[doc. web n. 4362580]

Autorizzazione al trasferimento dei dati mediante BCR da parte di Studio Legale Associato in associazione con Linklaters e Linklaters Business Services Italia - 10 settembre 2015

Registro dei provvedimenti
n. 470 del 10 settembre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a), del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa" di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d. "Application form") presentata da Linklaters LLP – società facente parte di "Linklaters Global Firm", studio legale internazionale operante nel settore dei servizi di consulenza legale e finanziaria (di seguito "Gruppo Linklaters") –, dinanzi all´Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner´s Office, di seguito "ICO"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta, pervenuta al Garante in data 5 aprile 2012, è stata presentata da Linklaters LLP (società capogruppo del Gruppo Linklaters con sede nel Regno Unito di Gran Bretagna e Irlanda del Nord), anche in nome e per conto di tutte le c.d. "Entità del Gruppo Linklaters Bcr" (di seguito "Entità del Gruppo"), ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Linklaters", dei "dati personali relativi alle risorse umane, […] ai clienti […], e altri dati relativi alle attività commerciali" per le finalità indicate nel dettaglio nell´Application Form (Parte 2, Sezione VII);

VISTO che le Bcr Linklaters consistono in specifiche regole di condotta contenute nell´"Atto Unilaterale da parte di Linklaters relativamente alle sue norme aziendali vincolanti" (di seguito "Atto Unilaterale"), nonché negli "Standard globali di Linklaters per la protezione dei dati" (di seguito "Global Standards"), allegati al suddetto Atto Unilaterale e che a loro volta ricomprendono: l´Allegato 1 Parte I "Paesi SEE pertinenti" e Parte II "Paesi non appartenenti al SEE", l´Allegato 2 "Flusso dei dati di Linklaters", l´Allegato 3 "Finalità principali" e l´Allegato 4 "Entità del Gruppo Linklaters Bcr";

CONSIDERATO che l´"Atto Unilaterale" contiene l´impegno della capogruppo Linklaters LLP ad osservare i principi contenuti nelle Bcr Linklaters, ivi comprese le clausole di responsabilità e del terzo beneficiario (v. "Atto Unilaterale", par. 3, 4, e 5);

RILEVATO, in particolare, che in ragione di tale dichiarazione Linklaters LLP "dovrà far si che tutte le Entità del Gruppo Linklaters BCR, i Soci e il Personale siano soggetti ai requisiti previsti da [tale] Atto e dagli Standard e ottemperino agli stessi", nonché che i "Global Standards" siano "incorporati nelle politiche pertinenti dell´impresa"(v. "Atto Unilaterale", par. 2.1 e "Global Standards", par. 4);

PRESO ATTO che tale impegno acquista efficacia vincolante per le "Entità del Gruppo" a seguito dell´approvazione delle Bcr Linklaters da parte del Comitato Esecutivo (c.d. "Executive Committee") – in quanto organo che ha il potere decisionale in ordine alla vincolatività delle politiche del Gruppo–, nonché dell´incorporazione dei "Global Standards" nelle c.d. "Linee Guida Globali sulla Privacy" che definiscono l´utilizzo dei dati personali da parte di tutti i soggetti all´interno del Gruppo e per il personale dipendente a seguito dell´impegno assunto dagli stessi al rispetto di tali politiche di impresa (v. Application Form, parte 2, Sezione IV);

TENUTO CONTO, altresì, che la capogruppo Linklaters LLP in virtù della propria posizione di controllo (v. definizione "posizione di controllo" di cui al par. 1.2.4. dell´"Atto Unilaterale" e al par. 2.2.4 dei "Global Standards"), ha il potere di richiedere alle "Entità del Gruppo" l´attuazione dei "Global Standards" e che, in caso di mancata osservanza delle Bcr Linklaters sono previste specifiche sanzioni disciplinari nei confronti del personale dipendente (v. Application form, Parte 2, sezione IV);

VISTO, inoltre, che il Gruppo è tenuto periodicamente a porre in essere valutazioni di impatto in materia di protezione dei dati e ad effettuare opportune verifiche in ordine al rispetto delle Bcr Linklaters da parte delle "Entità del Gruppo" (v. Application form, Parte 2, Sezione V e "Global Standards", par. 12);

PRESO ATTO che i "Global Standards" saranno pubblicati sulla intranet aziendale e sul sito internet del Gruppo Linklaters (v. "Global Standards", par. 3);

RILEVATO che l´ICO, in data 11 maggio 2012, all´esito della procedura concernente le Bcr Linklaters, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati, e ha rilasciato la relativa autorizzazione il 28 maggio 2012;

CONSIDERATO che il Garante, in data 24 maggio 2012, ha rappresentato all´ICO che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 24 maggio 2012);

VISTA l´istanza del 29 luglio 2014, presentata ai sensi dell´art. 44, comma 1, lett. a) del Codice, da "Studio Legale Associato in associazione con Linklaters" (con sede in Milano), anche in nome e per conto di "Linklaters Business Services Italia" (con sede in Milano), volta ad ottenere il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dal territorio dello Stato verso paesi terzi mediante le Bcr Linklaters dei dati personali relativi a: il personale dipendente per finalità di "gestione del personale, incluse le assunzioni, pubblicità e pubbliche relazioni, la concessione di licenze professionali, la gestione delle informazioni e delle banche dati, la fatturazione e la contabilità, la fornitura di servizi legali e finanziari, la raccolta di informazioni richieste per prevenire reati e/o perseguire trasgressori"; i clienti, i consulenti  e altri professionisti per la "pubblicità e le pubbliche relazioni, la gestione delle informazioni e delle banche dati, la fatturazione e la contabilità, la fornitura di sevizi legali e finanziari, la raccolta di informazioni richieste per prevenire reati e/o perseguire trasgressori", (come specificato in dettaglio nella Tabella allegata alla presente autorizzazione e costituente parte integrante della stessa – "Allegato 1");

VISTE le richieste di informazioni avanzate dal Garante in data 12 settembre e 10 dicembre 2014 e in data 6 marzo e 15 giugno 2015 nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- la tipologia delle informazioni oggetto di trasferimento, le specifiche finalità perseguite e i soggetti che, in qualità di interessati, sono coinvolti nel trasferimento dei dati (v. nota del 12 settembre 2014 e nota del 10 dicembre 2014, punto (a));

- la nozione di "Responsabile del trattamento dei dati" menzionata nel par. 5 dei "Global Standards" e quella di "Incaricato del trattamento dei dati" citata nel par. 9 dei "Global Standards" (v. nota del 10 dicembre 2014, punto (c)) ed il significato dell´espressione "reasonable" (cfr. "Global Standards", par. 7) in ordine alle misure di sicurezza da adottare (v. nota del 12 dicembre 2014, punto (d));

- la conformità della clausola del terzo beneficiario rispetto a quanto previsto nei documenti WP 74 (punti 3.3.2 e 5.5.1), WP 108 (punti 5.12 ss.) e WP 155 (punto 9) del Gruppo ex art. 29 e le modalità con cui la stessa è resa accessibile agli interessati alla luce di quanto specificamente previsto al riguardo nei punti 5.7 del WP 74 e 1.7 del WP 153 (v. nota del 6 marzo 2015, punti (b) e (c));

- la previsione nelle Bcr Linklaters concernente i c.d. "criteria for making the processing legitimate" stabiliti nelle sezioni 5 e 6 del WP 154 (v. nota 6 marzo, punto (d));

- il rispetto da parte delle società ( "Global Standards", par. 9") dei direttiva 95/46/CE (cfr., in particolare, artt. 16, 17, 25 e 26) nel caso di trasferimento dei dati verso soggetti posti al di fuori del Gruppo Linklaters (v. nota del 6 marzo 2015, punto (e));

- l´interpretazione e l´applicazione delle Bcr Linklaters in conformità ai principi in materia di protezione dei dati personali previsti nel d. lg. 196/2003, concernenti: il "diritto di accesso ai dati personali e altri diritti" (artt. 7–10); le "modalità del trattamento e requisiti dei dati" (art. 11); l´"informativa" (art. 13); il "consenso al trattamento" (artt. 23 e 24) e il "trattamento dei dati sensibili" (art. 26) (v. nota del 15 giugno 2015);

- il riferimento ai "processi automatizzati […] che hanno lo scopo di valutare determinati aspetti personali dell´individuo" (cfr. dei "Global Standards" par. 6) (v. nota del 6 marzo 2015, punto (f));

CONSIDERATO che le società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 27 ottobre 2014, 30 gennaio, 28 aprile e 29 luglio 2015 hanno espressamente dichiarato che:

- costituiscono oggetto delle Bcr Linklaters i dati concernenti le seguenti categorie di interessati: a) "personale dipendente", nel quale sono ricompresi i dipendenti (ossia "chiunque abbia un rapporto di lavoro subordinato o altro tipo di rapporto di lavoro con Linklaters"), i parenti, i tutori, i familiari, gli associati del personale Linklaters (riconducibili alle figure dei "coniugi, conviventi, persone fisiche che dipendono da un membro del personale Linklaters per il supporto economico"), i soggetti beneficiari di prestazioni, soggetti in pensione e amministratori fiduciari); b) "i clienti e altri contatti" (quali, anche, i soggetti che richiedono informazioni); c) "i consulenti e altri professionisti, nonché i dipendenti di fornitori di beni e servizi" (v. note del 27 ottobre 2014, punto (2) e del 30 gennaio 2015, punto (a));

- in ordine alle finalità dei trasferimenti oggetto della richiesta di autorizzazione, queste sono specificamente individuate nella Tabella allegata alla nota del 29 luglio 2015 (costituente l´Allegato 1 alla presente autorizzazione) (v. nota del 29 luglio 2015);

- le nozioni di "Responsabile del trattamento dei dati" e "Incaricato del trattamento dei dati" indicate nei "Global Standards" sono riconducibili rispettivamente a quella di "titolare" di cui all´art. 4, comma 1, lett. f) del Codice e a quella di "responsabile" di cui all´art. 4, comma 1, lett. g) del Codice (v. nota del 30 gennaio 2015, punto (c));

- in riferimento alle misure di sicurezza, l´aggettivo "reasonable" contenuto nei "Global Standards" viene inteso nel senso di «appropriate» conformemente a quanto previsto nell´ art. 17 di cui alla direttiva 95/46/CE (v. nota della società 30 gennaio 2015, punto (d));

- le Bcr Linklaters sono conformi a quanto stabilito nei documenti WP 74 (punti 3.3.2 e 5.5.1), WP 108 (punti 5.12 ss.) e WP 155 del Gruppo ex art. 29 in ordine alla clausola del terzo beneficiario (v. nota del 28 aprile 2015, punto (b);

- gli obblighi di trasparenza, di cui al punto 5.7 del WP 74 del Gruppo ex art. 29, sono assolti dalle società rendendo pubblica una copia dei "Global Standards" "sul sito internet di Linklaters e […], sull´intranet di Linklaters" e prevedendo che "l´Atto Unilaterale sarà reso disponibile a chi lo richieda, sotto obbligo di riservatezza" (v. nota della società del 28 aprile 2015, punto (c));

- in ordine al trasferimento dei dati verso soggetti posti al di fuori del Gruppo Linklaters, così come stabilito al par. 9 dei "Global Standards", tale trasferimento avrà luogo nel rispetto dei principi sanciti dalla direttiva 95/46/CE (cfr, in particolare, artt. 16, 17, 25 e 26) (v. nota della società del 28 aprile 2015, punto (e));

- le Bcr Linklaters saranno interpretate e applicate in conformità ai principi in materia di protezione dei dati personali previsti nel d.lg. 196/2003, concernenti: il "diritto di accesso ai dati personali e altri diritti" (artt. 7–10); le "modalità del trattamento e requisiti dei dati" (art. 11); l´"informativa" (art. 13); il "trattamento volto alla definizione dei profili e della personalità dell´interessato" (art. 14 del Codice); il "consenso al trattamento" (artt. 23 e 24) e il "trattamento dei dati sensibili" (art. 26) (v. note del 29 luglio 2015 e del 28 aprile 2015, punto (f));

CONSIDERATO che l´art. 44, comma 1, lett. a) del Codice riconosce espressamente il potere del Garante di autorizzare un trasferimento di dati personali verso paesi terzi anche nel caso in cui tale trasferimento sia posto in essere tramite regole di condotta, esistenti nell´ambito del medesimo gruppo, che presentino adeguate garanzie per i diritti dell´interessato, quali le Bcr Linklaters;

VISTO altresì che, in virtù di tale previsione normativa, le predette regole di condotta costituiscono un fatto astrattamente idoneo a produrre effetti giuridicamente vincolanti nell´ordinamento giuridico nazionale, ai sensi dell´art. 1173 cod. civ.;

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza "Studio Legale Associato in associazione con Linklaters" e "Linklaters Business Services Italia" a trasferire, nell´ambito del Gruppo Linklaters, i dati personali relativi al "personale dipendente", ai "clienti e altri contatti", ai "consulenti" e agli "altri professionisti e  dipendenti di fornitori di beni e servizi" dal territorio dello Stato verso i soggetti facenti parte del Gruppo Linklaters aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Linklaters e per il perseguimento delle sole finalità ivi dichiarate, così come specificatamente indicate nell´Allegato 1 alla presente autorizzazione;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 10 settembre 2015

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia