Diritti interna

Doveri interna

ricerca avanzata

Trasferimento di dati personali all'estero - Autorizzazione alla Società per Azioni Michelin Italiana - 5 maggio 2011 [1829762]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1829762
Data:
05/05/11
Argomenti:
Internazionale , Adeguatezza di Paesi terzi , Trasferimento dati all'estero
Tipologia:
Bcr

[doc. web n. 1829762]

Trasferimento di dati personali all´estero - Autorizzazione alla Società per Azioni Michelin Italiana - 5 maggio 2011

Registro dei provvedimenti
n. 172 del 5 maggio 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali – "Codice";

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa" di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta di cui al WP 133 del 10 gennaio 2007 ("Application form"), presentata dinanzi all´Autorità francese di protezione dei dati personali (Commission nationale de l´informatique et des libertés, di seguito "CNIL"), individuata quale lead Authority della relativa procedura, e pervenuta al Garante in data 10 febbraio 2009 da parte di Manufacture Francaise des Pneumatiques Michelin (di seguito "MFPM") − società (con sede in Francia) facente parte del gruppo Michelin, alla quale è stato delegato dalla capogruppo Compagnie Générale des Etablissements Michelin (con sede in Francia) il compito di promuovere le Bcr Michelin e di verificarne l´applicazione all´interno del gruppo Michelin;

RILEVATO che tale richiesta è stata presentata da MFPM in nome e per conto della capogruppo e di tutte le "entity" ("persone giuridiche" – di seguito "soggetti") del gruppo Michelin dalla stessa controllate, e che essa è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi dei dati personali relativi: ai dipendenti nonché ai candidati all´assunzione per finalità connesse rispettivamente alla gestione del rapporto di lavoro e del processo di selezione; ai fornitori e ai clienti per finalità amministrativo contabili inerenti il rapporto contrattuale; ai consumatori per rispondere a richieste di informazioni o a reclami; ai giornalisti per la trasmissione di comunicati stampa o di inviti ad eventi promozionali (finalità indicate espressamente nelle Michelin´s Binding Corporate Rules on the Transfer of Personal Data from the European Union, Allegato 2) mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Michelin";

PRESO ATTO che le Bcr Michelin consistono in una policy interna al gruppo denominata "Michelin´s Binding Corporate Rules on the Transfer of Personal Data from the European Union" – "MBCR" comprensiva: dell´Allegato 1 contenente la lista dei soggetti del gruppo che trasferiscono e accettano di ricevere dati personali; dell´Allegato 2 relativo alle operazioni di trattamento oggetto delle Bcr Michelin; dell´Allegato 3 inerente alle funzioni del "Comitato di protezione dei dati personali" e del "Privacy Officer" ("Incaricato del trattamento dei dati personali"); dell´Allegato 4 relativo alle procedure interne del gruppo Michelin; degli Allegati 5 e 6 in materia di audit;

VISTO  l´accordo - denominato "Adhesion act of the Michelin Binding corporate rules"  (di seguito "Adhesion act") – ai sensi del quale la MFPM, in nome e per conto di tutti i soggetti del gruppo Michelin con sede nell´Unione Europea o in un Paese che garantisce un livello adeguato di protezione ai sensi della direttiva 95/46/CE (capo IV) – definiti "esportatori" (v. MBCR, sez. II), si impegna al rispetto delle Bcr Michelin con ognuno dei soggetti del gruppo Michelin avente sede in un paese terzo - definiti "importatori" (v. MBCR, sez. II);

PRESO ATTO che la MFPM ha dichiarato che il summenzionato Adhesion act sarà sottoscritto da ciascun soggetto esportatore ed importatore del gruppo Michelin (v. Application form, par. 4);

CONSIDERATO che tali soggetti, al fine di favorire la più ampia divulgazione delle regole di condotta, s´impegnano, tra l´altro, alla pubblicazione delle Bcr Michelin sul sito istituzionale del gruppo Michelin e nella intranet aziendale (cfr. MBCR, sez. XI);

VISTO  che, ai sensi delle Bcr Michelin (v. MBCR, sez. XIX, punto 4; sez. XX) "ogni esportatore e/o importatore accetta che il soggetto interessato abbia diritto al risarcimento del danno a causa della violazione delle Norme vincolanti d´impresa da parte di un importatore di dati personali trasferiti da un esportatore e accetta la giurisdizione del paese in cui ha sede l´esportatore" (c.d. "clausola del terzo beneficiario" ai sensi del WP 74, par. 5 e del WP 153, par. 1.3);

RILEVATO che la CNIL il 29 settembre 2009, all´esito della procedura di cooperazione europea concernente le Bcr Michelin, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante, in data 17 dicembre 2009, nel valutare la conformità di tale final draft alla normativa nazionale, ha rappresentato alla CNIL alcune criticità del testo rispetto alle peculiarità della disciplina italiana, riservandosi di chiedere, in sede di rilascio della relativa autorizzazione nazionale, ulteriori informazioni in merito (cfr. nota del 17 dicembre 2009);

VISTA l´istanza datata 6 maggio 2010 presentata, ai sensi dell´art. 44, comma 1, lett. a) del Codice, dalla Società per Azioni Michelin Italiana – "SAMI" con sede in Torino, in qualità di società del gruppo Michelin;

CONSIDERATO che la predetta richiesta è volta a ottenere il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi a dipendenti, candidati all´assunzione, fornitori, clienti, consumatori e giornalisti dal territorio dello Stato verso paesi terzi previa assunzione dell´impegno da parte di SAMI al rispetto delle Bcr Michelin;

RILEVATO inoltre che con atto del 16 dicembre 2009, la SAMI ha conferito alla MFPM specifica procura a sottoscrivere l´Adhesion act in qualità di "esportatore" con ognuno dei soggetti "importatori" del gruppo Michelin (per le definizioni, v. MBCR, sez. II);

VISTE le richieste di integrazione documentale avanzate dal Garante rispettivamente il 9 luglio e il 5 novembre 2010 e l´istanza di informazioni datata 18 febbraio 2011 con cui il Garante ha chiesto alcuni chiarimenti in ordine alle categorie di dati personali oggetto delle Bcr Michelin e alle relative finalità, alla struttura del gruppo Michelin, al ruolo di altri soggetti esportatori stabiliti in Italia e all´informativa da rilasciare ai soggetti interessati (cfr. nota del 18 febbraio 2011);

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, con nota del 29 marzo 2011 ha espressamente dichiarato:

- con riferimento ai dati personali e alle relative finalità, che "i dati personali e sensibili dei dipendenti sono raccolti e trattati  per adempiere a finalità di carattere amministrativo contabile, nonché per permettere la gestione del rapporto di lavoro in tutti i suoi aspetti [..]; i dati personali e sensibili dei candidati sono raccolti e trattati  per adempiere a finalità legate al processo di selezione; i dati personali dei fornitori sono raccolti e trattati per adempiere a finalità amministrativo contabili legate al rapporto contrattuale esistente o potenziale; i dati personali dei clienti sono raccolti e trattati per adempiere a finalità amministrativo contabili legate al rapporto contrattuale esistente o potenziale; i dati personali delle persone definite nelle Bcr come "persone di contatto" sono relativi a soggetti che entrano a vario titolo in contatto con Michelin e sono trattati per adempiere a finalità legate allo specifico motivo  che ha portato dette persone a contatto con Michelin; rientrano in tale categoria: i consumatori, per i quali la finalità del trattamento è da ricercarsi nella necessità di rispondere a una richiesta di informazioni, o a una lamentela su un prodotto; i giornalisti, per i quali la finalità del trattamento è da ricercarsi nella necessità  di inserirli in una mailing list per inviare loro comunicati stampa, o per invitarli ad eventi promozionali" (v. nota della società del 29 marzo 2011, punto (a));

- in merito ai rapporti intercorrenti tra la capogruppo Michelin, la MFPM e la SAMI, che la MFPM "appartiene interamente" alla capogruppo Michelin la quale, "nella sua qualità di capogruppo e in nome e per conto di tutte le entità del gruppo Michelin dalla stessa controllate, ha delegato alla MFPM il compito di promuovere e verificare l´applicazione delle Binding Corporate Rules nel gruppo Michelin". La SAMI, a sua volta, "ha espressamente dato alla MFPM il potere di sottoscrivere per suo conto l´atto di adesione alle già richiamate Bcr per il trasferimento dei dati personali all´interno del gruppo"(v. nota della società del 29 marzo 2011, punto (b));

- in ordine agli altri soggetti esportatori del gruppo Michelin con sede in Italia, che "l´istanza di autorizzazione presentata [..] è relativa esclusivamente alla società Michelin italiana S.p.A." (v. nota della società del 29 marzo 2011, punto (c));

- relativamente all´informativa, che quest´ultima sarà rilasciata conformemente a quanto previsto dal Codice (v. nota della società del 29 marzo 2011, punto (d));

PRESO ATTO  inoltre che la SAMI si è impegnata a "trasferire i dati personali oggetto della presente richiesta di autorizzazione nazionale nei confronti delle società del gruppo Michelin stabilite in paesi non appartenenti all´Unione Europea (e che non presentino garanzie adeguate ai sensi dell´art. 44 del Codice), esclusivamente ove queste ultime abbiano effettivamente sottoscritto gli Adhesion Acts of the Michelin Binding Corporate Rules con la MFPM" (v. nota della società del 29 marzo 2011);

RILEVATO comunque che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. a) e d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, vietare o disporre il blocco, nonché adottare gli ulteriori provvedimenti previsti dalla medesima;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza la Società per Azioni Michelin Italiana a trasferire, nell´ambito del gruppo Michelin, i dati personali relativi a dipendenti, candidati all´assunzione, fornitori, clienti, consumatori e giornalisti dal territorio dello Stato verso i soggetti del gruppo Michelin aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Michelin e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere a) e d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, eventuali provvedimenti anche di blocco o di divieto.

Roma, 5 maggio 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
De Paoli