Diritti interna

Doveri interna

ricerca avanzata

Autorizzazione al trasferimento dei dati mediante BCR nell'ambito del Gruppo Mastercard - 1° febbraio 2018 [8043179]

[doc. web n. 8043179]
 
Autorizzazione al trasferimento dei dati mediante BCR nell´ambito del Gruppo Mastercard - 1° febbraio 2018
 
Registro dei provvedimenti
n. 51 del 1° febbraio 2018
 
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
 
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
 
VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;
 
VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;
 
VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");
 
VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr"); 
 
VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;
 
CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea, ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);
 
VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;
 
CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");
 
TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;
 
VISTA la richiesta (c.d. "Application form") presentata da Mastercard Europe SA (con sede in Belgio) −società del Gruppo Mastercard operante nel settore dei pagamenti, la cui capogruppo Mastercard International Incorporated ha sede negli Stati Uniti d´America−, dinanzi all´Autorità belga di protezione dei dati personali (Commissie voor de bescherming van de persoonlijke levenssfeer), che è stata individuata quale lead Authority della relativa procedura;
 
RILEVATO che tale richiesta è stata presentata da Mastercard Europe SA, in quanto entità del gruppo cui è stata delegata per l´area SEE la responsabilità in materia di protezione dei dati personali, in nome e per conto di tutte le società del Gruppo Mastercard (di seguito "Mastercard Bcr Entities"), ed è volta ad ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Mastercard", dei dati personali −rispetto ai quali le "Mastercard Bcr Entities" agiscono in qualità di "data controller" − relativi a: il personale dipendente; i titolari di carta; il personale degli istituti finanziari, dei clienti, dei partner, dei commercianti, dei fornitori e venditori; i consumatori e gli utenti dei siti web, per il perseguimento delle finalità indicate nell´Application Form (v. WP 153, Parte II, par. 7 e Appendice 1 - "Titolari delle Bcr");
 
PRESO ATTO che le suddette Bcr (di seguito "Bcr Mastercard for Controller", cfr., al riguardo, anche la nota di Mastercard Europe S.A. del 22 giugno 2017) consistono in una policy denominata "Norme vincolanti d´impresa Mastercard", resa vincolante per il tramite di un contratto infragruppo, "Accordo Infra-gruppo", sottoscritto da tutte le "Mastercard Bcr Entities"; la suddetta policy comprende: l´"Appendice 1 – Entità di Mastercard coperte dalle Bcr" e l´"Appendice 2 – Glossario"; 
 
CONSIDERATO inoltre che, con l´"Accordo Infra-gruppo", che include l´"Appendice 1- Ruoli Mastercard" e la "Parte 3 – Subresponsabili del trattamento dei dati", le "Mastercard Bcr Entities" hanno "il dovere di conformarsi alle Bcr di Mastercard" e assumono "tutte le misure necessarie  (..) per attuare le Bcr di Mastercard, anche al fine di conferire alle Bcr un carattere vincolante internamente e di obbligare il personale di Mastercard al rispetto delle Bcr", ivi comprese le clausole di responsabilità e del terzo beneficiario (cfr. "Accordo Infra-gruppo", paragrafi 4, 5 e 6; v. anche "Norme vincolanti d´impresa Mastercard", par. VI. 2);
 
VISTO che le "Mastercard Bcr Entities" si sono impegnate a pubblicare sulla intranet e su internet "una versione pubblica" delle Bcr Mastercard for Controller, assicurando che tale versione sia coerente con la versione interna delle suddette Bcr (cfr. "Accordo Infra-gruppo", par. 11.3);
 
PRESO ATTO inoltre che le Bcr Mastercard for Controller, in sede di clausola del terzo beneficiario, con riferimento alla scelta della giurisdizione, prevedono che l´interessato possa far valere, nei confronti di Mastercard Europe SA, i propri diritti di fronte all´Autorità di protezione dei dati e/o all´autorità giurisdizionale del Belgio o del Paese di residenza dell´interessato (v. "Norme vincolanti d´impresa Mastercard", paragrafi VI. 2 e VIII.1-2);
 
RILEVATO che l´Autorità belga, in data 11 ottobre 2016, all´esito della procedura concernente le Bcr Mastercard for Controller, attivata secondo le forme del mutuo riconoscimento, ha approvato il suddetto testo di Bcr, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;
 
VISTA l´istanza del 2 marzo 2017 presentata, ai sensi dell´art. 44, comma 1, lett. a) del Codice, da Mastercard Europe S.A.- Italy Branch Office (con sede in Roma), volta ad ottenere il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi a: il personale dipendente (categoria nella quale devono intendersi ricompresi anche i candidati, gli ex dipendenti, i consulenti, i lavoratori temporanei, gli appaltatori indipendenti, gli amministratori e i funzionari) per finalità di gestione del rapporto di lavoro; i titolari di carta per finalità di gestione delle operazioni, assistenza clienti, risoluzione delle controversie, adempimento di obblighi di legge/regolamento, frodi e gestione del rischio, "ricerca interna, reportistica e analisi" e "offerta di prodotti e servizi"; il personale degli istituti finanziari, i commercianti, i clienti e i partner per finalità di "contabilità, controllo e fatturazione", "gestione dei rapporti con i clienti e rendicontazione finanziaria", adempimenti di legge/regolamento, "offerta di prodotti e servizi"; il personale presso fornitori e venditori per la gestione dei rapporti con gli stessi; i consumatori e gli utenti del sito web per finalità di marketing (per il dettaglio delle tipologie dei dati personali oggetto di trasferimento e delle relative finalità, v. "Accordo Infra-gruppo", "Appendice 1- Ruoli Mastercard") dal territorio dello Stato verso paesi terzi, mediante le Bcr Mastercard for Controller;
 
VISTO che la società ha dichiarato che le Bcr Mastercard for Controller "dovranno essere interpretate e applicate in conformità al (..) Codice", con particolare riferimento alle condizioni di liceità del trattamento (artt. 11 e 23), i diritti dell´interessato (artt. 7-10), l´informativa (art. 13), le garanzie per il trattamento dei dati sensibili (art. 26), il trasferimento dei dati all´estero (artt. 43-44) (v. istanza della società del 2 marzo 2017, pag. 11);
 
RITENUTA, inoltre, la necessità di formulare alcune prescrizioni concernenti l´obbligo di comunicare a questa Autorità eventuali modifiche di carattere sostanziale apportate al testo delle Bcr Mastercard for Controller, in considerazione del fatto che le "Norme vincolanti d´impresa Mastercard" (v. par. VII) prevedono l´adempimento di tale obbligo esclusivamente nei confronti dell´Autorità belga di protezione dei dati personali;
 
RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi; 
 
VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;
 
CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;
 
VISTI gli atti d´ufficio;
 
VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;
 
RELATORE la dott.ssa Giovanna Bianchi Clerici;
 
TUTTO CIÒ PREMESSO IL GARANTE
 
a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Mastercard Europe S.A.- Italy Branch Office a trasferire, nell´ambito del Gruppo Mastercard, i dati personali relativi alle categorie di interessati di cui in premessa, dal territorio dello Stato verso i soggetti facenti parte del Gruppo Mastercard aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Mastercard for Controller e per il perseguimento delle sole finalità ivi dichiarate;
 
b) ai sensi dell´art. 157 del Codice, dispone che Mastercard Europe S.A.- Italy Branch Office comunichi al Garante eventuali modifiche di carattere sostanziale apportate al testo delle Bcr Mastercard for Controller, entro 90 giorni dalla relativa approvazione;
 
c) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.
 
Roma, 1° febbraio 2018
 
IL PRESIDENTE
Soro
 
IL RELATORE
Bianchi Clerici
 
IL SEGRETARIO GENERALE
Busia