Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Trasferimento di dati personali all'estero. Autorizzazione a Accenture (UK) Ltd - 27 giugno 2013 [2576345]

 

[doc. web n. 2576345]

Trasferimento di dati personali all´estero. Autorizzazione a Accenture (UK) Ltd - 27 giugno 2013

Registro dei provvedimenti
n. 313 del 27 giugno 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a), del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa" di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendosi, tra l´altro, che essa debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

CONSIDERATO che il succitato parere prevede, inoltre, che la lead Authority, al termine della procedura di cooperazione, trasmetta a tutte le altre autorità coinvolte il c.d. "final draft" ("testo definitivo") delle Bcr, al fine di consentire alle medesime di verificare che esso soddisfi i requisiti necessari per il rilascio della relativa autorizzazione nazionale;

VISTA la richiesta, pervenuta al Garante in data 8 settembre 2006, presentata da Accenture (UK) Ltd - società del Gruppo Accenture, operante nel settore della consulenza direzionale, del System integration & technology e dei servizi alle imprese (la cui società capogruppo, Accenture Ltd, ha sede negli Stati Uniti d´America) - dinanzi all´Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner´s Office, di seguito "ICO"), individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da Accenture (UK) Ltd (con sede nel Regno Unito) in nome e per conto della capogruppo e di tutte le società controllate, direttamente o indirettamente, dalla medesima;

PRESO ATTO che la predetta richiesta è volta a ottenere l´autorizzazione al trasferimento intra-gruppo, verso paesi terzi, dei dati personali relativi a "i dipendenti (passati e presenti), i candidati all´assunzione, i contatti presso i clienti, i fornitori, gli utenti dei siti web e gli azionisti"  (v. "Global Data Privacy Policy 90", par. 1.2) per le finalità connesse alla "pianificazione, selezione del personale, gestione delle prestazioni dei dipendenti e loro sviluppo professionale, retribuzioni, gestione dei fondi e contabilità, gestione dei piani di offerta azionaria  e relative attività, sviluppo aziendale e di mercato, creazione e gestione delle relazioni esterne, pianificazione ed implementazione di risorse di integrazione aziendale, ricerca e sviluppo, infrastruttura e supporto tecnologico e gestione dei mezzi, gestione dei viaggi, gestione delle conoscenze e altri fini previsti dalle leggi o normative in vigore" (v. "Global Data Privacy Policy 90", par. 1.2), mediante l´adozione delle Norme vincolanti di impresa, c.d. "Bcr Accenture";

PRESO ATTO che le Bcr Accenture consistono in un contratto intra-gruppo denominato "Accenture Inter-company Agreement" (di seguito "ICA"), comprensivo dell´Allegato 1, contenente l´elenco delle società del Gruppo Accenture, c.d. "Importatori di dati", che si impegnano a rispettare le clausole contenute nell´ICA, e dell´Allegato 2, inerente la "Global Data Privacy Policy 90" (di seguito "Policy 90");

PRESO ATTO che la "Policy 90" ricomprende anche: il Memorandum A - "The Application of and Compliance with Data Privacy Policy", il Memorandum B - "Procedures for responding to individuals requests to exercise their rights under Global Data Privacy Policy" e il Memorandum C - "Complaint Handling Procedure";

RILEVATO che l´ICA consiste in un accordo tra ciascuna società del Gruppo Accenture, che sottoscrive l´accordo in quanto Esportatore dei dati, e Accenture (UK) Ltd agente - in qualità di "Gestore della riservatezza dei dati" - per proprio conto e di ogni altro Importatore di dati;

PRESO ATTO che, ai sensi del suddetto ICA, "ciascun Importatore di dati farà sì che le proprie controllate ottemperino al presente accordo, come se ciascuna di esse lo avesse sottoscritto in qualità di Importatore di dati" (v. ICA, clausola 2.4);

RILEVATO, inoltre, che l´ICA individua le regole per la stipulazione di successivi contratti, aventi ad oggetto il trasferimento transfrontaliero di dati personali tra le società del gruppo Accenture, contenenti clausole analoghe a quelle individuate dall´ICA (v. ICA, clausola 2.1);

PRESO ATTO che l´ICO, in data 23 aprile 2009, all´esito della procedura di cooperazione concernente le Bcr Accenture, attivata secondo le forme previste dal WP 107, ha inoltrato alle Autorità di protezione dei dati personali coinvolte nella procedura il relativo final draft, informando successivamente di aver provveduto, in data 30 aprile 2009, al rilascio della corrispondente autorizzazione nazionale (v. ICO, Binding Corporate Rules Authorisation, Appendix 1, n. 4 del 30 aprile 2009);

CONSIDERATO che, il 20 marzo 2009, il Garante, nel confermare ai sensi del WP 107, la rispondenza delle Bcr Accenture ai criteri di adeguatezza di cui ai documenti del Gruppo ex art. 29, ha rappresentato all´ICO l´esigenza che le Bcr assicurino all´interessato un´agevole accesso alle informazioni ivi contenute, con particolare riferimento alla clausola del terzo beneficiario (cfr. nota del Garante del 20 marzo 2009);

VISTA l´istanza del 30 gennaio 2012, presentata al Garante, ai sensi dell´art. 44, comma 1, lett. a), da Accenture S.p.A., Accenture Technology Solutions S.r.l., Accenture Outsourcing S.r.l., Accenture Insurance Services S.p.A., Accenture HR Services S.p.A., nonché da Accenture Finance and Accounting BPO Service S.p.A. (aventi sede in Milano) al fine di ottenere il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi al personale dipendente (ivi compresi i candidati all´assunzione) e ad altre categorie di interessati (ovvero contatti presso i clienti, fornitori, utenti dei siti web e azionisti) dal territorio dello Stato verso paesi terzi, mediante le Bcr Accenture;

VISTE le richieste di informazioni e di integrazione documentale avanzate dal Garante nei confronti delle menzionate società, in data 28 marzo, 29 maggio e 28 settembre 2012 e 28 marzo 2013, volte ad ottenere specifici chiarimenti in ordine a:

- la nozione di "titolare dei dati" (v. nota del Garante del 28 marzo 2013, punto (a));

- la tipologia dei dati concernenti i soggetti che, in qualità di interessati, sono coinvolti nel trasferimento dei dati, con particolare riguardo al concetto di  "client contacts" (v. nota del Garante del 28 marzo 2013, punto (b));

-  la conformità della clausola del terzo beneficiario, di cui alla clausola 4 dell´ICA, a quanto previsto nei documenti del Gruppo ex art. 29 (v. WP 74, paragrafi 3.3.2 e 5.5.1 e WP 108, par. 5.12 ss.), ed il suo preciso ambito di applicazione in ordine ad eventuali violazioni dei soli Memoranda A, B e C (cfr. ICA, clausola 4.5) (v. nota del Garante del 28 marzo 2013, punto (c));

- il sistema di responsabilità e i criteri di scelta della giurisdizione  (v. nota del Garante del 28 marzo 2013, punti (d) ed (e));

-  l´elenco dei diritti che l´interessato può esercitare, indicando, in particolare, ove, nelle Bcr Accenture, siano previsti i "rights of erasure and blocking of data" (v. nota del Garante del 28 marzo 2013, punto (f));

- il rispetto degli obblighi di trasparenza (cfr. WP 74, par. 5.7 e WP 153, par. 1.7), con particolare riguardo alla clausola del terzo beneficiario (v. note del Garante del 28 settembre 2012 e 28 marzo 2013);

CONSIDERATO che le società, nel rendere riscontro al Garante, in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con le note del 13 dicembre 2012 e del 14 maggio 2013, hanno dichiarato che:

- il termine "titolare dei dati (data owner)", menzionato nella versione italiana dell´ICA, corrisponde alla nozione di "interessato" di cui alla direttiva 95/46/CE (v. nota delle società del 14 maggio 2013, punto (a));

-  le informazioni personali, oggetto dell´istanza di autorizzazione, riguardano: a) il "personale dipendente", che comprende "il personale in servizio e non più in servizio" e "i candidati all´assunzione"; b) i "contatti clienti, fornitori, utenti del sito web e azionisti", ove per "contatti clienti si intendono le informazioni di contatto commerciale relative a persone fisiche in quanto clienti attuali, clienti potenziali e intermediari,  raccolte nel normale corso dei rapporti commerciali e d´affari con tali soggetti" (v. nota delle società del 14 maggio 2013, punto (b));

- la clausola 4 dell´ICA contiene la clausola del terzo beneficiario e, in quanto tale, "è finalizzata a riconoscere una serie di diritti agli interessati secondo i requisiti fissati nei documenti WP 74 e WP 108", mentre la clausola 4.5 deve intendersi riferita ai Memoranda per quanto attiene il profilo concernente "le modalità di applicazione delle regole contenute nella Policy 90 piuttosto che l´enunciazione di tali regole" (v. nota delle società del 14 maggio 2013, punto (c));

-  in merito alla clausola di responsabilità e al criterio di scelta della giurisdizione (cfr. WP 74, paragrafi 3.3.1, 5.5.1, 5.5.2 e 5.6; WP 153, par. 1.4), il Gruppo Accenture ha adottato un sistema che, in ragione delle peculiarità della struttura societaria, prevede che "il soggetto all´origine del trasferimento" si assuma "la piena responsabilità dei dati da esso stesso raccolti" e che l´interessato abbia la facoltà di "agire in giudizio nello Stato da cui ha avuto origine il trasferimento" (v. nota delle società del 14 maggio 2013, punto (d));

- relativamente ai diritti dell´interessato, le Bcr Accenture, pur non menzionando esplicitamente il diritto di ottenere il blocco o la cancellazione dei dati, fanno comunque salvi gli eventuali ulteriori diritti riconosciuti dalla legislazione nazionale, e pertanto "Accenture [darà] naturalmente seguito ad ogni richiesta da parte di singoli - persone fisiche - di ottenere il blocco o la cancellazione di dati personali italiani" (v. nota delle società del 14 maggio 2013, punto (f));

- con riferimento agli obblighi di trasparenza, i diritti di cui alla clausola del terzo beneficiario sono specificati negli "European Country Supplements to Policy 90" (Addenda alla Policy 90 relativi ai paesi europei), i quali  "costituiscono parte integrante della Policy 90" e "sono ben pubblicizzati" essendo "disponibili sul sito web delle Policies [ovvero pubblicati via Internet] oltre ad essere menzionati nel corso delle sessioni di formazione in materia di privacy" (v. note delle società del 13 dicembre 2012 e del 14 maggio 2013);

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. a) e d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, vietare o disporre il blocco, nonché adottare gli ulteriori provvedimenti previsti dalla medesima;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Accenture S.p.A., Accenture Technology Solutions S.r.l., Accenture Outsourcing S.r.l., Accenture Insurance Services S.p.A., Accenture HR Services S.p.A. e Accenture Finance and Accounting BPO Service S.p.A., a trasferire, nell´ambito del gruppo Accenture, i dati personali relativi al "personale dipendente", nonché ai "contatti clienti, fornitori, utenti del sito web e azionisti" dal territorio dello Stato verso le società del Gruppo Accenture aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Accenture e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere a) e d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, eventuali provvedimenti anche di blocco o di divieto.

Roma, 27 giugno 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia