Diritti interna

Doveri interna

ricerca avanzata

Trasferimento di dati personali relativi ai dipendenti e alla clientela verso paesi non appartenenti all'Ue mediante Bcr: provvedimento di autoriz...

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1717863
Data:
08/04/10
Argomenti:
Imprese , Trasferimento dati all'estero
Tipologia:
Bcr

[doc. web n. 1717863]

Trasferimento di dati personali relativi ai dipendenti e alla clientela verso paesi non appartenenti all´Ue mediante Bcr: provvedimento di autorizzazione nazionale - 8 aprile 2010

Registro delle deliberazioni
Del. n. 24 del 8 aprile 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale reggente;

VISTO l´art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali;

VISTO, in particolare, l´art. 44, comma 1, lett. a), del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa" di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nell´Application form di cui al WP 133 del 10 gennaio 2007, pervenuta al Garante in data 20 Gennaio 2009, presentata da Hyatt Hotels Corporation − società capogruppo dell´Hyatt Group (di seguito "Hyatt") operante nel settore della ristorazione alberghiera (con sede negli Stati Uniti d´America) − dinanzi all´Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner´s Office, di seguito "ICO"), individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è presentata da Hyatt Hotels Corporation in nome e per conto anche di tutte le società (c.d. "Affiliate Hyatt") controllate, direttamente o indirettamente, dalla medesima, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi dei dati personali relativi ai dipendenti e alla clientela delle strutture alberghiere (ossia "hotel" e "resort") con un "marchio Hyatt" per le finalità connesse rispettivamente alla gestione del rapporto di lavoro e dei rapporti con la clientela (finalità indicate nell´Application form al punto 7, ove sono descritti in generale i flussi dei dati, e, più in dettaglio, nel relativo Allegato 2 "Informazioni concernenti le finalità dei trattamenti di dati svolti da Hyatt") mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Hyatt";

PRESO ATTO che le Bcr Hyatt consistono in un accordo infragruppo denominato "Binding Corporate Rules Intra-group Agreement" (di seguito "IGA") comprensivo dell´Allegato 1 contenente la lista delle Affiliate Hyatt che in qualità di "Parti" sottoscrivono il predetto accordo e dell´Allegato 2 inerente i "Principi globali in materia di protezione dei dati";

VISTE le ulteriori policy adottate da Hyatt con riguardo al trattamento dei dati dei dipendenti e della clientela all´interno del gruppo denominate rispettivamente "Regolamentazione globale in materia di privacy per i dipendenti" (di seguito "Global Privacy Policy for Employees") e "Regolamento globale in materia di privacy per gli ospiti" (di seguito "Global Privacy Policy for Guests");

PRESO ATTO che Hyatt si impegna alla pubblicazione su Internet, nel caso della clientela, e nell´Intranet aziendale di Hyatt, con riguardo ai dipendenti, delle predette policy (cfr. "Principi globali in materia di protezione dei dati" par. 2.2) e che le medesime rendono edotto l´interessato circa le modalità per avere conoscibilità delle Bcr Hyatt (cfr. "Global Privacy Policy for Employees", par. 9 e "Global Privacy Policy for Guests", par. 11);

RILEVATO che l´ICO in data 17 Giugno 2009, all´esito della procedura concernente le Bcr Hyatt, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante in data 18 settembre 2009, nel valutare la conformità di tale final draft alla normativa nazionale, ha rappresentato all´ICO che, ai fini del rilascio della relativa autorizzazione, "il final draft […] sarà interpretato in maniera conforme alla normativa nazionale con riferimento agli aspetti" concernenti "a) la limitazione dell´ambito di applicazione della clausola di responsabilità; b) […] l´operatività della clausola del terzo beneficiario […]; c) il riferimento all´impiego di misure di sicurezza "ragionevoli"" (cfr. nota del 18 settembre 2009);

VISTA l´istanza del 18 dicembre 2009 presentata, ai sensi degli artt. 44, comma 1, lett. a), dalla "Società proprietaria indipendente Hyatt" denominata Nepa s.r.l. con sede in Milano, in qualità di rappresentante in Italia ai fini della protezione dei dati personali e proprietaria dell´unico hotel del Gruppo Hyatt in Italia (l´Hotel Park Hyatt di Milano), nonché da Hyatt International (Europe Africa Middle East) LLC, con sede in Svizzera, Affiliata Hyatt che detiene il controllo in merito alla gestione e conduzione dell´hotel citato, e da Hyatt Holdings (UK) Limited con sede nel Regno Unito, Affiliata Hyatt dell´UE cui è stata delegata da Hyatt la responsabilità in materia di protezione dei dati personali;

CONSIDERATO che la predetta richiesta è volta a ottenere il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi ai dipendenti e alla clientela dal territorio dello Stato verso paesi terzi mediante il rispetto da parte di Nepa s.r.l., delle Bcr Hyatt, come si evince dall´istanza del 18 dicembre 2009;

PRESO ATTO inoltre che, in base al contratto di gestione stipulato con Nepa s.r.l., la società Hyatt International (Europe Africa Middle East) LLC, che sottoscrive le Bcr Hyatt in qualità di "Parte", ha il completo controllo sulla predetta Nepa s.r.l., godendo altresì della piena discrezionalità in ordine alla gestione dell´hotel di cui quest´ultima è proprietaria;

VISTA la richiesta di informazioni e chiarimenti in ordine alla individuazione dei soggetti coinvolti nel trasferimento infragruppo diretto verso paesi terzi dei dati nonché ai profili già evidenziati con la nota del 18 settembre 2009 e tenuto conto altresì della contestuale istanza di integrazione documentale, entrambe avanzate dal Garante in data 3 febbraio 2010 nei confronti delle menzionate società (cfr. nota del 3 febbraio 2010);

CONSIDERATO che le società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, con nota del 9 marzo 2010 hanno espressamente dichiarato:

- con riferimento all´ambito di applicazione della clausola di responsabilità (cfr. in particolare "Principi globali in materia di protezione dei dati" par. 1.1 e Allegato 1) che le Bcr Hyatt "troveranno applicazione per tutti i dati raccolti nel territorio UE da parte di o per conto delle Affiliate Hyatt a prescindere dal luogo in cui i medesimi dati siano successivamente trattati dalle Affiliate Hyatt" (v. nota delle società del 9 marzo 2010, punto (d));

- che le Bcr Hyatt attribuiscono all´interessato il diritto, in qualità di terzo beneficiario, di far valere, innanzi alle Autorità di protezione dei dati personali e alle autorità giudiziarie competenti, le disposizioni di cui alle clausole 2.2-3, 3, 4, 5, 6 e 7 dell´IGA e di cui ai paragrafi 2, 5.1-2 e 6.1-3 dei "Principi globali in materia di protezione dei dati" (c.d. "clausola del terzo beneficiario", cfr. al riguardo WP 155, punto 9), diritto espressamente previsto nella clausola 3.1 dell´IGA (v. nota delle società del 9 marzo 2010, punto (a));

- in riferimento alle misure di sicurezza (cfr. "Principi globali in materia di protezione dei dati", par. 2.10; "Global Privacy Policy for Guests", par. 7.6), che l´aggettivo "reasonable" contenuto nel testo delle Bcr e delle policy "viene inteso nel significato attribuito all´aggettivo "adeguate" (appropriato) così come utilizzato in ambito comunitario. Art. 17 – Sicurezza dei trattamenti, di cui alla direttiva 95/46/CE del 24 Ottobre 1995" (v. nota delle società del 9 marzo 2010, punto (b));

RILEVATO comunque che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. a) e d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, vietare o disporre il blocco, nonché adottare gli ulteriori provvedimenti previsti dalla medesima;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Nepa s.r.l. a trasferire, nell´ambito del Gruppo Hyatt, i dati personali relativi ai dipendenti e alla clientela dal territorio dello Stato verso le Affiliate Hyatt aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Hyatt e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere a) e d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, eventuali provvedimenti di blocco o di divieto.

Roma, 8 aprile 2010

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE REGGENTE
De Paoli