g-docweb-display Portlet

Autorizzazione al trasferimento di dati personali nell'ambito del Gruppo CapGemini secondo le modalità fissate nelle Bcr - 23 marzo 2017 [6343033]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 6343033]

Autorizzazione al trasferimento di dati personali nell´ambito del Gruppo CapGemini secondo le modalità fissate nelle Bcr - 23 marzo 2017

Registro dei provvedimenti
n. 151 del 23 marzo 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nell´Application form, di cui al WP 133 del 10 gennaio 2007, presentata da CapGemini SAS – società del gruppo CapGemini operante in qualità di fornitore di servizi di consulenza, information technology e outsourcing (con sede in Francia) − dinanzi all´Autorità francese di protezione dei dati personali (Commission nationale de l´informatique et des libertés, di seguito "CNIL"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta, pervenuta al Garante in data 1 luglio 2015, è stata presentata da CapGemini SAS, in nome e per conto della capogruppo CapGemini SA e delle società del gruppo CapGemini, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi, mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr CapGemini", dei dati personali relativi al personale dipendente e ai contatti commerciali (v. application form - WP 133, Parte II, par. 7);

PRESO ATTO che le Bcr CapGemini consistono in una policy aziendale, "CapGemini Bcr", resa vincolante per il tramite di un contratto infragruppo, "BCR Adhesion agreement", sottoscritto dalla capogruppo CapGemini Service SA e da CapGemini International B.V., società che, sulla base di specifici atti di mandato, rappresenta tutte le altre entità del gruppo CapGemini (di seguito "CapGemini Companies"); il documento contiene: l´Allegato 1 – "CapGemini data privacy policy", l´Allegato 2 – "Categorie di dati personali coperti e finalità di elaborazione", l´Allegato 3 – "Elenco delle società CapGemini coperte dalle Bcr", l´Allegato 4 – "BCR Adhesion agreement" e l´Allegato 5 – "Richiesta di esercizio dei diritti degli interessati e procedura di reclamo";

RILEVATO in merito che Capgemini International B.V., che non è inclusa nell´elenco delle società tenute al rispetto delle Bcr CapGemini (v. "CapGemini Bcr", Allegato 3), è una società esclusivamente deputata, nella procedura in oggetto, a sottoscrivere e rendere esecutivo il "BCR Adhesion agreement";

CONSIDERATO che, con il "BCR Adhesion agreement", CapGemini Service SA si impegna a "compiere tutte le azioni o tutto ciò che si renda necessario per l´implementazione e/o l´esecuzione delle Bcr" ivi compreso quanto previsto dalle clausole di responsabilità e del terzo beneficiario (v. "BCR Adhesion agreement", par. 3 e par. 5; "CapGemini Bcr", par. 6);

PRESO ATTO che, con il medesimo contratto infragruppo,  CapGemini SA e le "CapGemini Companies" si impegnano a pubblicare sul sito internet e sulla intranet del gruppo CapGemini la "CapGemini data privacy policy e una versione pubblica delle Bcr" (cfr. "CapGemini Bcr", par. 3);

RILEVATO che la CNIL, in data 3 dicembre 2015, all´esito della procedura concernente le Bcr CapGemini, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante, in data 4 gennaio 2016, ha rappresentato alla CNIL che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 4 gennaio 2016);

VISTA l´istanza del 30 maggio 2016, con cui Capgemini Italia S.r.l. (con sede in Roma), Capgemini BST S.p.A. (con sede in Marcon - VE) e Capgemini BS S.r.l. (con sede in Marcon - VE), ai sensi dell´art. 44, comma 1, lett. a) del Codice, hanno chiesto il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi: al personale dipendente (ivi compresi gli ex dipendenti, i candidati all´assunzione e i lavoratori in regime di somministrazione) per finalità amministrativo-contabili; ai contatti commerciali (ovvero i fornitori, sub-fornitori, clienti, azionisti e partner) per le finalità di gestione dei rapporti con gli stessi (ivi comprese la conclusione di contratti, le attività di fatturazione e pagamento e quelle relative a salute, sicurezza, ambiente e qualità), nonché per le finalità di marketing, comunicazione, ricerche di mercato, audit e statistiche, conformità con obblighi legali e mantenimento delle certificazioni, dal territorio dello Stato verso paesi terzi mediante le Bcr CapGemini;

PRESO ATTO che Capgemini Italia S.r.l., Capgemini BST S.p.A. e Capgemini BS S.r.l. hanno attribuito alla società CapGemini International B.V. (con sede in Olanda) specifico mandato a sottoscrivere in loro nome e per loro conto il contratto intragruppo "BCR Adhesion agreement" con il quale si impegnano al rispetto delle Bcr CapGemini (v. istanza di autorizzazione del 30 maggio 2016 e atti di mandato del 2 marzo 2016);

VISTE le richieste di informazioni avanzate dal Garante in data 5 luglio e 11 novembre 2016 nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti con riferimento ai seguenti aspetti:

- le categorie di interessati e le relative finalità oggetto delle operazioni di trasferimento di cui alla presente autorizzazione (v. note del Garante del 5 luglio 2016, punto a) e dell´11 novembre 2016);

- il sistema di comunicazione alle Autorità di protezione dei dati personali di eventuali modifiche sostanziali apportate alle Bcr CapGemini (v. note del Garante del 5 luglio 2016, punto d));

CONSIDERATO che le società, nel rendere riscontro al Garante in ordine a quanto sopra menzionato, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 15 settembre e del 17 novembre 2016 , hanno espressamente dichiarato che:

- per "attività di marketing dei servizi professionali di consulenti verso potenziali clienti CapGemini" (v. "CapGemini Bcr", All. 2, pag. 26) s´intendono "attività di presentazione e/o descrizione dei servizi professionali offerti alle società Clienti" e che con l´espressione "dettagli d´interessi di business ed opinioni (quale luogo in cui le informazioni vengono detenute in un database di marketing CRM)" (v. "CapGemini Bcr", All. 2, pag. 26), si ricomprendono "le opinioni che possono essere espresse dai business contact (clienti, potenziali clienti, fornitori, sub fornitori ecc.) relative a prodotti e/o servizi offerti e/o venduti da CapGemini, trattate al fine di valutare esigenze della clientela, monitorare il livello di soddisfazione dei clienti e migliorare l´offerta dei servizi" (v. note delle società del 15 settembre 2016, punto c));

- le eventuali modifiche sostanziali apportate al testo di Bcr saranno tempestivamente comunicate al Garante per la protezione dei dati personali (v. nota delle società del 15 settembre 2016, punto d));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Capgemini Italia S.r.l., Capgemini BST S.p.A. e Capgemini BS S.r.l. a trasferire, nell´ambito del gruppo CapGemini, i dati personali relativi al personale dipendente (ivi compresi gli ex dipendenti, i candidati all´assunzione e i lavoratori in regime di somministrazione) e i contatti commerciali (ovvero fornitori, sub-fornitori, clienti, azionisti e partner), dal territorio dello Stato verso i soggetti facenti parte del gruppo CapGemini aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr CapGemini e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 23 marzo 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia