Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Autorizzazione al trasferimento dei dati mediante BCR da parte di Motorola Solutions Italia S.p.A.. e Psion Italia S.r.l. - 9 ottobre 2014 [3635086]

[doc. web n. 3635086]

Autorizzazione al trasferimento dei dati mediante BCR da parte di Motorola Solutions Italia S.p.A.. e Psion Italia S.r.l. - 9 ottobre 2014

 

Registro dei provvedimenti
n. 449 del 9 ottobre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea, ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nell´Application form, di cui al WP 133 del 10 gennaio 2007, presentata da Motorola Solutions UK Limited − società del gruppo Motorola Solutions operante in qualità di fornitore di soluzioni e servizi per imprese ed enti pubblici nel settore della pubblica sicurezza, delle infrastrutture di telecomunicazione e dei dispositivi computerizzati portatili (la cui capogruppo, Motorola Solutions Inc., ha sede negli Stati Uniti d´America) − dinanzi all´Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner´s Office, di seguito "ICO"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta, pervenuta al Garante in data 13 ottobre 2011, è stata presentata da Motorola Solutions UK Limited (società con sede nel Regno Unito di Gran Bretagna e Irlanda del Nord), in nome e per conto della capogruppo e di tutte le società controllate, direttamente o indirettamente, dalla medesima, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Motorola Solutions", dei dati personali relativi a clienti, dipendenti e fornitori per finalità di carattere "commerciale" (v. application form - WP 133, Parte 2, par. 7);

PRESO ATTO che le Bcr Motorola Solutions consistono in un contratto infragruppo, "Intra-Group Agreement", sottoscritto da Motorola Solutions UK Limited e dalle altre entità del gruppo Motorola Solutions stabilite nell´area SEE (di seguito "Entità SEE") e fuori dall´area SEE (di seguito "Entità non-SEE"), contenente l´Allegato 1 – "Entità SEE", l´Allegato 2 – "Entità non-SEE", l´Allegato 3 "Norme vincolanti in materia di privacy" (di seguito "Norme") e l´Allegato 4 – "Atto di adesione";

CONSIDERATO che, con l´"Intra-Group Agreement", Motorola Solutions UK Limited, le "Entità SEE" e le "Entità non-SEE" "accettano di essere vincolate da e di conformarsi pienamente a tutte le disposizioni delle Bcr [Motorola Solutions] in riferimento a qualsivoglia informazione [personale] (…) trasferita da qualsivoglia Entità SEE a un´Entità non-SEE", ivi comprese le clausole di responsabilità e del terzo beneficiario (v. "Intra-Group Agreement", artt. 1, 4 e 5);

RILEVATO che l´"Atto di adesione" consente di vincolare negli stessi termini e alle stesse condizioni dell´"Intra-Group Agreement" le entità del gruppo Motorola Solutions  che volessero successivamente aderire alle Bcr Motorola Solutions (v. application form - WP 133, Parte 2, par. 4);

PRESO ATTO che Motorola Solutions UK Limited, le "Entità SEE" e le "Entità non-SEE" si sono impegnate, inoltre, a pubblicare sul sito internet le "Bcr Motorola Solutions" (cfr. "Norme", par. "Pubblicazione delle Norme");

RILEVATO che l´ICO, in data 12 ottobre 2012, all´esito della procedura concernente le Bcr Motorola Solutions, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati, e ha rilasciato la relativa autorizzazione il 2 maggio 2013;

CONSIDERATO che il Garante, in data 17 dicembre 2012, ha rappresentato all´ICO che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 17 dicembre 2012);

VISTA l´istanza del 17 febbraio 2014, con cui Motorola Solutions Italia S.p.A.. e Psion Italia S.r.l., (con sede  in Milano), ai sensi dell´art. 44, comma 1, lett. a) del Codice, hanno chiesto il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi a: il personale dipendente (ivi compresi gli ex dipendenti, i pensionati, i collaboratori, le persone a carico ed altri familiari) per finalità di gestione dei contatti di emergenza, rispetto degli obblighi di segnalazione e di altri requisiti normativi, elenco interno globale dei contatti dei dipendenti, gestione della supply chain, amministrazione del personale, assunzione e valutazione delle prestazioni e del talent management; i fornitori (inclusi i dipendenti dei fornitori) per le finalità di gestione e amministrazione della supply chain, controllo dei fornitori ed elenco interno dei contatti dei fornitori; i clienti (ivi compresi i dipendenti dei clienti) per finalità di gestione e amministrazione della clientela, controllo del credito, ricezione di ordini ed evasioni, assistenza clienti, elenco interno dei contatti clienti, marketing, ricerche ed analisi;  i consulenti e i collaboratori nell´ambito della realizzazione di "progetti e attività di carattere temporaneo", dal territorio dello Stato verso paesi terzi mediante le Bcr Motorola Solutions;

VISTE le richieste di informazioni avanzate dal Garante in data 24 aprile e 19 giugno 2014 nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- le categorie di interessati e le relative finalità oggetto delle operazioni di trasferimento di cui alla presente autorizzazione, con particolare riferimento ai c.d. "altri soggetti" menzionati dalle "Norme", par. "Oggetto delle Norme") (v. note del Garante del 24 aprile 2014, punti (a) e (b) e del 19 giugno 2014, punto (c));

- il rispetto di alcuni principi in materia di protezione dei dati personali, con particolare riferimento a: "modalità del trattamento e requisiti dei dati" (art. 11 del Codice), specialmente in merito al rispetto dei principi di liceità e finalità del trattamento; "informativa" (art. 13 del Codice), soprattutto in ordine ai casi in cui essa non è dovuta o può essere fornita con modalità semplificate; "diritto di accesso ai dati personali e altri diritti" (artt. 7 – 10 del Codice), con specifico riferimento al diritto di accesso, ivi compresi eventuali limiti al suo esercizio, e alla previsione dei diritti di aggiornamento, integrazione, cancellazione, trasformazione in forma anonima, blocco e opposizione al trattamento (v. nota del Garante del 24 aprile 2014, punto (c));

- l´adempimento degli obblighi di trasparenza nei confronti del personale dipendente (v. WP 153, par. 1.7), confermando che le Bcr Motorola Solutions saranno pubblicate sulla intranet aziendale (v. nota del Garante del 19 giugno 2014, punto (b));

CONSIDERATO che le società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 22 maggio e 29 luglio 2014 hanno espressamente dichiarato che:

- con il termine "altri soggetti" s´intende la categoria di "altri consulenti/collaboratori che supportano Motorola Solutions in progetti e attività di carattere temporaneo" (v. nota delle società del 29 luglio 2014, punto (c));

- procederanno al trattamento dei dati personali in conformità alle leggi locali vigenti (v. "Norme", par. "Conformità alle leggi locali"), confermando al contempo il rispetto, da parte delle stesse, dei principi in materia di protezione dei dati personali sopra richiamati  (v. nota delle società del 22 maggio 2014, punto (c));

- con riferimento agli obblighi di trasparenza,  "le Bcr sono pubblicate sul portale intranet aziendale di Motorola Solutions dedicato alla privacy" (v. nota delle società del 29 luglio 2014, punto (b));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Motorola Solutions Italia S.p.A.. e Psion Italia S.r.l., a trasferire, nell´ambito del gruppo Motorola Solutions, i dati personali relativi al personale dipendente (ivi compresi gli ex dipendenti, i pensionati, i collaboratori, le persone a carico ed altri familiari), ai fornitori (inclusi i dipendenti dei fornitori), ai clienti (ivi compresi i dipendenti dei clienti), ai consulenti e ai collaboratori dal territorio dello Stato verso i soggetti facenti parte del Gruppo Motorola Solutions aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Motorola Solutions e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 9 ottobre 2014

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia