v. Application form - WP 133, Parte 2, Sezione VI; v. anche "Policy sulla privacy di LeasePlan per i dati dei dipendenti", art. 17 e "Policy sulla privacy di LeasePlan per i dati dei clienti, fornitori e partner commerciali", art. 18), dichiarazione da interpretarsi conformemente a quanto previsto dai documenti del Gruppo ex art. 29 (WP 74, par. 5.4; WP 108, par. 5.21; WP 153, par. 3.1);

RITENUTA comunque la necessità di formulare ai sensi dell'art. 157 del Codice la richiesta di comunicare a questa Autorità eventuali modifiche di carattere sostanziale apportate al testo delle Bcr LeasePlan, in considerazione del fatto che le "Policy" prevedono l'adempimento di tale obbligo esclusivamente nei confronti dell'Autorità olandese di protezione dei dati personali (v. "Policy sulla privacy di LeasePlan per i dati dei dipendenti", art. 20.1 e "Policy sulla privacy di LeasePlan per i dati dei clienti, fornitori e partner commerciali", art. 21.1);

RILEVATO infine che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell'art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d'ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d'ufficio;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell'art. 44, comma 1, lett. a) del Codice, autorizza LeasePlan Italia S.p.A. a trasferire, nell'ambito del gruppo LeasePlan, i dati personali relativi al personale dipendente (ivi compresi gli ex dipendenti, i candidati all'assunzione, gli amministratori esecutivi e non esecutivi, i membri del consiglio di sorveglianza o di un organo analogo), ai clienti, ai fornitori, ai partner commerciali e alle "altre persone" (da intendersi come chiarito in motivazione) dal territorio dello Stato verso i soggetti facenti parte del gruppo LeasePlan aventi la loro sede in paesi non appartenenti all'Unione europea, secondo le modalità fissate nelle Bcr LeasePlan e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell'art. 157 del Codice, dispone che LeasePlan Italia S.p.A. comunichi al Garante eventuali modifiche di carattere sostanziale apportate al testo delle Bcr LeasePlan entro 90 giorni dall'approvazione delle suddette modifiche e si ricorda che il mancato riscontro alla richiesta ai sensi dell'art. 157 è punito con la sanzione amministrativa di cui all'art. 164 del Codice;

c) ai sensi dell'art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 20 luglio 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia