Diritti interna

Doveri interna

ricerca avanzata

Autorizzazione al trasferimento dei dati mediante BCR nell'ambito del Gruppo Philips - 18 maggio 2017 [6531046]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
6531046
Data:
18/05/17
Argomenti:
Imprese , Internazionale , Trasferimento dati all'estero
Tipologia:
Bcr

[doc. web n. 6531046]

Autorizzazione al trasferimento dei dati mediante BCR nell´ambito del Gruppo Philips 18 maggio 2017

Registro dei provvedimenti
n. 237 del 18 maggio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali;

VISTO, in particolare, l´art. 44, comma 1, lett. a), del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa" di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d. "Application form") presentata da Philips International B.V. (di seguito "Philips International") – società (con sede nei Paesi Bassi) facente parte di "Philips", gruppo operante nel settore della tecnologia e dell´innovazione nelle aeree "Healthcare", "Consumer Lifestyle" e "Lighting" (di seguito "Gruppo Philips"), cui la società capogruppo (con sede nei Paesi Bassi) Koninklijke Philips Electronics N.V. (di seguito "KPENV") ha delegato responsabilità e compiti in materia di protezione dei dati personali –, dinanzi all´Autorità olandese di protezione dei dati personali (College bescherming persoonsgegevens di seguito "CBP"), individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da Philips International anche in nome e per conto di tutte le c.d. "Società del Gruppo", ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi dei dati personali relativi al personale dipendente e ai clienti, fornitori e partner commerciali per le finalità indicate nell´Application form (Parte I, sezione I e Parte II, Sezione VII), mediante l´adozione delle Norme vincolanti di impresa, c.d. "Bcr Philips";

VISTO che le Bcr Philips consistono in specifiche regole di condotta (di seguito "Policy") contenute nella "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali" e nella "Regole sulla privacy dei dati dei Dipendenti", entrambe comprendenti l´Allegato 1 in materia di "Definizioni";

CONSIDERATO che le suddette "Policy" sono incluse nei "Philips General Business Principles" (di seguito "Codice di Comportamento Aziendale") che reca l´impegno delle società del gruppo Philips ad osservare anche i principi contenuti nelle Bcr Philips, ivi comprese pertanto le clausole di responsabilità e del terzo beneficiario (v. "Introduzione" delle "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali" e "Introduzione" delle "Regole sulla privacy dei dati dei Dipendenti");

PRESO ATTO che tale impegno acquista efficacia vincolante per le società e per il personale dipendente del gruppo Philips a seguito dell´approvazione del "Codice di Comportamento Aziendale" da parte del Consiglio di Amministrazione della KPENV (v. Application form, Parte II, Sezione IV);

VISTO, inoltre, che le società, anche nell´ambito del programma di verifica e di compliance con il "Codice di Comportamento Aziendale"  (v. Application form, Parte II, sezione V), sono periodicamente tenute a porre in essere valutazioni di impatto in materia di protezione dei dati e ad effettuare opportune verifiche in ordine al rispetto delle Bcr Philips (v artt. 13, 14, 15 e 16 delle "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali" e artt. 13, 14, 15 e 16 delle "Regole sulla privacy dei dati dei Dipendenti"); 

TENUTO CONTO, in particolare, che la capogruppo KPENV, in virtù della propria posizione di controllo (v. definizione "Società del Gruppo", in Allegato 1 rispettivamente delle "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali" e delle "Regole sulla privacy dei dati dei Dipendenti"), ha il potere di richiedere alle società del gruppo l´attuazione delle "Policy" (v. Application form, Parte II, sezione IV) e che, in caso di mancata osservanza delle Bcr Philips, il "Codice di Comportamento Aziendale" e le "Policy" ivi contenute prevedono specifiche sanzioni disciplinari nei confronti del personale dipendente (v. Application form, Parte II, sezione IV e art. 19 delle "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali" e art. 19 delle "Regole sulla privacy dei dati dei Dipendenti");

PRESO ATTO che, in virtù dell´art. 1.6, le "Regole sulla privacy dei dati dei Dipendenti" saranno pubblicate sulla intranet aziendale e rese disponibili agli interessati su richiesta, mentre le "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali" saranno pubblicate sul sito internet del Gruppo Philips in base a quanto previsto nell´art. 1.6 delle medesime;

RILEVATO che il CBP in data 12 giugno 2012, all´esito della procedura europea concernente le Bcr Philips, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante in data 12 luglio 2012 ha confermato di aver ricevuto il testo definitivo delle Bcr Philips, riservandosi di valutare, in sede di procedura nazionale, la conformità di tale final draft alla normativa italiana (cfr. nota del 12 luglio 2012);

VISTA l´istanza presentata, ai sensi dell´art. 44, comma 1, lett. a), il 22 settembre 2016, da Elfe S.p.A. (con sede in Milano), Gaggia S.p.A. (con sede in Milano), Ilti Luce S.r.l. (con sede in Torino), Pegaso S.r.l. (con sede in Milano), Philips Lighting Italy S.p.A. (con sede in Milano), Philips Saeco S.p.A. (con sede in Gaggio Montano), Philips Società per Azioni (con sede in Milano), Saeco Vending S.p.A. (con sede in Gaggio Montano), Tecna S.r.l. (con sede in Grizzana Morandi), volta a ottenere il rilascio dell´autorizzazione nazionale ai trasferimenti infragruppo da parte delle società del gruppo Philips, mediante le Bcr Philips, con riferimento ai dati personali relativi a: il "personale dipendente" (ivi compresi gli ex dipendenti, i candidati all´assunzione, nonché le c.d. "persone a carico", v. Allegato 1 alle "Regole sulla privacy dei dati dei Dipendenti") per il perseguimento delle finalità concernenti "(i) gestione risorse umane e personale […]", "(ii) esecuzione di processi aziendali e gestione interna […]", "(iii) salute e sicurezza […]", "(iv) analisi e sviluppo organizzativo e relazioni di gestione […]", "(v) conformità agli obblighi di legge […]", "(vi) interessi vitali […]" (v. le finalità specificamente indicate nelle Bcr Philips, art. 2.1, "Regole sulla privacy dei dati dei Dipendenti"); i "clienti, fornitori e partner commerciali" (v. Allegato 1 alle "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali") per il perseguimento delle finalità concernenti "(i) finalità legittime rapportate al business di Philips […]", "(ii) esecuzione di processi aziendali e gestione interna […]", "(iii) salute e sicurezza […]", "(iv) conformità agli obblighi di legge […]", "(v) interessi vitali […]" (v. le finalità specificamente indicate nelle Bcr Philips, art. 2.1, "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali");

VISTE le richieste di informazioni e di integrazione documentale avanzate dal Garante in data 2 novembre 2016, 18 gennaio, 22 marzo e 20 aprile 2017 nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in merito a:

- il significato dell´espressione "reasonable" in ordine alle misure di sicurezza da adottare, come indicato nell´art. 8.1 delle "Regole sulla privacy dei dati dei dipendenti" e nell´art. 8.1 delle "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali" (v. nota del 2 novembre 2016, punto (b));

- il rispetto di alcuni principi in materia di protezione dei dati personali con particolare riferimento a quelli concernenti: la "definizione dei profili e della personalità dell´interessato" (art. 14) e quelli inerenti le "garanzie per i dati giudiziari" (art. 27) (v. nota del 2 novembre 2016, punto (d));

- i presupposti dell´applicabilità della "regola degli interessi prevalenti" di cui all´art. 12 delle "Regole sulla privacy dei dati dei dipendenti" e all´art. 12 delle "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali" (v. nota del 2 novembre 2016, punto (e));

-  la conformità della clausola del terzo beneficiario rispetto a quanto previsto al riguardo nei documenti WP 74 (punti 3.3.2 e 5.5.1) e WP 108 (punti 5.12 ss.) del Gruppo di lavoro ex Art. 29, con particolare riferimento alle prescrizioni contenute nel WP 155 (punto 9) (v. note del 2 novembre 2016 punto (f) e del 18 gennaio 2017, punto (b));

- la previsione del criterio della scelta della giurisdizione così come stabilito nei documenti WP 74 (punti 5.6) e WP 108 (punto 5.14) (v. nota del 2 novembre 2016, punto (g));

- il sistema di responsabilità scelto dal gruppo Philips con riferimento all´obbligatorietà del preventivo esperimento della procedura interna di risoluzione delle controversie (v. note del 2 novembre 2016 punto (d), del 18 gennaio 2017, punto (c) e del 22 marzo 2017);

- l´obbligo di cooperazione con le Autorità di protezione di dati anche in ordine alla conduzione periodica di audit (v. artt. 16 e 18.9 delle "Regole sulla privacy dei dati dei dipendenti" e artt. 16 e 18.9 delle "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali") e la previsione in materia di "Modifiche delle Regole" (v. art. 21 delle "Regole sulla privacy dei dati dei dipendenti" e art. 21 delle "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali") (v. nota del 2 novembre 2016, punto (i) e nota del 20 aprile 2017);

- la previsione contenuta nell´art. 4.1 (i) delle "Regole sulla privacy dei dati dei dipendenti" in materia di dati sensibili, con particolare riguardo alle operazioni di raccolta di foto e video di dipendenti per finalità di sicurezza anche mediante l´utilizzo di apparati di videosorveglianza presso le sedi delle società istanti (v. note del 2 novembre 2016, punto (c) e del 18 gennaio 2017, punto (a));

CONSIDERATO che le società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 2 dicembre 2016, 17 febbraio, 3 aprile e 26 aprile 2017, hanno espressamente dichiarato che:

- quanto all´utilizzo dell´espressione "reasonable" con riguardo alle misure di sicurezza da adottare (v. art. 8.1 delle "Regole sulla privacy dei dati dei dipendenti" e art. 8.1 delle "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali"), tale espressione sarà interpretata conformemente alla Direttiva 95/46/CE (ossia nel senso di  "appropriate", v. art. 17) (v. nota delle società del 2 dicembre 2016, punto (b));

- il trattamento dei dati personali sarà effettuato in conformità ai principi in materia di protezione dei dati personali, ciò con particolare riferimento a quelli sopra richiamati, ossia i principi concernenti: la "definizione dei profili e della personalità dell´interessato" (art. 14) e quelli inerenti le "garanzie per i dati giudiziari" (art. 27) (v. nota delle società del 2 dicembre 2016, punto (d));

- in ordine alla "regola degli interessi prevalenti", la normativa italiana sarà osservata anche ove non consenta le deroghe espressamente previste nell´art. 12 delle "Regole sulla privacy dei dati dei dipendenti" e nell´art. 12 delle "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali" (v. nota delle società del 2 dicembre 2016, punto (e));

- le Bcr Philips (v. art. 18 delle "Policy") sono conformi a quanto stabilito nei documenti WP 74 (punti 3.3.2 e 5.5.1) e WP 108 (punti 5.12 ss.) del Gruppo ex art. 29 in ordine alla clausola del terzo beneficiario e tutti gli specifici diritti indicati al punto 9 del WP 155 "devono considerarsi […] integrati nelle clausole delle Bcr Philips" (v. note della società del 2 dicembre 2016, punto (f) e del 17 febbraio 2017, punto (b));

- in merito al criterio della scelta della giurisdizione le "Bcr […] saranno pienamente applicabili dinanzi all´Autorità per la Protezione dei Dati Personali olandese e alla competenti Corti di Amsterdam" nei termini indicati nell´art. 18 delle "Regole sulla privacy dei dati dei Dipendenti" e nell´art. 18 "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali" (v. note della società del 2 dicembre 2016, punti (f) e (g));

- con riferimento al sistema di responsabilità, la previsione di cui alle "Regole sulla privacy dei dati dei dipendenti" e alle "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali" (v. per entrambe l´art. 18.5), con la quale si condiziona l´esercizio della clausola del terzo beneficiario al previo esperimento della procedura interna di risoluzione delle controversie prevista da Philips di cui all´art. 17, non è volta a limitare il diritto dell´interessato medesimo di adire, in caso di violazione delle suddette Bcr Philips, direttamente l´Autorità giudiziaria o amministrativa competente (v. nota delle società del 3 aprile 2017);

- gli artt. 16 e 18.9 delle "Regole sulla privacy dei dati dei dipendenti" e gli artt. 16 e 18.9 delle "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali" saranno applicati in conformità a quanto indicato dal Gruppo ex Art. 29 nei punti 5.2 e 5.4 del WP 74 e 6 e 5.21 del WP 108 in ordine alla previsione dell´obbligo di cooperazione con le Autorità di protezione dei dati personali (v. nota delle società del 2 dicembre 2016, punto (i));

- in ordine alla previsione in materia di "Modifiche delle Regole", ai sensi dell´art. 21.4 delle "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali" e dell´art. 21.5 delle "Regole sulla privacy dei dati dei Dipendenti", tutte le autorità di protezione dei dati personali interessate dai trasferimenti dei dati all´interno del Gruppo Philips saranno informate delle eventuali modifiche che potranno essere apportate al testo delle Bcr Philips nei termini di cui ai punti 4.2 del Wp 74 e 9 del Wp 108 del Gruppo di lavoro ex Art. 29 (v. nota delle società del 26 aprile 2017);

- con riguardo a quanto stabilito nel punto 4.1 (i) delle "Regole sulla privacy dei dati dei dipendenti", hanno preso atto delle prescrizioni contenute nel provvedimento dell´Autorità in materia di videosorveglianza dell´8 aprile 2010 impegnandosi al rispetto delle medesime e della relativa normativa nazionale applicabile in materia (v. note della società del 2 dicembre 2016, punto (c) e del 17 febbraio 2017, punto (a));

TENUTO CONTO altresì che, nonostante quanto stabilito in materia di "giurisdizione esclusiva" delle autorità olandesi (v. art. 18 delle "Regole sulla privacy dei dati dei Dipendenti" e art. 18 delle "Regole sulla privacy per i dati di clienti, fornitori e partner commerciali" e le dichiarazioni al riguardo rese dalle società con nota del 2 dicembre 2106, punti (f) e (g)), l´interessato, in base al diritto nazionale applicabile, può, in ogni caso, far valere i propri diritti nel territorio dello Stato anche in ordine all´inosservanza delle garanzie contenute nelle regole di condotta di cui alle Bcr Philips (art. 44, comma 1, lett. a) del Codice);

RILEVATO comunque che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Elfe S.p.A., Gaggia S.p.A., Ilti Luce S.r.l., Pegaso S.r.l., Philips Lighting Italy S.p.A., Philips Saeco S.p.A., Philips Società per Azioni, Saeco Vending S.p.A. e Tecna S.r.l. a trasferire, nell´ambito del Gruppo Philips, i dati personali relativi al "personale dipendente" e ai "clienti, fornitori e partner commerciali" dal territorio dello Stato verso i soggetti facenti parte del Gruppo Philips aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Philips e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 18 maggio 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia