Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Autorizzazione al trasferimento dei dati mediante BCR nell'ambito del Gruppo ATOS - 30 novembre 2017 [7457490]

[doc. web n. 7457490]

Autorizzazione al trasferimento dei dati mediante BCR nell'ambito del Gruppo ATOS - 30 novembre 2017

Registro dei provvedimenti
n. 504 del 30 novembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l'art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all'Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l'art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l'art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all'Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato, individuate dall'Autorità anche in relazione a regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all'interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall'art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all'interno dell'Unione europea, ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d'impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all'interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l'altro, che detta procedura debba essere coordinata da un'Autorità di protezione dei dati personali di uno degli Stati membri dell'UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell'adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d. "Application form") presentata da ATOS S.E. (con sede in Francia) −società capogruppo del Gruppo ATOS operante nel settore dei servizi IT−, dinanzi all'Autorità francese di protezione dei dati personali (Commission nationale de l'informatique et des libertés, di seguito "CNIL"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da ATOS S.E., quale società capogruppo del Gruppo ATOS in nome e per conto di tutte le società controllate, direttamente o indirettamente, dalla medesima (c.d. "ATOS Entities"), ed è volta a ottenere l'autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l'adozione delle Norme vincolanti di impresa c.d. "Bcr ATOS", dei dati personali −rispetto ai quali le "ATOS Entities" agiscono in qualità di "data controller" (cfr. in tal senso Parte II, Sezione IV dell'Application form)− relativi al personale dipendente, alla clientela, ai fornitori e ad altre terze parti, per il perseguimento delle finalità indicate nell'Application Form (Parte 2, Sezione VII dell'Application form);

PRESO ATTO che le suddette Bcr (di seguito "Bcr ATOS for Controller", cfr., al riguardo, quanto indicato nella "Introduzione" delle Bcr ATOS) consistono in specifiche regole di condotta comprensive anche dei seguenti allegati: l'"Allegato 1 – Organizzazione preposta alla tutela dei dati", l'"Allegato 2 – Elenco delle entità vincolate dalle Bcr ATOS", l'"Allegato 3 –Modulo per rivendicare i diritti di accesso riconosciuti agli interessati", l'"Allegato 4 – Procedura per la gestione dei reclami presentati dagli interessati nei confronti di ATOS in quanto titolare del trattamento dei dati", l'"Allegato 7 – Trasferimento di dati personali", l'"Allegato 8 – Valutazione dell'impatto sulla privacy quando ATOS agisce da titolare del trattamento dei dati" e l'"Allegato 10 – Piano di verifica";

VISTA altresì la "Convenzione per l'adozione delle Bcr" (di seguito "IGA") che vincola l'intero Gruppo e si applica a tutte le ATOS Entities che lo abbiano sottoscritto (così par. 1.2.3 "Natura vincolante per le entità" delle Bcr ATOS for Controller e Parte 2, Sezione IV dell'Application form);

PRESO ATTO, in particolare, che, in virtù della sottoscrizione del suddetto IGA, le ATOS Entities si obbligano espressamente e reciprocamente "a elaborare i dati personali in conformità ai termini delle Bcr di ATOS, come pure a rispettare tutti gli obblighi imposti dalle Bcr di ATOS e dall'Accordo per le Bcr", ivi comprese le clausole di responsabilità e del terzo beneficiario (v. Parte II, Sezione IV dell'Application form e clausola n. 3 "Natura vincolante delle Bcr" dell'IGA);

VISTO che le ATOS Entities sono tenute, nell'ambito di un più ampio programma di controlli, ad effettuare opportune verifiche in ordine al rispetto delle Bcr ATOS for Controller (v. par. 14 delle Bcr ATOS for Controller e Parte 2, Sezione V, Application form) e che in caso di mancata osservanza delle Bcr sono previste sanzioni disciplinari nei confronti del personale dipendente, ciò anche in virtù del richiamo alle stesse contenuto nel contratto di impiego (v. par. 1.2.4 "Natura vincolante per i dipendenti" delle Bcr ATOS for Controller e Parte 2, Sezione IV, dell'Application form);

PRESO ATTO inoltre che le Bcr ATOS for Controller, comprensive al loro interno della clausola del terzo beneficiario di cui al par. 7.1 sulle "Responsabilità delle entità di ATOS che agiscono da titolare del trattamento dei dati", saranno rese disponibili sul sito Internet del Gruppo e saranno rese "accessibili tramite tutte le applicazioni informatiche messe a disposizione dei propri dipendenti" (par. 9.1 delle Bcr ATOS for Controller);

RILEVATO che la CNIL, in data 30 settembre 2014, all'esito della procedura concernente le Bcr ATOS for Controller, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante, in data 29 ottobre 2014, ha rappresentato alla CNIL che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 29 ottobre 2014);

VISTA l'istanza del 1° marzo 2017 presentata, ai sensi dell'art. 44, comma 1, lett. a) del Codice, da ATOS Italia S.p.A. (con sede in Milano), volta ad ottenere il rilascio dell'autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi a: "il personale dipendente" (categoria nella quale devono intendersi ricompresi anche i candidati, gli ex dipendenti, i pensionati, i collaboratori, le persone a carico ed altri familiari) per "adempiere a finalità di carattere amministrativo e contabile, [… di ] gestione del rapporto di lavoro [e …] del processo di selezione [e …] gestione amministrativa degli strumenti informatici"; "i clienti" (anche quelli potenziali) e "i fornitori" (anche quelli potenziali) per "adempiere a finalità amministrativo contabili legate al rapporto contrattuale […], nonché per attività di comunicazione e marketing"; "altre terze parti", quali gli utenti finali dei clienti ATOS al fine di "permettere la […] gestione […] del contratto" e i visitatori per "la gestione […] degli accessi nelle sedi aziendali anche ai fini della sicurezza"; nonché dei dati relativi alle categorie di tutti i soggetti sopra indicati per il perseguimento delle seguenti ulteriori finalità: "gestione operativa dell'azienda e delle sue sedi; gestione operativa della sicurezza delle sue sedi, incluso l'accesso con i badges e la videosorveglianza; gestione di vertenze legali nazionali e internazionali; gestione delle reti dati e dei sistemi di elaborazione, inclus[e] tutte le misure di sicurezza adottate per questo scopo; amministrazione di Banche Dati; conservazione dei dati su sistemi di elaborazione; manutenzione correttiva ed evolutiva degli strumenti e dei sistemi preposti a supporto delle attività del Gruppo; copie di backup delle informazioni; attuazione di misure preventive e correttive finalizzate a prevenire accessi illeciti o non autorizzati";

VISTE le richieste di informazioni avanzate dal Garante in data 10 aprile, 21 giugno e 18 settembre 2017 nei confronti della menzionata società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- l'ambito del trasferimento, con particolare riguardo alle finalità oggetto delle operazioni di trasferimento di cui alla presente autorizzazione (v. note del 10 aprile 2017 e 21 giugno 2017 del Garante);

- il par. 1.5. delle Bcr ATOS for Controller contenente le definizioni in materia di protezione dei dati personali (v. nota del Garante del 18 settembre 2017 punto (a));

- l'interpretazione e l'applicazione delle Bcr ATOS for Controller in conformità ai principi in materia di protezione dei dati personali previsti nel d. lg. 196/2003, concernenti: le "modalità del trattamento e requisiti dei dati" (art. 11); il "diritto di accesso ai dati personali e altri diritti" (artt. 7–10); l'"informativa" (art. 13); la "definizione dei profili e della personalità dell'interessato" (art. 14); il "consenso al trattamento" (artt. 23 e 24) e il "trattamento dei dati sensibili" (art. 26) (v. nota del Garante del 18 settembre 2017 punto (b));

- la conformità della clausola del terzo beneficiario rispetto a quanto previsto nei documenti WP 74 (punti 3.3.2 e 5.5.1), WP 108 (punti 5.12 ss.) e WP 155 (punto 9) del Gruppo ex art. 29 (v. nota del Garante del 18 settembre 2017 punto (c));

- i presupposti per l'esercizio della clausola del terzo beneficiario, con particolare riferimento a quanto previsto dal par .5 delle Bcr ATOS for Controller in ordine alla "Procedura di gestione dei reclami" (v. nota del Garante del 18 settembre 2017 punto (d));

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell'art. 168 del Codice, con note dell'8 maggio 2017 e del 12 luglio e 12 ottobre 2017 ha espressamente dichiarato che:

- le finalità perseguite mediante l'utilizzo delle Bcr ATOS for Controller sono tutte quelle indicate nell'Appendice 7 e, con specifico riguardo all'eventuale adozione di procedure di whistleblowing (finalità ricompresa nell'elenco di cui all'Appendice 7) in caso di attuazione da parte della società di tale sistema, esso "sarà implementato nel pieno rispetto ed osservanza delle discipline di settore applicabili e della normativa nazionale vigente in materia di protezione dei dati personali" (v. note della società dell'8 maggio 2017 e del 12 luglio 2017);

- con riferimento al par. 1.5. delle Bcr ATOS for Controller, ai fini dell'interpretazione delle definizioni ivi contenute, debbono intendersi integralmente richiamate le definizioni in materia di protezione dei dati personali di cui all'art. 2 della direttiva n. 95/46/CE (v. nota delle società del 12 ottobre 2017 punto (a));

- il trattamento dei dati personali sarà effettuato in conformità ai principi in materia di protezione dei dati personali individuati nel Codice; ciò con particolare riferimento a quelli sopra richiamati (v. nota della società del 12 ottobre 2017 punto (b));

- le Bcr ATOS for Controller sono conformi a quanto stabilito nei documenti WP 74 (punti 3.3.2 e 5.5.1) e WP 108 (punti 5.12 ss.) del Gruppo ex art. 29 in ordine alla clausola del terzo beneficiario e nel par. 7 delle Bcr, che la prevede, devono intendersi richiamati tutti gli specifici diritti indicati al punto 9 del WP 155, (v. nota delle società del 12 ottobre 2017 punto (c));

- l'esercizio della clausola di cui al punto sopra, non è condizionato dal previo esperimento della procedura interna di risoluzione delle controversie prevista da ATOS (art. 5) e pertanto non sussiste alcun limite al diritto dell'interessato medesimo di adire, in caso di violazione delle suddette Bcr, direttamente l'Autorità giudiziaria o amministrativa competente, ciò in conformità con quanto previsto ai punti 3.3.2 e 5.6. del documento WP 74 del Gruppo ex art. 29 (v. nota della società del 12 ottobre 2017 punto (d));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l'art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell'art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d'ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d'ufficio;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell'art. 44, comma 1, lett. a) del Codice, autorizza ATOS Italia S.p.A. a trasferire, nell'ambito del Gruppo ATOS, i dati personali relativi al "personale dipendente", ai "clienti", ai "fornitori" e alle "altre terze parti" come sopra individuate, dal territorio dello Stato verso i soggetti facenti parte del Gruppo ATOS aventi la loro sede in paesi non appartenenti all'Unione europea, secondo le modalità fissate nelle Bcr ATOS for Controller e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell'art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 30 novembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia