[doc. web n. 2830367]

Autorizzazione al trasferimento dei dati personali all´estro mediante BCR da parte di Intel corporation Italia SpA - 21 novembre 2013

Registro dei provvedimenti
n. 518 del 21 novembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
 

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nell´Application form, di cui al WP 133 del 10 gennaio 2007, presentata da Intel Ireland Limited − società del Gruppo Intel operante nel settore della produzione e commercializzazione di semiconduttori, computer e prodotti per reti e comunicazioni (la cui capogruppo, Intel Corporation, ha sede negli Stati Uniti d´America) − dinanzi all´Autorità di protezione dei dati personali dell´Irlanda (Data Protection Commissioner), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta, pervenuta al Garante in data 21 ottobre 2010, è stata presentata da Intel Ireland Limited, società (con sede in Irlanda) cui è stata delegata la responsabilità in materia di trattamento dei dati personali, in nome e per conto della capogruppo e di tutte le società (c.d. "Entità Intel") controllate, direttamente o indirettamente, dalla medesima, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Intel", dei dati personali relativi a: il "personale dipendente" per finalità amministrativo - contabili; i "fornitori" per finalità di gestione e amministrazione degli stessi; i "clienti" per finalità di servizi e vendite on-line, gestione di eventi, gestione dei rapporti, servizi di assistenza tecnica per i prodotti, marketing e attività di ricerca e sviluppo; le "ulteriori categorie di interessati" che comprendono: gli utenti finali dei siti del gruppo (www.intel.it e www.intel.com) per finalità legate alla gestione dei siti medesimi, i partecipanti a programmi premio e i partecipanti a conferenze per finalità relative alla specifica raccolta premio indetta o alla conferenza di volta in volta organizzata, i soggetti che inoltrano lamentele o richieste varie per la gestione della specifica lamentela o richiesta pervenuta, i consulenti, i professionisti e i partecipanti a ricerche per le attività strettamente connesse al relativo contratto di consulenza o ricerca con il gruppo Intel;

PRESO ATTO che le Bcr Intel consistono in un "Atto unilaterale" sottoscritto dalla capogruppo Intel Corporation (con sede negli Stati Uniti d´America) - comprensiva dell´Allegato 1, contenente la lista delle Entità Intel vincolate dalle Bcr (di seguito "Allegato 1"); dell´Allegato 2, inerente le "Norme aziendali per la protezione dei dati personali Intel" (di seguito "Allegato 2", che includono 6 Appendici); dell´Allegato 3, relativo ai "Diritti per i terzi beneficiari" (di seguito "Allegato 3")  - nonché nelle "Intel Corporate Privacy Rules Policy Letters of Confirmation" (di seguito "Lettere di conferma"), documento sottoscritto da ciascuna società del gruppo stabilita nell´Unione Europea;

CONSIDERATO che, con il suddetto "Atto Unilaterale", la Intel Corporation si è impegnata, anche in nome e per conto delle Entità Intel, a rispettare le "Norme aziendali per la protezione dei dati personali Intel" (Allegato 2) e i "Diritti per i terzi beneficiari" (Allegato 3) con riferimento ai trasferimenti intra-gruppo verso paesi terzi dei dati personali di cui alla presente autorizzazione (v. "Atto Unilaterale", in particolare i punti 1, 2, 7, 8 e 9);

VISTO che, con le citate "Lettere di conferma", ciascuna Entità Intel si è impegnata ad osservare "l´Atto Unilaterale per le Norme aziendali sulla protezione dei dati personali Intel relativo alla <Politica sulle norme aziendali per la protezione dei dati personali Intel> (la Politica); e le politiche e procedure collegate, divulgate di volta in volta da Intel per applicare la Politica in tutte le Entità Intel";

RILEVATO che, in virtù dell´avvenuta sottoscrizione dell´"Atto Unilaterale" e delle "Lettere di conferma", le Entità Intel, compresa la capogruppo Intel Corporation, si sono reciprocamente obbligate in via contrattuale ad agire in conformità alle Bcr Intel e ad osservare le clausole in esse contenute;

RILEVATO, inoltre, che, ai sensi del succitato "Atto Unilaterale", Intel Corporation ha dichiarato di disporre dell´autorità necessaria per garantire l´osservanza delle Bcr Intel da parte delle "Entità Intel" (v. "Dichiarazione Unilaterale", punti 2 e 3);

PRESO ATTO che Intel Corporation si è impegnata, inoltre, a pubblicare su Internet le predette "Norme aziendali per la protezione dei dati personali Intel", che contengono al loro interno la clausola del terzo beneficiario (cfr. "Norme aziendali per la protezione dei dati personali Intel", pag. 3);

RILEVATO che il Data Protection Commissioner, in data 24 novembre 2011, all´esito della procedura concernente le Bcr Intel, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati, e ha rilasciato la relativa autorizzazione il 20 gennaio 2012;

CONSIDERATO che il Garante, in data 27 giugno 2012, ha rappresentato al Data Protection Commissioner che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 27 giugno 2012);

VISTA l´istanza del 13 giugno 2013, con cui Intel Corporation Italia S.p.A. (con sede in Assago - MI), ai sensi dell´ art. 44, comma 1, lett. a), ha chiesto il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi al "personale dipendente", ai "fornitori", ai "clienti" e alle "altre categorie di interessati", dal territorio dello Stato verso paesi terzi mediante le Bcr Intel;

CONSIDERATO che anche Intel Corporation Italia S.p.A., con dichiarazione del 21 novembre 2012, ha sottoscritto la "Lettera di conferma", impegnandosi ad osservare le Bcr Intel e ad adempiere agli obblighi di cui alle clausole del terzo beneficiario e di responsabilità;

VISTE le richieste di informazioni avanzate dal Garante in data 12 luglio e 20 settembre 2013 nei confronti della menzionata società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

-  la tipologia delle informazioni oggetto di trasferimento, le specifiche finalità perseguite e i soggetti che, in qualità di interessati, sono coinvolti nel trasferimento dei dati (v. note del Garante del 12 luglio 2013 e del 20 settembre 2013, punto (a));

- l´adempimento dell´obbligo di rilascio di idonea informativa all´interessato (art. 13 del Codice) e l´osservanza della disciplina in materia di definizione di profili dell´interessato mediante trattamenti automatizzati di dati personali (art. 14 del Codice) (v. nota del Garante del 20 settembre 2013, punto (b);

- la clausola di responsabilità, in particolare con riferimento all´individuazione dell´Entità Intel che si assume la responsabilità in base a quanto previsto nei documenti del Gruppo ex art. 29 (WP 74, punti 3.3.1 e 5.5.1-2 e 5.6; WP 108, punti 5.17 e ss.; WP 153, punto 1.4) (v. nota del Garante del 20 settembre 2013, punti (c) e (d));

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 29 agosto e 4 ottobre 2013 ha espressamente dichiarato che:

- con riferimento alla tipologia delle informazioni oggetto di trasferimento e alle relative finalità, i dati oggetto della richiesta di trasferimento intra-gruppo verso paesi terzi mediante le Bcr Intel si riferiscono a: "il personale dipendente per finalità amministrativo - contabili; i fornitori per finalità di gestione e amministrazione degli stessi; i clienti per finalità di servizi e vendite on-line, gestione di eventi, gestione dei rapporti, servizi di assistenza tecnica per i prodotti, marketing e attività di ricerca e sviluppo; gli utenti finali dei siti del gruppo (www.intel.it e www.intel.com) per finalità legate alla gestione dei siti medesimi, i partecipanti a programmi premio e i partecipanti a conferenze per finalità relative alla specifica raccolta premio indetta o alla conferenza di volta in volta organizzata, i soggetti che inoltrano lamentele o richieste varie per la gestione della specifica lamentela o richiesta pervenuta, i consulenti, i professionisti e i partecipanti a ricerche per le attività strettamente connesse al relativo contratto di consulenza o ricerca con il gruppo Intel" (v. note della società del 29 agosto 2013 e del 4 ottobre 2013, punto (a));

-  in ordine agli adempimenti di cui alle "Norme aziendali per la protezione dei dati personali Intel", par. 2 (informativa) e par. 10 (definizione di profili dell´interessato mediante trattamenti automatizzati di dati personali), "la Intel Corporation Italia S.p.A., si conformerà alle previsioni contenute nel d. lg. 196/2003 – Codice in materia di protezione dei dati personali (cfr. artt. 13 e 14)" (v. nota della società del 4 ottobre 2013, punto (b));

-  in merito alla clausola di responsabilità individuata nelle Bcr Intel, che essa "è conforme a quanto previsto nei documenti WP 74 (punti 3.3.1 e 5.5.1 - 2 e 5.6), WP 108 (punti 5.17 ss.) e WP 153 (punto 1.4) del Gruppo ex art. 29" e che "la Intel Ireland Limited  [..] ha assunto la responsabilità nei termini di cui ai punti dei documenti [..] sopra menzionati" (v. nota della società del 4 ottobre 2013, punti (c) e (d));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154 del Codice, ha il compito, fra l´altro, di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Intel Corporation Italia S.p.A. a trasferire, nell´ambito del Gruppo Intel, i dati personali relativi al "personale dipendente", ai "fornitori", ai "clienti" e alle "ulteriori categorie di interessati" dal territorio dello Stato, verso le Entità Intel aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Intel e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154 del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 21 novembre 2013

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia