Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Autorizzazione al trasferimento dei dati mediante BCR da parte di Citibank N. A., Citigroup Global Markets Limited e Citibank International Plc - 26 giugno 2014 [3320773]

[doc. web n. 3320773]

Autorizzazione al trasferimento dei dati mediante BCR da parte di Citibank N. A., Citigroup Global Markets Limited e Citibank International Plc - 26 giugno 2014

Registro dei provvedimenti
n. 325 del 26 giugno 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nell´Application form, di cui al WP 133 del 10 gennaio 2007, presentata da Citigroup Global Markets Limited − società del Gruppo Citi operante nel settore bancario e dei servizi finanziari (la cui capogruppo, Citigroup Inc., ha sede negli Stati Uniti d´America) − dinanzi all´Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner´s Office, di seguito "ICO"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta, pervenuta al Garante in data 22 ottobre 2009, è stata presentata da Citigroup Global Markets Limited (società con sede nel Regno Unito di Gran Bretagna e Irlanda del Nord), in nome e per conto della capogruppo e di tutte le società controllate, direttamente o indirettamente, dalla medesima, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Citi", dei dati personali relativi al "personale europeo" per finalità connesse "al loro rapporto di lavoro, (…) per acquisire o erogare servizi (…), per le attività ordinarie d´impresa" (v. application form - WP 133, par. 7);

PRESO ATTO che le Bcr Citi consistono in una "Policy" adottata dalla capogruppo Citigroup Inc. – contenente l´Allegato 1 – "Standard contrattuali per la stipula di contratti relativi ai dati trasferiti del personale europeo", l´Allegato 2 – "Diritti delle Autorità di protezione dei dati" e l´Allegato 3 "Contatti", nonché in un "Contratto a favore del terzo" (di seguito "Contratto") sottoscritto da Citigroup Global Markets Limited e dai soggetti del gruppo che trasferiscono dati "trattati da o per conto di un´entità Citi nello Spazio Economico Europeo o in Svizzera" (c.d. "Entità Esportatrici" – v. "Contratto", art. 1);

CONSIDERATO che, con il "Contratto", Citigroup Global Markets Limited  e le "Entità Esportatrici" si impegnano al rispetto della clausola di responsabilità e della clausola del terzo beneficiario (v. "Contratto", artt. 2 e 4) garantendo all´interessato, in caso di inadempimento delle Bcr Citi, il diritto di "far valere le Norme Vincolanti d´Impresa e avviare la propria pretesa nei confronti dell´Esportatrice interessata" (v. "Contratto", articoli 2.2 e 2.2.2.) e ottenere "il risarcimento da parte dell´Esportatrice interessata per i danni subiti" (v. "Contratto", art. 2.2.4);

PRESO ATTO che Citigroup Global Markets Limited  e le "Entità Esportatrici" si sono impegnate, inoltre, a pubblicare sulla intranet aziendale le "Bcr Citi" (cfr. "Policy", paragrafi 14.4 e 16.1);

RILEVATO che l´ICO, in data 23 maggio 2012, all´esito della procedura concernente le Bcr Citi, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati, e ha rilasciato la relativa autorizzazione il 14 giugno 2012;

CONSIDERATO che il Garante, in data 7 giugno 2012, ha rappresentato all´ICO che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 7 giugno 2012);

VISTA l´istanza del 31 luglio 2013, con cui Citibank N. A. (sede secondaria), Citigroup Global Markets Limited (sede secondaria) e Citibank International Plc (sede secondaria), (con sede  in Milano), ai sensi dell´ art. 44, comma 1, lett. a), hanno chiesto il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi ai c.d. "Lavoratori europei" per finalità di: gestione delle risorse umane e amministrativo-contabili, pianificazione e implementazione di servizi informatici e tecnologici di gruppo integrati, gestione dell´infrastruttura IT e supporto tecnologico, marketing e per il perseguimento di "altre finalità statutarie", dal territorio dello Stato verso paesi terzi mediante le Bcr Citi;

PRESO ATTO che con il termine "Lavoratore europeo" si  ricomprendono il  "personale dipendente" (come definito all´art. 1.1.1.(1) del "Contratto") e il "personale non dipendente" (come definito all´art. 1.1.1.(2) del "Contratto" medesimo) che "sia o sia stato incaricato da o impiegato presso Citi", ivi compresi i candidati all´assunzione nonché «qualsiasi persona a carico o altra persona  i cui dettagli siano stati forniti da un "Lavoratore" a Citi per questioni di gestione delle risorse umane»  (cfr. "Contratto", art. 1.1.11);

VISTE le richieste di informazioni avanzate dal Garante in data 14 novembre 2013, 23 gennaio, 12 marzo e 16 aprile 2014 nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- il sistema di responsabilità, al fine di chiarire quale sia il soggetto all´interno del gruppo sul quale ricade la responsabilità in caso di "Inadempimento" (v. nota del Garante del 23 gennaio 2014, punto (d));

- la  clausola del terzo beneficiario, la sussistenza di condizioni di esperibilità e la sua conformità a quanto previsto nei documenti WP 74 (punti 3.3.2 e 5.5.1), WP 108 (punti 5.12 ss.) ed in particolare al WP 155 (punto 9) dell´Article 29 Data Protection Working Part (v. note del Garante del 14 novembre 2013, punto (b) e 23 gennaio 2014, punto (c));

- le modalità del trattamento, al fine di confermare che i principi esplicitati all´interno della "Policy" saranno interpretati e applicati in conformità con il Codice, in particolare con riferimento al rilascio di idonea informativa all´interessato (art. 13) e ai trasferimenti all´estero di dati personali nei confronti di soggetti esterni al gruppo (artt. 42 e ss.) (v. nota del Garante del 14 novembre 2013, punto c));

- il riferimento alle "altre finalità statutarie" (v. nota del Garante del 16 aprile 2014), annoverate dalle società tra le finalità perseguite con i trasferimenti di dati personali di cui alla presente autorizzazione;

CONSIDERATO che le società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 6 dicembre 2013, 21 febbraio e 14 aprile 2014 hanno espressamente dichiarato che:

- con riferimento al sistema di responsabilità, "i soggetti esportatori saranno responsabili delle violazioni delle BCR secondo quanto previsto dal Contratto a favore di terzo" (v. nota delle società del 21 febbraio 2014, punto (d));

- con riguardo alla clausola del terzo beneficiario, essa è conforme a quanto previsto dai sopra menzionati documenti; la previsione di cui al "Contratto" (v. Allegato 1 – "Inadempimento"), con la quale si condiziona l´esercizio della clausola del terzo beneficiario al previo esperimento della procedura interna di risoluzione delle controversie ivi prevista (v. anche "Policy", par. 14), non è volta a limitare il diritto dell´interessato medesimo di adire, in caso di violazione delle suddette Bcr Citi, direttamente l´Autorità giudiziaria o quella amministrativa competente (v. note delle società del 6 dicembre 2013, punto (b) e 21 febbraio 2014, punto (c));

- in ordine alle modalità del trattamento, le società si conformeranno al Codice, alla luce di quanto previsto dall´art. 17.1 della "Policy" in ordine all´applicazione del criterio prevalenza della legislazione locale rispetto alle Bcr Citi (v. nota della società del 6 dicembre 2013, punto ( c));

- in merito alle "altre finalità statutarie", queste ultime ricomprendono quelle volte a "provvedere a quanto necessario affinché membri predeterminati del personale ottengano le necessarie autorizzazioni ai sensi di quanto previsto dalla regolamentazione di settore dei servizi finanziari" nonché quelle volte a "garantire la conformità ai requisiti normativi delle attività di trading effettuate dal personale dipendente" (v. nota delle società del 15 maggio 2014, punto (b));

RILEVATO infine che il "Contratto" risulta vincolante nei confronti di Citigroup Global Markets Limited (sede secondaria) e Citibank International Plc (sede secondaria), in forza della sottoscrizione dello stesso da parte di Citigroup Global Markets Limited e Citibank International Plc (v. nota delle società del 14 aprile 2014, punto (e));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Citibank N. A. (sede secondaria), Citigroup Global Markets Limited (sede secondaria) e Citibank International Plc (sede secondaria) a trasferire, nell´ambito del Gruppo Citi, i dati personali relativi ai "Lavoratori europei" dal territorio dello Stato verso i soggetti facenti parte del Gruppo Citi aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Citi e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 26 giugno 2014

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia