Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Trasferimento di dati personali relativi ai dipendenti e alla clientela verso paesi non appartenenti all'Ue - 7 ottobre 2010 [1763052]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1763052
Data:
07/10/10
Argomenti:
Trasferimento dati all'estero
Tipologia:
Bcr

[doc. web n. 1763052]

Trasferimento di dati personali relativi ai dipendenti e alla clientela verso paesi non appartenenti all´Ue - 7 ottobre 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali;

VISTO, in particolare, l´art. 44, comma 1, lett. a), del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa" di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea, ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

CONSIDERATO che il succitato parere prevede inoltre che la lead Authority, al termine della procedura di cooperazione, trasmetta a tutte le altre autorità coinvolte il c.d. "final draft" ("testo definitivo") delle Bcr al fine di consentire alle medesime di verificare che esso soddisfi i requisiti necessari per il rilascio della relativa autorizzazione nazionale;

VISTA la richiesta, contenuta nell´Application form di cui al WP 133 del 10 gennaio 2007, pervenuta al Garante in data 12 giugno 2008, presentata da JPMorgan Chase Bank, N.A. − società del gruppo JPMorgan Chase & Co. (di seguito  "JPMC"), operante nel settore bancario e finanziario (avente sede negli Stati Uniti d´America) - dinanzi all´Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner´s Office, di seguito "ICO"), individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è presentata da JPMorgan Chase Bank, N.A. – società con sede nel Regno Unito cui è stata delegata da JPMC la responsabilità in materia di protezione dei dati personali –  in nome e per conto della capogruppo JPMorgan Chase & Co. e di tutte le consociate dirette e indirette interamente controllate dalla capogruppo (c.d. "Affiliate JMPC") ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi dei dati personali relativi ai dipendenti, nonché ai fornitori, ai clienti, alla potenziale clientela del gruppo JPMC (EMEA Data Privacy Handbook, par. 6.1.) e alle ulteriori categorie di soggetti indicate nell´Application form (Sezione 7) per le finalità connesse rispettivamente alla gestione del rapporto di lavoro (EMEA Data Privacy Handbook, par. 5.1. e Application form, Sezione 7) e alle operazioni svolte da JPMC nell´esercizio della propria attività così come indicate nell´EMEA Data Privacy Policy (v. anche Application form, Sezione 7) mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr JPMC" (Clausole Standard, par. 2. (ii));

VISTO che le Bcr JPMC consistono in un contratto intra-gruppo denominato "Binding Corporate Rules Intra-group Agreement" (di seguito "IGA"), comprensivo dell´Allegato 1 inerente i "JPMC Global Standards for Processing EMEA Personal Data" (di seguito "Clausole Standard"), contratto mediante il quale le società JPMorgan Chase Bank N.A. (con sede nel Regno Unito), JPMorgan Asset Management Holdings Inc. (con sede negli Stati Uniti d´America), JPMorgan Capital Financing Ltd (con sede nel Regno Unito), JPMorgan Securities Inc. (con sede negli Stati Uniti d´America) e The Bears Stearns Companies LLC (con sede negli Stati Uniti d´America) s´impegnano a garantire che tutte le proprie controllate siano vincolate e tenute al rispetto degli obblighi previsti dalle Bcr JPMC;

PRESO ATTO che le Clausole Standard prevedono l´impegno di JPMC di pubblicare su Internet e nell´Intranet aziendale tali Clausole Standard e i relativi allegati, nonché di metterle a disposizione degli interessati su loro richiesta (v. Clausole Standard, par. 14);

VISTE le ulteriori policy adottate da JPMC, con riguardo al trattamento dei dati dei dipendenti del gruppo JPMC e delle altre categorie di soggetti sopra indicate, denominate "Manuale sulla riservatezza dei dati nell´area EMEA" (di seguito "EMEA Data Privacy Handbook") e "Privacy Policy in relazione ai dati EMEA" (di seguito "EMEA Data Privacy Policy"), disponibili rispettivamente nell´Intranet di JPMC e su Internet (Clausole Standard, par. 2. (ii));

RILEVATO che l´ICO in data 12 Marzo 2010, all´esito della procedura di cooperazione concernente le Bcr JPMC, attivata secondo le forme previste dal Wp 107, ha inoltrato alle Autorità di protezione dei dati personali coinvolte nella procedura il relativo final draft, informando al contempo di aver provveduto in data 26 febbraio 2010 al rilascio della corrispondente autorizzazione nazionale (v. ICO, Binding Corporate Rules Authorisation, Appendix 1, n. 6 del 26 febbraio 2010);

VISTA l´istanza del 28 aprile 2010 presentata al Garante, ai sensi dell´art. 44, comma 1, lett. a), da JPMorgan Securities Limited, JPMorgan Chase Bank N.A., JPMorgan International Bank Ltd, JPMorgan Asset Management Società di Gestione del Risparmio S.p.A., nonché da JPMorgan Asset Management (Europe) S.a.r.l., in qualità di società (aventi sede in Milano) interamente controllate dalle Affiliate JPMC  sottoscriventi l´IGA;

VISTE la richiesta di informazioni e di integrazione documentale e le istanze di ulteriori chiarimenti avanzate dal Garante in data 11 giugno, 2 agosto e 14 settembre 2010 nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in ordine a:

- l´individuazione dei soggetti coinvolti nel trasferimento intra-gruppo dei dati verso paesi terzi (v. nota dell´11 giugno 2010, punto (a));

- l´ambito di applicazione delle clausole di responsabilità e del terzo beneficiario (v. nota dell´11 giugno 2010, punti (b) e (c) e nota del 2 agosto 2010, punto (a));

- le definizioni presenti nelle Clausole Standard (v. nota dell´11 giugno 2010, punto (d));

- i diritti dell´interessato (v. nota dell´11 giugno 2010, punto (f) e nota del 2 agosto 2010, punto (b));

- i documenti che costituiscono le Bcr JMPC, con particolare riferimento all´EMEA Data Privacy Handbook e all´EMEA Data Privacy Policy (v. nota del 2 agosto 2010, punto (c));

- l´esatta indicazione della tipologia dei dati personali oggetto delle Bcr JPMC (v. nota del 14 settembre 2010);

CONSIDERATO che le società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, con note del 30 giugno, 27 Agosto e 22 settembre 2010 hanno espressamente dichiarato:

- con riferimento all´individuazione dei soggetti coinvolti nel trasferimento intra-gruppo dei dati verso paesi terzi, che ciascuna delle società che ha presentato istanza di autorizzazione al Garante è tenuta al rispetto delle Bcr JPMC, in quanto società interamente controllata da una delle Affiliate JPMC sottoscriventi l´IGA (v. nota delle società del 30 giugno 2010, punto (a));

- in merito alla clausola di responsabilità, che le disposizioni di cui al par. 4 dell´IGA sono pienamente conformi a quanto previsto dal par. 1.4. del WP 153 (v. nota delle società del 30 giugno 2010, punto (b) e nota del 27 agosto 2010, punto (a));

- che le Bcr JPMC attribuiscono all´interessato il diritto, espressamente previsto nella clausola 3.1 dell´IGA (c.d. "clausola del terzo beneficiario"; cfr. al riguardo WP 155 del 24 giugno 2008, punto 9), di far valere, in qualità di terzo beneficiario, innanzi alle Autorità di protezione dei dati personali e alle autorità giudiziarie competenti, non soltanto le disposizioni di cui ai paragrafi 1, 2, 3, 4, 5, 7, 9, 10, 11 delle Clausole Standard ma anche quelle contenute nel successivo paragrafo 14 (v. nota delle società del 30 giugno 2010, punto (c));

- con riguardo a quanto stabilito nel par. 1 delle Clausole Standard, denominato "Ambito", che tutte le definizioni di cui all´art. 2 della direttiva 95/46/CE "trovano applicazione con riferimento alle previsioni" contenute nelle stesse Clausole Standard (v. nota delle società del 30 giugno 2010, punto (d));

- che le Clausole Standard (par. 3) non escludono né limitano i diritti dell´interessato di cui all´art. 7 del Codice, al quale "JPMC si impegna" comunque "a dare piena applicazione" (v. nota delle società del 30 giugno 2010, punto (f) e nota del 27 Agosto 2010  punto (b));

- che l´EMEA Data Privacy Handbook e l´EMEA Data Privacy Policy "costituiscono parte integrante delle Bcr del Gruppo JPMC"(v. nota delle società del 27 agosto 2010, punto (c));

- che costituiscono oggetto delle Bcr JPMC non soltanto i dati concernenti le categorie di interessati individuati nel par. 6.1. dell´EMEA Data Privacy Handbook, ma anche quelli inerenti i seguenti soggetti: referenti presso clienti aziendali, controparti, consorziati e altri operatori del mercato, subappaltatori e personale interinale, peraltro già indicati da JPMC nell´Application form, Sezione 7 (nota delle società del 22 settembre 2010);

RILEVATO comunque che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. a) e d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, vietare o disporre il blocco, nonché adottare gli ulteriori provvedimenti previsti dalla medesima;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza JPMorgan Securities Limited, JPMorgan Chase Bank N.A., JPMorgan International Bank Ltd, JPMorgan Asset Management Società di Gestione del Risparmio S.p.A. e JPMorgan Asset Management (Europe) S.a.r.l., a trasferire, nell´ambito del gruppo JPMC, i dati personali relativi a dipendenti, fornitori, clienti, potenziale clientela, referenti presso clienti aziendali, controparti, consorziati e altri operatori del mercato, subappaltatori e personale interinale, dal territorio dello Stato verso le società del gruppo JPMC aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr JPMC e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere a) e d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, eventuali provvedimenti anche di blocco o di divieto.

Roma, 7 ottobre 2010

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
De Paoli