Diritti interna

Doveri interna

ricerca avanzata

Autorizzazione al trasferimento dei dati mediante BCR nell'ambito del Gruppo HPI - 15 febbraio 2018 [8017730]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
8017730
Data:
15/02/18
Argomenti:
Imprese , Internazionale , Trasferimento dati all'estero
Tipologia:
Bcr

[doc. web n. 8017730]

Autorizzazione al trasferimento dei dati mediante BCR nell´ambito del Gruppo HPI - 15 febbraio 2018

Registro dei provvedimenti
n. 81 del 15 febbraio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d. Application Form), presentata da HPI France – società con sede in Francia del gruppo HPI operante nel settore dei Personal Computer e delle stampanti (la cui capogruppo, Hp Inc., ha sede negli Stati Uniti d´America) − dinanzi all´Autorità francese di protezione dei dati personali (Commission nationale de l´informatique et des libertés, di seguito "CNIL"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da HPI France, cui è stata delegata da HPI la responsabilità in materia di protezione dei dati personali, in nome e per conto della capogruppo Hp Inc. e di tutte le consociate dirette e indirette controllate dalla capogruppo (c.d. "Società HP"), ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr HPI", dei dati personali relativi a dipendenti, clienti, partner commerciali e fornitori, per il perseguimento delle finalità indicate nell´Application Form (Parte 2, Sezione VII);

PRESO ATTO che le Bcr HPI consistono in specifiche regole di condotta contenute nelle "HP Inc. Binding Cororate Rules for Controller" (di seguito "Bcr HPI") comprensive dei seguenti documenti: "Doc 1 – Privacy Policies"; "Doc 2 – Inter-Company Agreement on the processing and Transfer of personal Data"; "Doc 3 – Employees Guidelines"; "Doc 4 – Privacy Assurance and Audit Program"; "Doc 5 – Training Program"; "Doc. 6 – Assets Information"; "Doc. 7 – Complaint System"; "Doc. 8 – List of HP Entities"; "Doc 9 – Security Policies"; "Doc. 10 – Data Processing Review" e "Doc. 11 – Privacy Office Org.";

PRESO ATTO, in particolare, che, in virtù della sottoscrizione dell´ "Inter-Company Agreement on the processing and Transfer of personal Data" (di seguito "ICA"), le "Società HP" (v. Parte I dell´ICA "Definizioni" punto 17) si vincolano giuridicamente e reciprocamente all´osservanza delle Bcr HPI (cfr. "Doc. 8 – List of HP Entities" che reca l´elenco delle società firmatarie dell´ICA), ivi comprese le clausole di responsabilità e del terzo beneficiario (v., par. 1, parte IV, dell´ICA "Diritti di terzi e applicazione");

RILEVATO altresì che il Gruppo HPI ha adottato anche il Codice di condotta denominato "Standards of Business Conduct", che vincola tutte le società e i loro dipendenti all´osservanza delle policy in materia di protezione dei dati personali adottate dal Gruppo, ove devono intendersi ricomprese anche le Bcr HPI (v. par. 2 "Riepilogo" del Doc 1 – Privacy Policies e Parte 2, sezione IV, Application form);

VISTO che le "Società HP" sono tenute, nell´ambito di un più ampio programma di controlli, ad effettuare opportune verifiche in ordine al rispetto delle Bcr HPI (v. Parte V dell´ICA; Doc 4 – Privacy Assurance and Audit Program; e Parte 2, sezione V, Application form) e che in caso di mancata osservanza delle suddette Bcr sono previste sanzioni disciplinari nei confronti del personale dipendente, ciò anche in virtù del riferimento alle stesse contenuto negli "Standards of Business Conduct" (v. Parte 2, sezione IV, Application form);

PRESO ATTO inoltre che le Bcr HPI, comprensive al loro interno della clausola del terzo beneficiario di cui alla Parte IV, par. 1, dell´ICA saranno pubblicate sulla "rete Intranet di HP" e "sulle pagine web nazionali di HP" come previsto nel par. 1.9. "Informativa per l´interessato", Parte IV dell´ICA;

CONSIDERATO che il 1° novembre 2015 è intervenuta la separazione del gruppo HP nei due gruppi denominati rispettivamente Hp Enterprise (gruppo HPE) e Hp Inc. (gruppo HPI) e che le Bcr predisposte dal Gruppo HP erano già state oggetto di una procedura di mutuo riconoscimento ad opera della CNIL che il 24 novembre 2010 aveva inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

RILEVATO che a seguito della suddetta separazione le "Società HP" hanno sottoscritto l´ICA sopra menzionato e che il medesimo, al pari delle Bcr HPI nel loro complesso, sono stati oggetto di una specifica e successiva valutazione da parte della CNIL;

PRESO ATTO che, in data 30 novembre 2015, la CNIL ha potuto constatare la sostanziale corrispondenza delle Bcr HPI alle Bcr HP e che, in ragione di ciò, ha pertanto attestato la conformità delle stesse ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati (v. nota della CNIL del 30 novembre 2015);

CONSIDERATO che il Garante, già in data 17 dicembre 2010 nell´ambito della procedura di mutuo riconoscimento avente per oggetto le Bcr HP, ha rappresentato alla CNIL che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 17 dicembre 2010);

VISTA l´istanza del 25 gennaio 2016 con cui HP Italy S.r.l. (con sede in Cernusco sul Naviglio) ha chiesto il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi al personale dipendente (incluso il personale in somministrazione) per "finalità amministrativo-contabili" e ai clienti e ai fornitori per "finalità necessarie all´espletamento di attività di vendita o acquisto di beni e servizi, per attività di marketing e per la gestione e la sottoscrizione dei contratti" (cfr., anche, par. 20 "Dati personali di HPI", Parte I dell´ICA);

VISTE le richieste di informazioni avanzate dal Garante il 19 luglio 2016 e 13 ottobre 2017 nei confronti della menzionata società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- l´ambito del trasferimento, con particolare riguardo alle categorie di interessati e alle relative finalità oggetto delle operazioni di trasferimento di cui alla presente autorizzazione (v. note del Garante del 19 luglio 2016, punto (a) e del 13 ottobre 2017);

- le definizioni in materia di protezione dei dati personali di cui alle Bcr HPI (v. nota del Garante del 19 luglio 2016, punto (b));

- l´interpretazione e l´applicazione delle Bcr HPI in conformità ai principi in materia di protezione dei dati personali previsti nel d.lg. 196/2003, concernenti: l´"informativa" (art. 13); il "diritto di accesso ai dati personali e altri diritti" (artt. 7–10); il "consenso al trattamento" (artt. 23 e 24); il "trattamento dei dati sensibili" (art. 26) e i "trasferimenti di dati verso Paesi terzi" (artt. 43 e ss.) (v. nota del Garante del 19 luglio punto (c));

- la conformità della clausola del terzo beneficiario (par. 1 "Diritti di Terzi e applicazione", Parte IV dell´ICA) in ragione di quanto previsto al riguardo nei documenti WP 74 (punti 3.3.2 e 5.5.1) e WP 108 (punti 5.12 ss.) del Gruppo ex art. 29, ciò con particolare riferimento alle prescrizioni contenute nel WP 155 (punto 9) in ordine ai richiami che tale clausola deve contenere (v. note del Garante del 19 luglio 2016, punto (d) e del 13 ottobre 2017 punto (a));

- il sistema di responsabilità e il criterio di scelta della giurisdizione prescelti dal gruppo, di cui al par. 1, Parte IV dell´ICA tenuto conto delle ipotesi stabilite al riguardo nei punti 5.5.2 del WP 74 e 5.17 del WP 108 del Gruppo ex art. 29 (v. note del Garante del 19 luglio 2016, punto (e) e del 13 ottobre 2017, punto (b));

- la previsione in materia di aggiornamento delle Bcr e gestione delle relative modifiche di cui al par. 12, Parte II, dell´ICA (v. nota del Garante del 19 luglio 2016, punto (f));

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 12 ottobre 2016 e 3 novembre 2017, ha espressamente dichiarato che:

- costituiscono oggetto delle Bcr HPI i dati concernenti le seguenti categorie di interessati: a) "personale dipendente", nel quale sono ricompresi i dipendenti, il personale in somministrazione, gli ex dipendenti, i tirocinanti e i candidati all´assunzione, nonché i membri e gli ex membri del Consiglio di amministrazione; b) "clienti"; c) "fornitori"; d) "partner commerciali" (v. nota della società del 12 ottobre 2016, punto (a) e del 3 novembre 2017);

- in ordine alle finalità dei trasferimenti oggetto della richiesta di autorizzazione, queste sono specificamente individuate nella Tabella allegata alla nota della società del 3 novembre 2017 (cui si rimanda integralmente) e riguardano scopi di natura sostanzialmente amministrativo-contabili;

- ai fini dell´interpretazione delle definizioni contenute nelle Bcr HPI (v. in particolare parte I dell´ICA), nelle medesime debbono intendersi integralmente richiamate le definizioni in materia di protezione dei dati personali di cui all´art. 2 della direttiva n. 95/46/CE (v. nota della società del 12 ottobre 2016, punto (b));

- il trattamento dei dati personali sarà effettuato in conformità ai principi in materia di protezione dei dati personali, ciò con particolare riferimento a quelli sopra richiamati, ossia: l´"informativa" (art. 13); il "diritto di accesso ai dati personali e altri diritti" (artt. 7–10); il "consenso al trattamento" (artt. 23 e 24); il "trattamento dei dati sensibili" (art. 26) e i "trasferimenti di dati verso Paesi terzi" (artt. 43 e ss.) (v. nota della società del 12 ottobre 2016, punto (c));

- le Bcr HPI sono conformi a quanto stabilito nei documenti WP 74 (punti 3.3.2 e 5.5.1) e WP 108 (punti 5.12 ss.) del Gruppo ex art. 29 in ordine alla clausola del terzo beneficiario e nella relativa previsione di cui al par. 1, Parte IV e par. 5, Parte II dell´ICA, devono intendersi richiamati tutti gli specifici diritti indicati al punto 9 del WP 155 (v. note della società del 12 ottobre 2016, punto (d) e del 3 novembre 2017, punto (a));

- in merito ai criteri di responsabilità e di scelta della giurisdizione, il Gruppo HPI ha adottato il sistema di cui al par. 1, Parte IV dell´ICA che prevede la responsabilità nonché la giurisdizione dell´"Esportatore dei Dati Originario"; ciò in ragione delle peculiarità della propria struttura societaria (v. note della società del 12 ottobre 2016, punto (e) e del 3 novembre 2017, punto (b));

- il par. 12, Parte II dell´ICA, recante la procedura in materia di aggiornamento e modifiche delle Bcr, sarà applicato in conformità a quanto stabilito al riguardo nei punti 4.2 del WP 74 e 5.1 del WP 153 (v. nota della società del 12 ottobre 2016, punto (f));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza HP Italy S.r.l. a trasferire, nell´ambito del gruppo HPI, i dati personali relativi a: il "personale dipendente", i "clienti", "i fornitori" e i "partner commerciali" come sopra individuati, dal territorio dello Stato verso i soggetti facenti parte del gruppo HPI aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr HPI e per il perseguimento delle sole finalità ivi dichiarate, così come specificatamente indicate in atti;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 15 febbraio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia