g-docweb-display Portlet

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 7563753]

Autorizzazione al trasferimento dei dati mediante BCR nell´ambito del Gruppo Latham & Watkins - 21 dicembre 2017

Registro dei provvedimenti
n. 552 del 21 dicembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nell´Application form, di cui al WP 133 del 10 gennaio 2007, presentata da Latham & Watkins (London) LLP − entità del gruppo Latham & Watkins, operante nella consulenza legale a livello internazionale (la cui capogruppo, Latham & Watkins LLP, ha sede negli Stati Uniti d´America) − dinanzi all´Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner´s Office, di seguito "ICO") che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta, pervenuta al Garante in data 24 dicembre 2013, è stata presentata da Latham & Watkins (London) LLP (con sede nel Regno Unito di Gran Bretagna e Irlanda del Nord), in quanto entità del gruppo cui è stata delegata per l´area SEE la responsabilità in materia di protezione dei dati personali, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Latham & Watkins", dei dati personali relativi allo "staff", ai candidati all´assunzione, ai partner, agli avvocati, ai consulenti, ai clienti, ai fornitori, ai prestatori d´opera, ai committenti e agli esperti (v. WP 133, Parte I, par. 2);

PRESO ATTO che le Bcr Latham & Watkins consistono in una policy denominata "Standard generali di tutela della privacy", resa vincolante per il tramite di un contratto infragruppo, "Accordo infragruppo sulle norme vincolanti d´impresa", sottoscritto da tutte le entità del gruppo Latham & Watkins; la suddetta policy comprende: l´Allegato 1 – "Procedura per i reclami relativi alla privacy di Latham & Watkins" e l´Allegato 2 – "Diagramma di flusso per il trasferimento dei dati personali al di fuori dello SEE";

VISTO che il gruppo Latham & Watkins, strutturato in forma di "partnership", è composto da diverse entità giuridiche c.d. "partner" (tra cui anche associazioni professionali) ciascuna delle quali detiene una o più quote nella società capogruppo e/o in altre entità ad essa affiliate (v. WP 133, Parte I, par. 3);

RILEVATO che, in ragione della struttura sopra descritta, "ciascun partner è soggetto all´obbligo giuridico di rispettare gli obblighi assunti per conto della partnership, [obblighi] che comprendono (…) le Bcr" (v. WP 133, Parte II, par. 4);

CONSIDERATO inoltre che, con l´"Accordo infragruppo sulle norme vincolanti d´impresa", tutte le entità del gruppo Latham & Watkins "accettano di osservare e fare in modo che i propri dipendenti osservino le disposizioni delle Norme vincolanti d´impresa" ivi comprese le clausole di responsabilità e del terzo beneficiario (cfr. "Accordo infragruppo sulle norme vincolanti d´impresa", paragrafi 5 e 6);

PRESO ATTO che le entità del gruppo Latham & Watkins si sono impegnate a pubblicare sulla intranet e su internet "le disposizioni delle Norme non aventi carattere riservato", dichiarando, al contempo, che il testo integrale delle Bcr Latham & Watkins sarà comunque disponibile su richiesta dell´interessato (cfr. "Standard generali di tutela della privacy", par. 10.3);

RILEVATO che l´ICO, in data 18 maggio 2016, all´esito della procedura di cooperazione europea concernente le Bcr Latham & Watkins, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante, in data 14 giugno 2016, ha rappresentato all´ICO che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 14 giugno  2016);

VISTA l´istanza del 2 agosto 2016, con cui Latham & Watkins Associazione Professionale, operante in Roma e in Milano, ha chiesto, ai sensi dell´art. 44, comma 1, lett. a) del Codice, il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi a: il "personale dipendente" (ivi compresi staff, professionisti, soci, consulenti e candidati all´assunzione) per finalità di gestione del rapporto di lavoro; i clienti (ivi quelli potenziali) e gli "alumni" per finalità di marketing e comunicazione commerciale; i fornitori, i committenti, i prestatori d´opera e gli esperti per le finalità di gestione dei rapporti con gli stessi (in particolare, servizi legali e consulenza giuridica), dal territorio dello Stato verso paesi terzi, mediante le Bcr Latham & Watkins (per il dettaglio della tipologia di dati trasferiti e delle relative finalità, v. "Accordo infragruppo sulle norme vincolanti d´impresa", par. 1.1; "Standard generali di tutela della privacy", "definizioni", lett. e); WP 133, Parte II, par. 7);

Preso atto del fatto che tale richiesta è stata effettuata da Latham & Watkins Associazione Professionale in nome proprio e in nome e per conto di Latham & Watkins (London) LLP, "che insieme a [Latham & Watkins Associazione Professionale] gestisce le sedi di Milano e Roma", e Latham & Watkins LLP (con sede in Delaware - USA), in quanto "soggetto partecipato da tutti i partners dello studio presenti nei vari uffici del mondo", società cui spettano, per le ragioni sopra descritte e stante la particolare struttura del gruppo Latham & Watkins, le decisioni in merito ad alcune tipologie di trasferimenti infragruppo di dati personali operati dal territorio italiano (v. WP 133, Parte I, par. 3; v. note di Latham & Watkins Associazione Professionale del 15 dicembre 2016 e del 5 dicembre 2017);

VISTE le richieste di informazioni avanzate dal Garante in data 9 novembre 2016, 24 gennaio e 24 aprile 2017 nei confronti della menzionata Latham & Watkins Associazione Professionale, volte ad ottenere specifici chiarimenti in ordine ai seguenti aspetti:

- la tipologia dei dati trattati, con specifico riferimento alla categoria degli "alumni" (v. nota del Garante del 24 gennaio 2017, punto (a));

- le clausole di responsabilità e del terzo beneficiario, al fine di chiarire che quanto previsto dalle Bcr Latham & Watkins (v. "Standard generali di tutela della privacy", paragrafi 8.3; 8.4, 12 e 13 e dall´All. 1 par. 5) sia interpretato e applicato conformemente ai documenti del Gruppo ex art. 29; ciò in particolare considerato che: il par. 12.4 esclude dall´ambito di applicazione della clausola del terzo beneficiario gli obblighi in materia di misure di sicurezza (espressamente richiamati dai documenti del Gruppo ex art. 29 - v., tra i tanti, il WP 155, par. 9, pag. 5); l´art. 13.2 non include il diritto di scelta della giurisdizione, diritto espressamente previsto dai documenti del Gruppo ex art. 29 a tutela dell´interessato (v. WP 74, par. 5.6); l´All.1, par. 5.2, in cui tale diritto di scelta è previsto, sembra applicarsi solo ai dati dei "dipendenti" e degli "ex-dipendenti" e non a tutti gli interessati i cui dati sono oggetto dell´istanza di autorizzazione (v. note del Garante del 24 gennaio 2017, punto (c) e del 24 aprile 2017, punto (c));

- la comunicazione al Garante di eventuali modifiche sostanziali al testo di Bcr Latham & Watkins (v. nota del Garante del 24 aprile 2017, punto (a));

- i principi in materia di protezione dei dati personali (v. nota del Garante del 24 aprile 2017, punto (b));

CONSIDERATO che Latham & Watkins Associazione Professionale, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 15 dicembre 2016, del 31 gennaio e del 15 giugno 2017, ha espressamente dichiarato che:

- in merito alla tipologia dei dati trattati, con il termine "alumni" si "intendono identificare quegli ex dipendenti, associati e soci (con la qualifica di avvocati) e collaboratori in genere, per i quali, a fronte di una richiesta di questi di restare in contatto con lo Studio, lo Studio stesso ha messo a disposizione attività sociali in genere, provvedendo altresì all´invio di newsletter" (v. nota di Latham & Watkins Associazione Professionale del 31 gennaio 2017, punto (a));

- con riferimento alle clausole di responsabilità e del terzo beneficiario, le predette clausole "saranno interpretate e applicate (…) in conformità ai documenti del Gruppo art. 29 (…), in particolare con riferimento agli specifici diritti ivi previsti (v. WP 155, par. 9) e al diritto di scelta dell´interessato in ordine alla giurisdizione (WP 74, par. 5.6)" (v. nota di Latham & Watkins Associazione Professionale del 15 giugno 2017, punto (c));

- quanto alla previsione di cui ai documenti del Gruppo ex art. 29 (v., in particolare, WP 74, par.4.2), "il Garante per la protezione dei dati personali sarà informato annualmente di ogni modifica sostanziale apportata alle Bcr Latham & Watkins" (v. nota di Latham & Watkins Associazione Professionale del 15 giugno 2017, punto (a))

- quanto ai principi in materia di protezione dei dati personali, le Bcr Latham & Watkins saranno interpretate e applicate in conformità con il Codice, con particolare riferimento al rilascio dell´informativa all´interessato (art. 13 del Codice) e ai trasferimenti di dati verso Paesi terzi (artt. 43 e ss.) (v. nota di Latham & Watkins Associazione Professionale del 15 giugno 2017, punto (b));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Latham & Watkins Associazione Professionale, Latham & Watkins (London) LLP e Latham & Watkins LLP a trasferire, nell´ambito del gruppo Latham & Watkins, i dati personali relativi alle categorie di interessati di cui in premessa, dal territorio dello Stato verso i soggetti facenti parte del gruppo Latham & Watkins aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Latham & Watkins e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 21 dicembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia