Diritti interna

Doveri interna

ricerca avanzata

Autorizzazione al trasferimento dei dati mediante BCR nell'ambito del Gruppo Amgen - 5 ottobre 2017 [7274188]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
7274188
Data:
05/10/17
Argomenti:
Imprese , Trasferimento dati all'estero
Tipologia:
Bcr

[doc. web n. 7274188]

Autorizzazione al trasferimento dei dati mediante BCR nell´ambito del Gruppo Amgen - 5 ottobre 2017

Registro dei provvedimenti
n. 407 del 5 ottobre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nell´Application form, di cui al WP 133 del 10 gennaio 2007, presentata da Amgen S.A.S. − società del gruppo Amgen operante nel settore farmaceutico (la cui capogruppo, Amgen Inc., ha sede negli Stati Uniti d´America) − dinanzi all´Autorità francese di protezione dei dati personali (Commission nationale de l´informatique et des libertés, di seguito "CNIL"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta, pervenuta al Garante in data 8 dicembre 2015, è stata presentata da Amgen S.A.S. (società con sede in Francia), in nome e per conto della capogruppo Amgen Inc. e delle altre società del gruppo Amgen, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Amgen", dei dati personali relativi al personale dipendente, clienti, operatori sanitari, partecipanti a eventi, venditori e fornitori, partecipanti a sperimentazione clinica, pazienti e ricercatori (v. Application form - WP 133, Parte II, paragrafi 2 e 7);

PRESO ATTO che le Bcr Amgen consistono in una policy denominata "Policy Amgen Bcr" – di seguito "Policy", resa vincolante mediante un contratto infragruppo, "Contratto di accettazione delle Bcr", sottoscritto dalla capogruppo Amgen Inc e da tutte le società del gruppo Amgen (di seguito "Società partecipanti"); la "Policy" contiene: l´Allegato 1 – "Panoramica dei flussi di dati"; l´Allegato 2 – "Contratto di accettazione delle Bcr"; l´Allegato 3 – "Programma di formazione sulla privacy e protezione dei dati", l´Allegato 4 – "Programma di monitoraggio/audit" e l´Allegato 5 – "Elenco dei ‹paesi regolamentati›";

CONSIDERATO che, con il "Contratto di accettazione delle Bcr", Amgen Inc e le "Società partecipanti" "si impegnano a rispettare tutte le disposizioni delle Bcr e ad implementare ed eseguire tutti i requisiti previsti nelle stesse" (v. "Contratto di accettazione delle Bcr", art. 2), ivi comprese le clausole di responsabilità e del terzo beneficiario (v. "Contratto di accettazione delle Bcr", art. 5; "Policy", par. 18);

PRESO ATTO che Amgen Inc e le "Società partecipanti" si sono impegnate, inoltre, a pubblicare le Bcr Amgen sul sito internet e sulla intranet aziendale del gruppo (cfr. "Policy", par. 7);

RILEVATO che la CNIL in data 18 febbraio 2016, all´esito della procedura concernente le Bcr Amgen, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante, in data 15 marzo 2016, ha rappresentato alla CNIL che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 15 marzo 2016);

VISTA l´istanza del 19 dicembre 2016, con cui Amgen S.r.l., (con sede  in Milano), ai sensi dell´art. 44, comma 1, lett. a) del Codice, ha chiesto il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi in particolare a: il personale dipendente (ivi compresi i lavoratori interinali e temporanei e i candidati all´assunzione) per finalità amministrativo-contabili; gli operatori sanitari, i clienti, i partecipanti ad eventi, i venditori e i fornitori per finalità di gestione delle attività commerciali e medico-scientifiche a loro riferite; i partecipanti a sperimentazioni cliniche, i pazienti, i ricercatori e il personale medico per finalità di ricerca e sviluppo ivi comprese la farmacovigilanza e la segnalazione di eventi avversi (v. "Policy", Allegato 1 - "Panoramica dei flussi di dati"), dal territorio dello Stato verso paesi terzi mediante le Bcr Amgen;

VISTA la richiesta di informazioni avanzata dal Garante in data 9 marzo 2017 nei confronti della menzionata società, volta ad ottenere specifici chiarimenti in particolare con riferimento alle modalità di rilascio dell´informativa agli interessati (v. nota del Garante del 9 marzo 2017, punto (c)) e alla clausola del terzo beneficiario (v. nota del Garante del 9 marzo 2017, punto (d));

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con nota del 20 aprile 2017, ha espressamente dichiarato che:

- con riferimento all´obbligo di fornire idonea informativa ai soggetti interessati, le Bcr Amgen saranno interpretate e applicate in conformità con l´art. 13 del d. lgs. 196/2003 (v. nota della società del 20 aprile 2017, punto (c));

- in merito alla clausola del terzo beneficiario (v. "Policy", par. 18), quest´ultima sarà interpretata e applicata conformemente ai documenti del Gruppo ex art. 29, in particolare con riferimento agli specifici diritti ivi previsti (v. WP 155, par. 9) e al diritto di scelta dell´interessato in ordine alla giurisdizione (WP 74, par. 5.6). A tal fine, la società ha espressamente confermato che "l´interessato potrà scegliere di far valere i propri diritti (..) dinanzi alle autorità del paese della società Amgen che esporta il dato (e quindi per i dati esportati da Amgen S.r.l., la giurisdizione italiana) o (..) dinnanzi all´Autorità Garante del paese in cui ha sede la società Amgen che esporta il dato" (v. nota della società del 20 aprile 2017, punto (d));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Amgen S.r.l. a trasferire, nell´ambito del gruppo Amgen, i dati personali relativi alle categorie di interessati di cui in premessa, dal territorio dello Stato verso i soggetti facenti parte del gruppo Amgen aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Amgen e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 5 ottobre 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia