g-docweb-display Portlet

Autorizzazione al trasferimento di dati personali nell'ambito del Gruppo BMW secondo le modalità fissate nelle Bcr - 16 febbraio 2017 [6186347]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 6186347]

Autorizzazione al trasferimento di dati personali nell´ambito del Gruppo BMW secondo le modalità fissate nelle Bcr - 16 gennaio 2017

Registro dei provvedimenti
n. 61 del 16 febbraio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea, ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d Application form) presentata da Bayerische Motoren Werke Aktiengesellschaft (con sede in Germania, di seguito "BMW AG") – società capogruppo del Gruppo BMW operante nel settore automobilistico e finanziario − dinanzi all´Autorità di protezione dei dati personali bavarese (Data Protection Authority of Bavaria for the Private Sector, di seguito "Bavarian DPA"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da BMW AG, quale società capogruppo del Gruppo BMW in nome e per conto di tutte le società controllate, direttamente o indirettamente, dalla medesima (c.d. "Affiliate di BMW"), ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr BMW", dei dati personali relativi al personale dipendente per il perseguimento delle finalità indicate nell´Application Form (Parte 2, Sezione VII);

PRESO ATTO che le Bcr BMW consistono in specifiche regole di condotta contenute nel "Regolamento Aziendale Vincolante per i Dipendenti del BMW Group"" (di seguito "RAV" o "Bcr BMW") comprensivo delle seguenti appendici: l´"Allegato 1 – BMW Affiliates"; l´"Allegato 2 – Flussi di dati e scopi del Trattamento dei Dati dei Dipendenti"; l´"Allegato 3 – Formazione, monitoraggio, verifica"; l´"Allegato 4 – Contratto di adesione al RAV ";

RILEVATO che "BMW AG adotta il RAV per i Dipendenti del BMW Group attraverso un´istruzione di Gruppo vincolante per le Affiliate di BMW che deve essere applicata e rispettata" ed inoltre che "i management delle Affiliate di BMW sottoscrivono contratti di adesione reciproci al RAV per i Dipendenti del BMW Group" (v. par. 1.4, Capitolo I delle Bcr BMW);

CONSIDERATO che con i suddetti contratti di adesione (di seguito "Contratto di adesione al RAV") "i firmatari convengono e ratificano di essere vincolati dalle disposizioni del RAV per i Dipendenti del BMW Group, accettando così tutti i diritti, gli obblighi e le passività a ciò connessi, nei confronti delle Persone Interessate e nei confronti gli uni degli altri" (v. in particolare punto B. "Adesione al RAV per i dati dei dipendenti", All. 4 alle Bcr BMW)

PRESO ATTO pertanto che, in virtù dell´avvenuta sottoscrizione del c.d. "Contratto di adesione al RAV" ciascuna "Affiliata BMW", nonché la capogruppo BMW AG, si sono reciprocamente obbligate in via contrattuale ad agire in conformità alle Bcr BMW e ad osservare e rispettare i principi ivi contenuti, comprese le clausole di responsabilità e del terzo beneficiario (v. anche Parte 2, sezione IV, Application form);

TENUTO CONTO, altresì, che le "Affiliate BMW" sono tenute a garantire che tutti i dipendenti del Gruppo si attengano alle disposizioni fissate nelle Bcr anche tramite disposizioni specifiche contenute nel contratto di lavoro e in virtù dell´osservanza del Codice etico del BMW Group e che in caso di mancata osservanza delle Bcr BMW sono previste sanzioni disciplinari nei confronti del personale dipendente (v. par. 1.4, Capitolo I delle Bcr BMW e Parte 2, sezione IV, Application form);

PRESO ATTO inoltre che le Bcr BMW, comprensive al loro interno della clausola del terzo beneficiario (di cui al par. 1.3, Capitolo II), saranno pubblicate sulla rete Intranet del Gruppo BMW, così come previsto nel par. 1.8, Capitolo I delle suddette Bcr;

RILEVATO che la Bavarian DPA, in data 26 giugno 2014, all´esito della procedura concernente le Bcr BMW, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante, in data 24 luglio 2014, ha rappresentato alla Bavarian DPA che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 24 luglio 2014);

VISTA l´istanza del 14 luglio 2015 presentata, ai sensi dell´art. 44, comma 1, lett. a) del Codice, da BMW Italia S.p.A. (con sede in San Donato Milanese), BMW Milano S.r.l. (con sede in San Donato Milanese), BMW Roma S.r.l. (con sede in Roma) e Alphabet Italia Fleet Management S.p.A. (con sede in Roma) volta ad ottenere il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi al personale dipendente posto in essere per il perseguimento di finalità di selezione e gestione del personale, anche sotto il profilo amministrativo, così come individuate nel dettaglio nell´"Allegato 2 – Flussi di dati e scopi del Trattamento dei Dati dei Dipendenti" delle Bcr BMW;

VISTE le richieste di informazioni avanzate dal Garante in data 19 febbraio, 5 maggio e 15 luglio 2016  nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- l´ambito del trasferimento, con particolare riguardo alle categorie di interessati e alle finalità oggetto delle operazioni di trasferimento di cui alla presente autorizzazione (v. nota del Garante del 19 febbraio 2016);

- le nozioni di "Responsabile del trattamento dei dati" e di "Incaricato del trattamento dei dati" menzionate nelle "Definizioni" delle Bcr BMW (v. nota del Garante del 5 maggio 2016, punto (a));

- l´interpretazione e l´applicazione delle Bcr BMW in conformità ai principi in materia di protezione dei dati personali previsti nel d. lg. 196/2003, concernenti: le "modalità del trattamento e requisiti dei dati" (art. 11); l´"informativa" (art. 13), soprattutto in ordine ai casi in cui essa non è dovuta o può essere fornita con modalità semplificate; il "diritto di accesso ai dati personali e altri diritti" (artt. 7–10), ciò anche con specifico riguardo ai termini (di regola 15 gg) previsti dalla normativa nazionale ai fini della presentazione del ricorso al Garante (artt. 145 e ss.); il "consenso al trattamento" (artt. 23 e 24), il "trattamento dei dati sensibili" (art. 26); le "misure di sicurezza" (artt. 31 e ss.) e i "trasferimenti di dati verso Paesi terzi" (artt. 43 e ss.) (v. nota del Garante del 5 maggio 2016, punto (b));

- la previsione di cui al Capitolo II, par. 1.3 "Diritti dei terzi beneficiari" delle Bcr BMW contenente il richiamo alla procedura di reclamo di cui al par. 1.2 del medesimo Capitolo (v. nota del Garante del 5 maggio 2016, punto (c));

- la conformità della clausola del terzo beneficiario rispetto a quanto previsto nei documenti WP 74 (punti 3.3.2 e 5.5.1), WP 108 (punti 5.12 ss.) e WP 155 (punto 9) del Gruppo ex art. 29 (v. nota del Garante del 15 luglio 2016 punto (a));

- il sistema di responsabilità prescelto dal Gruppo e il connesso criterio della giurisdizione (v. nota del Garante del 15 luglio 2016, punto (b));

CONSIDERATO che le società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 16 marzo, 30 maggio e 29 settembre 2016 hanno espressamente dichiarato che:

- con riferimento alle categorie dei soggetti interessati, i dati oggetto della richiesta di autorizzazione si riferiscono al "personale dipendente", categoria che ricomprende, come indicato nelle "Definizioni - Dipendente" delle Bcr BMW, esclusivamente i soggetti "attualmente alle dipendenze di BMW AG o di un´Affiliata BMW in virtù di un contratto di lavoro" e pertanto debbono essere escluse da tale ambito ulteriori figure quali i candidati all´assunzione, gli ex dipendenti, le risorse temporanee (dovendosi intendere per "risorse temporanee" esclusivamente i lavoratori in somministrazione lavoro), i soggetti in pensione, i familiari a carico, eventuali beneficiari di prestazioni; mentre per quanto concerne i relativi trasferimenti quest´ultimi sono volti a consentire al Gruppo il perseguimento delle finalità individuate nel Capitolo I, par. 1.3 e specificate nell´"Allegato 2 – Flussi di dati e scopi del Trattamento dei Dati dei Dipendenti" delle Bcr BMW, così come elencate dalle stesse società, ossia: "1) amministrazione delle risorse umane e contabilità delle retribuzioni (allo scopo di gestire i conteggi delle retribuzioni) ; 2) selezione interna al BMW Group (allo scopo di coprire le posizioni vacanti a livello internazionale); 3) gestione delle risorse umane (allo scopo di allineare gli obiettivi personali e aziendali); 4) pianificazione e gestione delle risorse umane, rendicontazione (allo scopo di soddisfare la gestione delle risorse ed i requisiti di rendicontazione interni ed esterni al gruppo); 5) health management (allo scopo di mantenere e migliorare la salute dei dipendenti), 6) sicurezza e salute nel luogo di lavoro (allo scopo di registrare gli infortuni e le malattie legate al lavoro); 7) corporate security (allo scopo di garantire la sicurezza fisica dei locali aziendali); 8) attività anticorruzione (allo scopo di riconoscere le pratiche anticorruzione); 9) collaborazioni internazionali e suddivisione del lavoro all´interno del BMW Group (allo scopo di suddividere e coordinare il lavoro dei dipendenti nel gruppo)" (v. nota della società del 16 marzo 2016);

- le nozioni di "Responsabile del trattamento dei dati" e "Incaricato del trattamento dei dati" indicate nelle Bcr BMW sono riconducibili rispettivamente a quella di "titolare" di cui all´art. 4, comma 1, lett. f) del Codice e a quella di "responsabile" di cui all´art. 4, comma 1, lett. g) del Codice (v. nota delle società del 30 maggio 2016, punto (a));

- il trattamento dei dati personali sarà effettuato in conformità ai principi in materia di protezione dei dati personali individuati nel Codice; ciò con particolare riferimento a quelli sopra richiamati (v. note della società 30 maggio 2016, punto (b));

- con riferimento alla previsione, in ordine alla procedura di reclamo che può essere instaurata dal dipendente, di cui al Capitolo II, par. 1.3 "Diritti dei terzi beneficiari" delle Bcr BMW, la medesima non è volta a limitare il diritto dell´interessato di adire, in caso di violazione delle suddette Bcr BMW, direttamente l´Autorità giudiziaria o amministrativa competente (v. nota delle società del 30 maggio 2016, punto (c));

- le Bcr BMW sono conformi a quanto stabilito nei documenti WP 74 (punti 3.3.2 e 5.5.1) e WP 108 (punti 5.12 ss.) del Gruppo ex art. 29 in ordine alla clausola del terzo beneficiario e che nella relativa previsione di cui al Capitolo I, par. 1.3 devono intendersi richiamati anche i principi indicati al Capitolo I, par. 1.6.1, lettere a) e h) delle suddette Bcr (v. note della società del 29 settembre 2016, punto (a));

- in merito alla clausola di responsabilità e al connesso criterio di giurisdizione, il Gruppo BMW ha adottato un sistema che, come indicato anche nel Capitolo II par. 1.3, prevede che nel caso di una violazione delle Bcr BMW posta in essere da un´Affiliata BMW Importatrice "il dipendente avrà gli stessi diritti valevoli in caso di violazione da parte di un´Affiliata di BMW con sede nel SEE" ed inoltre che il medesimo "può scegliere di promuovere l´azione legale presso il foro competente dell´Affiliata di BMW Esportatrice, la quale potrà ritenersi responsabile conformemente a quanto previsto dal Capitolo II sez. 4 [ossia par. 1.4]" (v. nota della società del 29 settembre 2016, punto (b));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza BMW Italia S.p.A., BMW Milano S.r.l. BMW Roma S.r.l. e Alphabet Italia Fleet Management S.p.A. a trasferire, nell´ambito del Gruppo BMW, i dati personali relativi al "personale dipendente" dal territorio dello Stato verso i soggetti facenti parte del Gruppo BMW aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr BMW e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 16 febbraio 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia