Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Autorizzazione al trasferimento di dati dati personali relativi al personale, ai fruitori dei servizi assicurativi, agli intermediari assicurativi e ai fornitori e partner mediante BCR nell’ambito del Gruppo AXA - 18 maggio 2016 [5217634]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
5217634
Data:
18/05/16
Argomenti:
Imprese
Tipologia:
Bcr

[doc. web n.  5217634]

Autorizzazione al trasferimento di dati dati personali relativi al personale, ai fruitori dei servizi assicurativi, agli intermediari assicurativi e ai fornitori e partner mediante BCR  nell´ambito del Gruppo AXA  - 18 maggio 2016

Registro dei provvedimenti
n. 229 del 18 maggio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il d.lg. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a), del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa" di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nelle Application form, di cui al WP 133 del 10 gennaio 2007, pervenuta al Garante in data 6 giugno 2012, presentata da AXA SA – società capogruppo (con sede in Francia)  dell´AXA Group (di seguito "Gruppo AXA") operante nel settore di servizi assicurativi e di gestione patrimoniale, dinanzi all´Autorità francese di protezione dei dati personali (Commission nationale de l´informatique et des libertés, di seguito "CNIL"), individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da AXA SA in nome e per conto di tutte le società controllate, direttamente o indirettamente (c.d. "Società AXA"), dalla medesima, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi dei dati personali relativi a "clienti, potenziali clienti, sinistrati, dipendenti AXA, candidati a posti di lavoro, agenti, fornitori e altre terze parti" per le finalità indicate nel dettaglio nell´Application Form (Sezione 7), mediante l´adozione delle Norme vincolanti di impresa, c.d. "Bcr  AXA";

PRESO ATTO che le Bcr AXA consistono in una Policy definita "Binding Corporate Rules del Gruppo AXA" (di seguito "Policy Bcr") comprensiva di due appendici: dell´Appendice 1, inerente l´accordo infragruppo denominato "Contratto Intragruppo per la definizione di Corporate Binding Rules per il trasferimento di dati personali all´interno del Gruppo AXA" (di seguito "Contratto Bcr"), a sua volta contenente l´Allegato 1 "Elenco delle società parti del Contratto Bcr" e l´Allegato 2 "Modello di contratto di accettazione delle Bcr" (di seguito "Contratto di accettazione"); dell´Appendice 2 relativa al "Programma di verifica della conformità";

PRESO ATTO, altresì, che al fine di rendere vincolanti le Bcr AXA nei confronti di tutte le società AXA, il Gruppo ha previsto un sistema di adesione progressiva alle clausole contenute nel "Contratto Bcr", mediante l´iniziale sottoscrizione dello stesso da parte di AXA SA e delle società AXA elencate nell´Allegato 1, e la successiva sottoscrizione del "Contratto di accettazione" da parte delle società AXA che aderiscono alle Bcr AXA dopo l´entrata in vigore delle stesse;

PRESO ATTO che la "Policy Bcr" è pubblicata nella "versione per il pubblico" sulla Intranet del Gruppo AXA e sul relativo sito Internet  (v. "Policy Bcr", art. VI, par. 4);

RILEVATO che la CNIL in data 24 settembre 2013, all´esito della procedura europea concernente le Bcr AXA, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante in data 9 ottobre 2013 ha confermato di aver ricevuto il testo definitivo delle Bcr AXA, riservandosi di valutare, in sede di procedura nazionale, la conformità di tale final draft alla normativa italiana;

CONSIDERATO, altresì, che a seguito della istanze del 3 dicembre 2013 e 29 novembre 2013, presentate ai sensi dell´art. 44, comma 1, lett. a) del Codice dalle società del Gruppo AXA denominate AXA MPS Assicurazioni Danni S.p.A., AXA MPS Assicurazioni Vita S.p.A., Centurion Immobiliare S.p.A., Distribuzione Previdenza s.r.l., AXA Assicurazioni S.p.A. e AXA Interlife S.p.A. volte ad ottenere il rilascio dell´autorizzazione nazionale ai trasferimenti infragruppo verso Paesi terzi da parte delle suddette società, il Garante, all´esito della procedura di valutazione così instaurata, ha provveduto a rendere le relative autorizzazioni (cfr. Provvedimento del 3 aprile 2014 doc. web n. 3128124; Provvedimento del 15 maggio 2014 doc. web n. 3247015; Provvedimento del 15 maggio 2014 doc. web n. 3243319; Provvedimento del 15 maggio 2014 doc. web n. 3233476);

VISTI gli ulteriori provvedimenti del Garante con sui sono state rilasciate le autorizzazioni al trasferimento dei dati infragruppo verso Paesi terzi anche a Quadra Assicurazioni S.p.A. (Provvedimento del 21 gennaio 2016 doc web n. 4798178) e ad AXA Global Direct Seguros y Reaseguros S.A.U. – Rappresentanza generale per l´Italia (Provvedimento del 31 marzo 2016, doc. web n. 4916409), società del Gruppo AXA che hanno presentato le relative istanze innanzi al Garante rispettivamente il 18 novembre 2015 e il 28 gennaio 2016;

VISTA l´istanza del 18 novembre 2015 avanzata, ai sensi dell´art. 44, comma 1, lett. a) del Codice da AXA Assicurazioni S.p.A. in nome e per conto di AXA Italia Servizi S.c.p.a. (con sede in Milano) volta anch´essa a ottenere il rilascio dell´autorizzazione nazionale ai trasferimenti infragruppo verso paesi terzi, mediante le Bcr AXA, posti in essere da AXA Italia Servizi S.c.p.a. in qualità di titolare autonomo del trattamento (cfr. nota della società del 1° aprile 2016), con riferimento ai dati personali relativi a: il "personale" "per finalità di gestione del rapporto di lavoro, della selezione del personale e della carica assegnata e per finalità amministrativo contabili"; i "fruitori dei servizi assicurativi" "per finalità assicurative (di gestione del rapporto assicurativo e di gestione delle richieste di servizio ricevute)"; gli "intermediari assicurativi" "per finalità di gestione del rapporto di mandato, di intermediazione e della selezione di candidati [e] per finalità amministrativo contabili"; i "fornitori e partner" "per finalità di gestione del rapporto di fornitura del servizio [e per] finalità amministrativo contabili";

PRESO ATTO che per "personale", si intendono: dipendenti, tirocinanti, lavoratori autonomi, collaboratori, lavoratori inquadrati secondo altri istituti, candidati, amministratori, membri del Collegio sindacale, revisori e dipendenti della società di revisione; per "fruitori dei servizi assicurativi", si intendono: contraenti, assicurati, beneficiari, aderenti a polizze collettive, terzi danneggiati, altri terzi fruitori dei servizi assicurativi connessi alle polizze distribuite e potenziali clienti; per "intermediari assicurativi", si intendono anche quelli potenziali;

RILEVATO, altresì, che l´istanza sopra menzionata ha ad oggetto anche il trasferimento infragruppo dei dati personali relativi ai "fruitori dei servizi assicurativi", agli "intermediari assicurativi" e ai "fornitori e partner" per il perseguimento di "finalità commerciali, di marketing" e "di ricerche di mercato", eventualmente mediante l´utilizzo di tecniche di comunicazione a distanza, previa acquisizione del consenso dell´interessato;

PRESO ATTO che, anche in base a quanto dichiarato dalla società istante con la nota del 18 novembre 2015, devono "intendersi estese anche alla presente istanza di autorizzazione" le informazioni e i chiarimenti resi a questa Autorità dalle altre società del Gruppo AXA, nell´ambito dei procedimenti sopra richiamati, con la nota del 20 marzo 2014, nonché le valutazioni rese in merito alle Bcr AXA dal Garante in tale sede (cfr. al riguardo i provvedimenti citati);

RILEVATO comunque che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza AXA Italia Servizi S.c.p.a. a trasferire, nell´ambito del Gruppo AXA, i dati personali relativi al "personale", ai "fruitori dei servizi assicurativi", agli "intermediari assicurativi" e ai "fornitori e partner", dal territorio dello Stato verso i soggetti facenti parte del Gruppo AXA aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr AXA e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 18 maggio 2016

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia