Diritti interna

Doveri interna

ricerca avanzata

Autorizzazione al trasferimento dei dati mediante BCR da parte di ING BANK N.V. Milan Branch e ING Lease (Italia) S.p.A.- 4 dicembre 2014 [3668436]

[doc. web n. 3668436]

Autorizzazione al trasferimento dei dati mediante BCR da parte di ING BANK N.V. Milan Branch e ING Lease (Italia) S.p.A.- 4 dicembre 2014

Registro dei provvedimenti
n. 561 del 4 dicembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali;

VISTO, in particolare, l´art. 44, comma 1, lett. a), del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa" di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d. "Application form"), pervenuta al Garante in data 11 dicembre 2012, presentata da ING Bank N.V. – società (con sede nei Paesi Bassi) capogruppo del gruppo ING –, operante nel settore bancario e assicurativo, dinanzi all´Autorità olandese di protezione dei dati personali (College bescherming persoonsgegevens di seguito "CBP"), individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da ING Bank N.V. in nome e per conto di tutte le società controllate, direttamente o indirettamente, dalla medesima, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi dei dati personali relativi al personale dipendente, clienti, fornitori e partner commerciali per le finalità indicate nell´Application form (Parte I, sezione I e Parte II, Sezione VII), mediante l´adozione delle Norme vincolanti di impresa, c.d. "Bcr  ING";

VISTO che le Bcr ING consistono in specifiche regole di condotta (di seguito "Policy") contenute nella "Politica Globale sulla Protezione dei Dati di Clienti, Fornitori e Partner commerciali" e nella "Politica Globale sulla Protezione dei Dati dei Dipendenti", entrambe comprendenti l´Allegato 1 in materia di "Definizioni e Interpretazioni";

CONSIDERATO che le suddette "Policy" contengono l´impegno della capogruppo ING Bank N.V., e delle altre società del gruppo ING ad osservare i principi contenuti nelle Bcr ING,  ivi comprese le clausole di responsabilità e del terzo beneficiario (v. "Politica Globale sulla Protezione dei Dati di Clienti, Fornitori e Partner commerciali", artt. 22 e 23; "Politica Globale sulla Protezione dei Dati dei Dipendenti", artt. 21 e 22);

PRESO ATTO che tale impegno acquista efficacia vincolante per le società e per il personale dipendente del gruppo ING a seguito dell´approvazione delle suddette "Policy" da parte del Consiglio di Amministrazione della ING Bank N.V. (v. "Politica Globale sulla Protezione dei Dati di Clienti, Fornitori e Partner commerciali" e "Politica Globale sulla Protezione dei Dati dei Dipendenti", per entrambe "Nota informativa", pag. 2);

VISTO,  inoltre, che le società, nell´ambito di un complesso sistema di gestione dei rischi operativi del gruppo ING, incluso il rischio di protezione dei dati (v. Application form, Parte II, sezione IV), sono periodicamente tenute a porre in essere valutazioni di impatto in materia di protezione dei dati e ad effettuare opportune verifiche in ordine al rispetto delle Bcr ING (v. Application form, Parte II, Sezione V);

TENUTO CONTO,  in particolare, che la capogruppo ING Bank N.V., in virtù della propria posizione di controllo (v. definizione "Società del Gruppo", in "Definizioni e Interpretazioni", Allegato 1), ha il potere di richiedere alle società del gruppo l´attuazione delle "Policy" (v. Application form, Parte II, sezione IV) e che, in caso di mancata osservanza delle Bcr ING, le "Policy" stesse prevedono specifiche sanzioni disciplinari nei confronti del personale dipendente (v. "Politica Globale sulla Protezione dei Dati di Clienti, Fornitori e Partner commerciali", art. 24.1; "Politica Globale sulla Protezione dei Dati dei Dipendenti", art. 23.1);

PRESO ATTO che le "Policy" saranno pubblicate rispettivamente sulla intranet aziendale e sul sito internet del gruppo ING;

RILEVATO che il CBP in data 29 gennaio 2013, all´esito della procedura europea concernente le Bcr ING, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante in data 5 febbraio 2013 ha confermato di aver ricevuto il testo definitivo delle Bcr ING, riservandosi di valutare, in sede di procedura nazionale, la conformità di tale final draft alla normativa italiana;  

VISTA l´istanza presentata, ai sensi dell´art. 44, comma 1, lett. a), il 20 novembre 2013, da ING BANK N.V. Milan Branch (con sede in Milano) e ING Lease (Italia) S.p.A. (con sede in Brescia), volta a ottenere il rilascio dell´autorizzazione nazionale ai trasferimenti infragruppo da parte delle società del gruppo ING, mediante le Bcr ING, con riferimento ai dati personali relativi a: il personale dipendente (ivi compresi gli ex dipendenti, i candidati all´assunzione e tirocinanti, nonché le c.d. "persone a carico") per le "finalità di gestione delle risorse umane" specificamente indicate nelle Bcr  ING (v. art. 6.1, "Politica Globale sulla Protezione dei Dati dei Dipendenti"); i clienti, fornitori e partner commerciali (ivi compresi i dipendenti o altre persone che lavorano per tali clienti, fornitori o partner commerciali e i soggetti i cui dati personali sono elaborati in virtù di impegni legali o contrattuali verso terze parti) per le "finalità aziendali" espressamente individuate nella "Politica Globale sulla Protezione dei Dati di Clienti, Fornitori e Partner commerciali" (art. 6.1);

VISTE le richieste di informazioni e di integrazione documentale avanzate dal Garante in data 21 marzo, 5 giugno e 11 agosto nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in merito a:

- il rispetto di alcuni principi in materia di protezione dei dati personali (v. nota dell´11 agosto 2014, punto (c));

- i presupposti dell´applicabilità della "regola degli interessi prevalenti" di cui all´art. 16 della "Politica Globale sulla Protezione dei Dati di Clienti, Fornitori e Partner commerciali" e art. 15 della  "Politica Globale sulla Protezione dei Dati dei Dipendenti" (v. nota del 5 giugno 2014 2014, punto (e));

- il significato dell´espressione "reasonable" in ordine alle misure di sicurezza da adottare, come indicato nell´art. 12.1 della "Politica Globale sulla Protezione dei dati dei Clienti, Fornitori e Partner commerciali" e della  "Politica Globale sulla Protezione dei dati dei Dipendenti (v. nota del 5 giugno 2014, punto (b));

- il sistema di responsabilità scelto dal gruppo ING con riferimento all´obbligatorietà del preventivo esperimento della procedura interna di risoluzione delle controversie (v. note del 21 marzo 2014 punto (d) e del 5 giugno 2014, punto (a));

- la conformità della clausola del terzo beneficiario, anche con riferimento al criterio di alternatività della giurisdizione di cui al WP 155, punto 9 (v. nota del 21 marzo 2014, punto (b));

CONSIDERATO che le società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 22 aprile, 15 luglio e 7 novembre 2014, hanno espressamente dichiarato che:

- in merito ai principi in materia di protezione dei dati personali, le Bcr ING saranno interpretate e applicate in conformità con il Codice, ciò con particolare riferimento a: il diritto di accesso ai dati personali e altri diritti (artt. 7–10), le modalità del trattamento e requisiti dei dati (art. 11), l´informativa (art. 13), il trattamento dei dati sensibili (art. 26) e di quelli a carattere giudiziario (art. 27), le misure di sicurezza (artt. 31 e ss.) e i trasferimenti di dati verso Paesi terzi (artt. 43 e ss.) (v. nota delle società del 7 novembre 2014, punto (c));

- in ordine alla "regola degli interessi prevalenti", la normativa italiana sarà osservata anche ove non consenta le deroghe espressamente previste nell´all´art. 16 della "Politica Globale sulla Protezione dei Dati di Clienti, Fornitori e Partner commerciali" e nell´art. 15 della  "Politica Globale sulla Protezione dei Dati dei Dipendenti" (v. nota delle società del 15 luglio 2014);

- quanto all´utilizzo dell´espressione "reasonable" con riguardo alle misure di sicurezza da adottare (v. art. 12.1 della "Politica Globale sulla Protezione dei dati dei Clienti, Fornitori e Partner commerciali" e art. 12.1 della  "Politica Globale sulla Protezione dei dati dei Dipendenti"), tale espressione sarà interpretata conformemente alla Direttiva 95/46/CE (ossia nel senso di  "appropriate", v. art. 17) (v. nota delle società del 15 luglio 2014);

- con riferimento al sistema di responsabilità, la previsione di cui alla "Politica Globale sulla Protezione dei dati dei Dipendenti" (v. art. 22.4) e alla "Politica Globale sulla Protezione dei dati dei Clienti, Fornitori e Partner commerciali" (v. art. 23.4), con la quale si condiziona l´esercizio della clausola del terzo beneficiario al previo esperimento della procedura interna di risoluzione delle controversie prevista da ING (rispettivamente contenute negli artt. 21 e 22), non è volta a limitare il diritto dell´interessato medesimo di adire, in caso di violazione delle suddette Bcr ING, direttamente l´Autorità giudiziaria o amministrativa competente (v. nota delle società del 15 luglio 2014);

CONSIDERATO che l´art. 44, comma 1, lett. a) del Codice riconosce espressamente il potere del Garante di autorizzare un trasferimento di dati personali verso paesi terzi anche nel caso in cui tale trasferimento sia posto in essere tramite regole di condotta, esistenti nell´ambito di società appartenenti ad un medesimo gruppo, che presentino adeguate garanzie per i diritti dell´interessato, quali le Bcr ING;

VISTO  altresì che, in virtù di tale previsione normativa, le predette regole di condotta costituiscono un fatto astrattamente idoneo a produrre effetti giuridicamente vincolanti nell´ordinamento giuridico nazionale, ai sensi dell´art. 1173 cod. civ.;

TENUTO CONTO inoltre che, nonostante quanto stabilito in materia di "giurisdizione esclusiva" delle autorità olandesi (v. "Politica Globale sulla Protezione dei Dati di Clienti, Fornitori e Partner commerciali", art. 23.4; "Politica Globale sulla Protezione dei Dati dei Dipendenti", art. 22.4) e confermato dalle stesse società (v. nota delle società del 22 aprile 2014 punto (d)), l´interessato, in base al diritto nazionale applicabile, può, in ogni caso, far valere i propri diritti nel territorio dello Stato anche in ordine all´inosservanza delle garanzie contenute nelle regole di condotta di cui alle Bcr ING (art. 44, comma 1, lett. a) del Codice);

RITENUTA, altresì, la necessità di formulare alcune prescrizioni concernenti l´obbligo di comunicare a questa Autorità eventuali modifiche di carattere sostanziale apportate al testo delle Bcr ING, in considerazione del fatto che le "Policy" ("Politica Globale sulla Protezione dei Dati di Clienti, Fornitori e Partner commerciali", art. 26.1; "Politica Globale sulla Protezione dei Dati dei Dipendenti", art. 25.1) prevedono l´adempimento di tale obbligo esclusivamente nei confronti del CBP;

RILEVATO comunque che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza ING BANK N.V. Milan Branch e ING Lease (Italia) S.p.A. a trasferire, nell´ambito del Gruppo ING,  i dati personali relativi al personale dipendente (ivi compresi gli ex dipendenti e i candidati all´assunzione), ai clienti, fornitori e partner commerciali (ivi compresi i dipendenti o altre persone che lavorano per tali clienti, fornitori o partner commerciali e i soggetti i cui dati personali sono elaborati in virtù di impegni legali o contrattuali verso terze parti) dal territorio dello Stato verso i soggetti facenti parte del Gruppo ING aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr ING e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 157 del Codice, dispone che ING BANK N.V. Milan Branch e ING Lease (Italia) S.p.A, comunichino al Garante entro 90 giorni dall´approvazione di eventuali modifiche di carattere sostanziale apportate al testo delle Bcr ING;

c) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 4 dicembre 2014

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia