Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Autorizzazione a BTicino S.p.A. al trasferimento di dati relativi al personale dipendente nell’ambito del Gruppo Legrand secondo le modalità fissate nelle Bcr - 12 maggio 2016 [5141884]

[doc. web n. 5141884]

Autorizzazione a BTicino S.p.A. al trasferimento di dati relativi al personale dipendente nell´ambito del Gruppo Legrand secondo le modalità fissate nelle Bcr - 12 maggio 2016

Registro dei provvedimenti
n. 217 del 12 maggio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea, ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d. "Application form") presentata da Legrand France SA – società capogruppo del Gruppo Legrand operante nel settore delle infrastrutture elettriche e digitali dell´edificio (con sede in Francia), dinanzi all´Autorità francese di protezione dei dati personali (Commission nationale de l´informatique et des libertés, di seguito "CNIL"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da Legrand France SA, quale società capogruppo del Gruppo Legrand in nome e per conto di tutte le società controllate, direttamente o indirettamente, dalla medesima (c.d. "Controllate Legrand"), ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Legrand", dei dati personali relativi al personale dipendente e ai fornitori per il perseguimento delle finalità indicate nell´Application Form (Parte 2, Sezione VII);

PRESO ATTO che le Bcr Legrand consistono in specifiche regole di condotta contenute nelle "Norme Vincolanti d´impresa – Gruppo Legrand" (di seguito "NVI") comprensive delle seguenti appendici: l´"Allegato 1 – Dati relativi ai trasferimenti e alla natura dei dati trasferiti"; l´"Allegato 2 – Elenco delle società del Gruppo Legrand soggette alle norme vincolanti d´impresa"; l´"Allegato 3 – Procedura per la gestione dei reclami"; l´"Allegato 4 – Creazione di un network di responsabili per la protezione dei dati "; l´"Allegato 5 – Politiche in materia di riservatezza e sicurezza"; l´"Allegato 6 – Procedura di audit"; l´"Allegato 7 – Programma di formazione"; l´"Allegato 8 – Politica di uso accettabile del Sistema informatico";

CONSIDERATO che con le NVI la capogruppo Legrand France SA si è impegnata, anche in nome e per conto delle "Controllate Legrand", ad agire in conformità a tali Norme e ad osservare e rispettare i principi ivi contenuti, comprese le clausole di responsabilità e del terzo beneficiario (v. par. 1.1 NVI);

CONSIDERATO, altresì, che "Legrand France SA e tutte le sue consociate sono tenute a rispettare" le "NVI" adottate dalla capogruppo in ragione di "una dichiarazione unilaterale di consenso [di seguito "Dichiarazione di accettazione"] firmata dal rappresentante legale di Legrand France SA e di tutte le società controllate [volta a] sancire appunto l´accettazione da parte loro delle norme vincolanti d´impresa" (v. par. 1.2 NVI);

RILEVATO che, in virtù dell´avvenuta sottoscrizione delle citate dichiarazioni, ciascuna "Controllata Legrand", nonché la capogruppo Legrand France SA, si sono reciprocamente obbligate in via contrattuale ad agire in conformità alle Bcr Legrand e ad osservare le clausole in esse contenute (v. "Dichiarazione di accettazione" e Parte 2, sezione IV, Application Form);

TENUTO CONTO, altresì, che Legrand France SA si è impegnata a garantire che tutti i dipendenti del Gruppo "si attengano alle disposizioni fissate nelle NVI" e che in caso di mancata osservanza delle Bcr Legrand sono previste sanzioni disciplinari nei confronti del personale dipendente (v. paragrafi 1.1 e 1.2 NVI e Parte 2, sezione IV, Application form);

PRESO ATTO inoltre che le Bcr Legrand, comprensive al loro interno della clausola del terzo beneficiario (par. 19), saranno pubblicate sulla rete Intranet del Gruppo Legrand e saranno in tal modo rese disponibili anche ai fornitori del Gruppo, così come previsto nel par. 8 delle NVI;

RILEVATO che la CNIL, in data 8 settembre 2014, all´esito della procedura concernente le Bcr Legrand, attivata secondo le forme del mutuo riconoscimento e mediante il coinvolgimento del Garante per la protezione dei dati personali in qualità di co-lead Authority, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante si riserva di valutare, in sede di procedura nazionale, la conformità delle Bcr con la normativa italiana;

VISTA l´istanza del 7 settembre 2015 presentata, ai sensi dell´art. 44, comma 1, lett. a) del Codice, da BTicino S.p.A. (con sede in Varese), volta ad ottenere il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi al personale dipendente e ai fornitori posto in essere per il perseguimento delle finalità connesse allo scopo di "creare una directory interna al Gruppo Legrand", nonché di realizzare "politiche di talent management" nell´ambito del Gruppo, così come individuate nel dettaglio nell´"Allegato 1 – Dati relativi ai trasferimenti e alla natura dei dati trasferiti" delle Bcr Legrand;

VISTE le richieste di informazioni avanzate dal Garante in data 5 novembre 2015, 15 gennaio e 7 aprile 2016  nei confronti della menzionata società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- l´ambito del trasferimento, con particolare riguardo alle categorie di interessati e alle finalità oggetto delle operazioni di trasferimento di cui alla presente autorizzazione (v. note del Garante del 5 novembre 2016 e 15 gennaio 2016);

- l´efficacia vincolante delle Bcr Legrand (v. nota del 7 aprile 2016);

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 18 novembre 2015, 4 febbraio, 11 aprile e 18 aprile 2016 ha espressamente dichiarato che:

- con riferimento alle finalità dei trasferimenti e alle categorie dei soggetti interessati, i dati oggetto della richiesta di autorizzazione si riferiscono al personale dipendente ("ove non sono ricompresi […] gli ex dipendenti, i candidati all´assunzione o altre figure" diverse da quella del lavoratore dipendente) e ai fornitori del Gruppo Legrand, e i relativi trasferimenti sono volti a consentire al Gruppo la creazione e la gestione di "una directory interna [per] fornire ai dipendenti i riferimenti e le coordinate aziendali dei dipendenti e dei fornitori, nonché i riferimenti e i turni di reperibilità dello Staff IT e a centralizzare il sistema di autorizzazioni per le applicazioni, le attrezzature e le infrastrutture tecniche, [nonché per] consentire [al Gruppo] lo svolgimento di politiche di talent management" (v. nota della società del 4 febbraio 2016);

- in merito all´efficacia vincolante delle Bcr Legrand, la società capogruppo Legrand France SA e la società hanno provveduto alla sottoscrizione della "Dichiarazione di accettazione" e in virtù dell´avvenuta sottoscrizione di tali modelli si sono obbligate ad agire in conformità alle Bcr e ad osservare le clausole in esse contenute (v. comunicazioni dell´11 aprile e del 18 aprile 2016, ove è tra l´altro rappresentato che la "Dichiarazione di accettazione" è stata sottoscritta dalla società istante in data 24 aprile 2015);

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza BTicino S.p.A. a trasferire, nell´ambito del Gruppo Legrand, i dati personali relativi al personale dipendente e ai fornitori dal territorio dello Stato verso i soggetti facenti parte del Gruppo Legrand aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Legrand e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 12 maggio 2016

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia