Diritti interna

Doveri interna

ricerca avanzata

Autorizzazione al trasferimento dei dati mediante BCR nell'ambito del Gruppo HPE - 5 luglio 2017 [6826765]

[doc. web n. 6826765]

Autorizzazione al trasferimento dei dati mediante BCR nell´ambito del Gruppo HPE 5 luglio 2017

Registro dei provvedimenti
n. 305 del 5 luglio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d. Application Form), presentata da HPE France – società con sede in Francia del gruppo HPE operante nel settore dell´informatica (la cui capogruppo, Hewlett Packard Enterprise Company, ha sede negli Stati Uniti d´America) − dinanzi all´Autorità francese di protezione dei dati personali (Commission nationale de l´informatique et des libertés, di seguito "CNIL"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da HPE France, cui è stata delegata da HPE la responsabilità in materia di protezione dei dati personali, in nome e per conto della capogruppo Hewlett Packard Enterprise Company e di tutte le consociate dirette e indirette controllate dalla capogruppo (c.d. "Società HPE"), ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr HPE", dei dati personali relativi a dipendenti, clienti, partner commerciali e fornitori, per il perseguimento delle finalità indicate nell´Application Form (Parte 2, Sezione VII);

PRESO ATTO che le Bcr HPE consistono in specifiche regole di condotta contenute nelle "Hewlett Packard Enterprise Company Binding Corporate Rules for controller" (di seguito "Bcr HPE") comprensive dei seguenti documenti: "Doc 1 – Privacy Policies"; "Doc 2 – Inter-Company Agreement on the processing and Transfer of personal Data"; "Doc 3 – Employees Guidelines"; "Doc 4 – Audit Program"; "Doc 5 – Training Program"; "Doc. 6 – Assets Information"; "Doc. 7 – Complaint System"; "Doc. 8 – List of HPE Entities"; "Doc 9 – Security Policies"; "Doc. 10 – Data processing review" e "Doc. 11 – Privacy Office Org.";

PRESO ATTO, in particolare, che, in virtù della sottoscrizione del "Inter-Company Agreement on the processing and Transfer of personal Data" (di seguito "ICA"), le "Società HPE" (v. Parte I dell´ICA "Definizioni" punto 17) si vincolano giuridicamente e reciprocamente all´osservanza delle Bcr HPE (cfr. Appendice C "Details of Parties to this Agreement" che reca l´elenco delle società firmatarie dell´ICA), ivi comprese le clausole di responsabilità e del terzo beneficiario (v., par. 1, parte IV, dell´ICA "Diritti di terzi e applicazione");

RILEVATO altresì che il Gruppo HPE ha adottato anche il Codice di condotta denominato "Standards of Business Conduct", che vincola tutte le società e i loro dipendenti all´osservanza delle policy in materia di protezione dei dati personali adottate dal Gruppo, ove devono intendersi ricomprese anche le Bcr HPE (v. par. 2 "Riepilogo" del Doc 1 – Privacy Policies e Parte 2, sezione IV, Application form);

VISTO che le "Società HPE" sono tenute, nell´ambito di un più ampio programma di controlli, ad effettuare opportune verifiche in ordine al rispetto delle Bcr HPE (v. Parte V dell´ICA; Doc 4 – Audit Program; e Parte 2, sezione V, Application form) e che in caso di mancata osservanza delle suddette Bcr sono previste sanzioni disciplinari nei confronti del personale dipendente, ciò anche in virtù del riferimento alle stesse contenuto negli "Standards of Business Conduct" (v. Parte 2, sezione IV, Application form);

PRESO ATTO inoltre che le Bcr HPE, comprensive al loro interno della clausola del terzo beneficiario di cui alla Parte IV, par. 1, dell´ICA saranno pubblicate sulla "rete Intranet di HPE" e "sulle pagine web nazionali di HPE" come previsto nel par. 1.9. "Informativa per l´interessato", Parte IV dell´ICA;

CONSIDERATO che il 1° novembre 2015 è intervenuta la separazione del gruppo HP nei due gruppi denominati rispettivamente Hp Enterprise (gruppo HPE) e Hp Inc. (gruppo HPI) e che le Bcr predisposte dal Gruppo HP erano già state oggetto di una procedura di mutuo riconoscimento ad opera della CNIL che il 24 novembre 2010 aveva inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

RILEVATO che a seguito della suddetta separazione le "Società HPE" hanno sottoscritto l´ICA sopra menzionato e che il medesimo, al pari delle Bcr HPE nel loro complesso, sono stati oggetto di una specifica e successiva valutazione da parte della CNIL;

PRESO ATTO che, in data 30 novembre 2015, la CNIL ha potuto constatare la sostanziale corrispondenza delle Bcr HPE alle Bcr HP e che, in ragione di ciò, ha pertanto attestato la conformità delle stesse ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati (v. nota della CNIL del 30 novembre 2015);

CONSIDERATO che il Garante, già in data 17 dicembre 2010 nell´ambito della procedura di mutuo riconoscimento avente per oggetto le Bcr HP, ha rappresentato alla CNIL che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 17 dicembre 2010);

VISTA l´istanza dell´8 gennaio 2016 (e la successiva comunicazione del 22 giugno 2016), con cui Hewlett Packard Italiana S.r.l. (con sede in Cernusco sul Naviglio), Hewlett Packard Financial Services Holding Company Limited, Italian Branch (con sede in Cernusco sul Naviglio), Hewlett Packard International Bank Public Limited Company (con sede in Cernusco sul Naviglio), HPFS Rental S.r.l. (con sede in Cernusco sul Naviglio), Hewlett Packard Customer Delivery Services Italia S.r.l. (con sede in Roma) hanno chiesto il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi al personale dipendente (incluso il personale in somministrazione) per "finalità amministrativo-contabili" e ai clienti e ai fornitori per "finalità necessarie all´espletamento di attività di vendita o acquisto di beni e servizi, per attività di marketing e per la gestione e la sottoscrizione dei contratti" (cfr., anche, par. 20 "Dati personali di HPE", Parte I dell´ICA);

VISTE le richieste di informazioni avanzate dal Garante il 19 luglio e 28 ottobre 2016 e 13 gennaio 2017 nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- l´ambito del trasferimento, con particolare riguardo alle categorie di interessati e alle relative finalità oggetto delle operazioni di trasferimento di cui alla presente autorizzazione (v. note del Garante del 19 luglio 2016, punto (a) e del 13 gennaio 2017);

- le definizioni in materia di protezione dei dati personali di cui alle Bcr HPE (v. nota del Garante del 19 luglio 2016, punto (b));

- l´interpretazione e l´applicazione delle Bcr HPE in conformità ai principi in materia di protezione dei dati personali previsti nel d.lg. 196/2003, concernenti: l´"informativa" (art. 13); il "diritto di accesso ai dati personali e altri diritti" (artt. 7–10); il "consenso al trattamento" (artt. 23 e 24); il "trattamento dei dati sensibili" (art. 26) e i "trasferimenti di dati verso Paesi terzi" (artt. 43 e ss.) (v. nota del Garante del 19 luglio punto (c));

- la conformità della clausola del terzo beneficiario (par. 1 "Diritti di Terzi e applicazione", Parte IV dell´ICA) in ragione di quanto previsto al riguardo nei documenti WP 74 (punti 3.3.2 e 5.5.1) e WP 108 (punti 5.12 ss.) del Gruppo ex art. 29, ciò con particolare riferimento alle prescrizioni contenute nel WP 155 (punto 9) in ordine ai richiami che tale clausola deve contenere (v. note del Garante del 19 luglio 2016, punto (d) e del 28 ottobre 2016 punto (a));

- il sistema di responsabilità e il criterio di scelta della giurisdizione prescelti dal gruppo, di cui al par. 1, Parte IV dell´ICA tenuto conto delle ipotesi stabilite al riguardo nei punti 5.5.2 del WP 74 e 5.17 del WP 108 del Gruppo ex art. 29 (v. note del Garante del 19 luglio 2016, punto (e) e del 28 ottobre 2016, punto (b));

- la previsione in materia di aggiornamento delle Bcr e gestione delle relative modifiche di cui al par. 12, Parte II, dell´ICA (v. nota del Garante del 19 luglio 2016, punto (f)),

CONSIDERATO che le società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 19 settembre e 30 novembre 2016 e 15 febbraio 2017, hanno espressamente dichiarato che:

- costituiscono oggetto delle Bcr HPE i dati concernenti le seguenti categorie di interessati: a) "personale dipendente", nel quale sono ricompresi i dipendenti, il personale in somministrazione, gli ex dipendenti, i tirocinanti e i candidati all´assunzione; b) "clienti"; c) "fornitori"; d) "partner commerciali" (v. nota delle società del 19 settembre 2016, punto (a) e del 15 febbraio 2017);

- in ordine alle finalità dei trasferimenti oggetto della richiesta di autorizzazione, queste sono specificamente individuate nella Tabella allegata alla nota delle società del 15 febbraio 2017 (cui si rimanda integralmente) e riguardano scopi di natura sostanzialmente amministrativo-contabili;

- ai fini dell´interpretazione delle definizioni contenute nelle Bcr HPE, nelle medesime debbono intendersi integralmente richiamate le definizioni in materia di protezione dei dati personali di cui all´art. 2 della direttiva n. 95/46/CE (v. nota delle società del 19 settembre 2016, punto (b));

- il trattamento dei dati personali sarà effettuato in conformità ai principi in materia di protezione dei dati personali, ciò con particolare riferimento a quelli sopra richiamati, ossia: l´"informativa" (art. 13); il "diritto di accesso ai dati personali e altri diritti" (artt. 7–10); il "consenso al trattamento" (artt. 23 e 24); il "trattamento dei dati sensibili" (art. 26) e i "trasferimenti di dati verso Paesi terzi" (artt. 43 e ss.) (v. nota delle società del 19 settembre 2016, punto (c));

- le Bcr HPE sono conformi a quanto stabilito nei documenti WP 74 (punti 3.3.2 e 5.5.1) e WP 108 (punti 5.12 ss.) del Gruppo ex art. 29 in ordine alla clausola del terzo beneficiario e nella relativa previsione di cui al par. 1, Parte IV e par. 5, Parte II dell´ICA, devono intendersi richiamati tutti gli specifici diritti indicati al punto 9 del WP 155 (v. note delle società del 19 settembre 2016, punto (d) e del 30 novembre 2016, punto (a));

- in merito ai criteri di responsabilità e di scelta della giurisdizione, il Gruppo HPE ha adottato il sistema di cui al par. 1, Parte IV dell´ICA che prevede la responsabilità nonché la giurisdizione dell´"Esportatore dei Dati Originario"; ciò in ragione delle peculiarità della propria struttura societaria e "in quanto ritenuto essere in grado di garantire il modello più efficace per la tutela dei diritti degli interessati" (v. note delle società del 19 settembre 2016, punto (e) e del 30 novembre 2016, punto (b));

- il par. 12, Parte II dell´ICA, recante la procedura in materia di aggiornamento e modifiche delle Bcr, sarà applicato in conformità a quanto stabilito al riguardo nei punti 4.2 del WP 74 e 5.1 del WP 153 (v. nota delle società del 19 settembre 2016, punto (f));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Hewlett Packard Italiana S.r.l.; Hewlett Packard Financial Services Holding Company Limited, Italian Branch; Hewlett Packard International Bank Public Limited Company; HPFS Rental S.r.l.; Hewlett Packard Customer Delivery Services Italia S.r.l. a trasferire, nell´ambito del gruppo HPE, i dati personali relativi a: il "personale dipendente", i "clienti", "i fornitori" e i "partner commerciali" come sopra individuati, dal territorio dello Stato verso i soggetti facenti parte del Gruppo HPE aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr HPE e per il perseguimento delle sole finalità ivi dichiarate, così come specificatamente indicate in atti;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 5 luglio 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia