Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Trasferimento di dati personali all'estero. Autorizzazione a First Data International Italia s.r.l - 14 marzo 2013 [2406306]

[doc. web n. 2406306]

Trasferimento di dati personali all´estero. Autorizzazione a First Data International Italia s.r.l - 14 marzo 2013

Registro dei provvedimenti
n. 124 del 14 marzo 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali;

VISTO, in particolare, l´art. 44, comma 1, lett. a), del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa" di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nell´Application form di cui al WP 133 del 1° settembre 2008, pervenuta al Garante in data 30 settembre 2008, presentata da FDR Limited − società del Gruppo First Data, operante nel settore delle tecnologie del commercio elettronico e in particolare nell´ambito dell´elaborazione dei pagamenti e dei relativi servizi (la cui capogruppo, First Data Corporation, ha sede negli Stati Uniti d´America) − dinanzi all´Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner´s Office, di seguito "ICO"), individuata quale lead Authority della relativa procedura;

PRESO ATTO che tale richiesta è presentata da FDR Limited – in quanto filiale, registrata nel Regno Unito, di una società costituita negli Stati Uniti d´America, cui è stata delegata dalla società capogruppo, First Data Corporation, la responsabilità in materia di protezione dei dati personali –  in nome e per conto della capogruppo e di tutte le altre società del Gruppo da quest´ultima controllate  (c.d. "Affiliate First Data");

RILEVATO che la predetta richiesta è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi dei dati personali relativi al personale dipendente, alla clientela e a ulteriori categorie di interessati per il perseguimento di specifiche finalità (principalmente inerenti la gestione del rapporto di lavoro, la gestione dei rapporti con la clientela ai fini della fornitura dei relativi servizi e lo svolgimento di altre attività contrattuali), così come previsto in dettaglio nell´Allegato A dell´Application form (nonché negli "Standard sulla protezione dei dati di First Data Corporation", paragrafi 10 e 11), mediante l´adozione delle Norme vincolanti di impresa, c.d. "Bcr First Data";

PRESO ATTO che le Bcr First Data consistono in un accordo infragruppo denominato "Binding Intra-group BCR Membership Agreement" (di seguito "IGA") comprensivo: dell´Allegato 1, inerente gli "Standard sulla protezione dei dati di First Data Corporation"(che, a sua volta, ricomprende l´Allegato A, in materia di "Condizioni che devono essere soddisfatte da First Data prima di procedere all´elaborazione dei dati personali" e l´Allegato B, ove sono indicate le "Politiche sulla privacy di First Data"); dell´Allegato 2, contenente la lista delle Affiliate First Data che in qualità di "Parti" sottoscrivono il predetto accordo;

PRESO ATTO, altresì, che la società ha rappresentato, nell´Application form, che il summenzionato IGA sarà sottoscritto da ogni Affiliata del Gruppo First Data, le quali si impegnano, così, ad adeguarsi ai termini indicati negli "Standard sulla protezione dei dati di First Data Corporation", nonché a rispettare lo stesso IGA (v. IGA, clausola 2); e che "i dati personali non saranno trasferiti ai membri del Gruppo che non hanno firmato l´accordo vincolante intra-gruppo" (v. Application form, Parte 2, sez. 4);

RILEVATO che l´ICO, in data 11 ottobre 2011, all´esito della procedura concernente le Bcr First Data, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati ed evidenziando, altresì, che l´istanza di autorizzazione relativa alle predette Bcr concerne esclusivamente il trattamento dei dati rispetto ai quali First Data agisce in qualità di "data controller" (cfr., al riguardo, anche le dichiarazioni rese in tale senso dalla società nell´Application form, Parte 1, sez. 2; v. anche, in tale senso, gli "Standard sulla protezione dei dati di First Data Corporation", par. 6);

CONSIDERATO che il Garante, in data 20 giugno 2012 ha rappresentato all´ICO che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 20 giugno 2012);

VISTA l´istanza del 16 luglio 2012 presentata, ai sensi degli artt. 44, comma 1, lett. a), da First Data International Italia s.r.l., con sede in Milano, volta a ottenere il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi al personale dipendente, alla clientela e ad altre categorie di interessati, dal territorio dello Stato verso paesi terzi mediante il rispetto da parte di First Data International Italia s.r.l., delle Bcr First Data;

VISTE la richiesta di informazioni e l´istanza di ulteriori chiarimenti avanzate dal Garante in data 29 ottobre 2012 e 11 gennaio 2013, nonché la comunicazione inviata da questa Autorità il 25 febbraio 2013, nei confronti della menzionata società, volte ad ottenere specifici chiarimenti in ordine a:

- la nozione di "titolare dei dati" (v. nota del 29 ottobre 2012 punto (a));

- l´individuazione dei soggetti coinvolti nel trasferimento intra-gruppo dei dati verso paesi terzi (v. nota del 29 ottobre 2012, punto (b) e nota dell´11 gennaio 2013 punto (b));

- il significato dell´espressione "siti web interni e pubblici" di cui al par. 20 degli "Standard sulla protezione dei dati di First Data Corporation" (v. nota del 29 ottobre 2012 punto (c));

- i diritti dell´interessato  (nota del 29 ottobre 2012 punto (d));

- il  trasferimento dei dati verso soggetti posti al di fuori del Gruppo (v. nota del 29 ottobre 2012 punto (e));

- la clausola 2.3. dell´IGA, contenente la previsione di un periodo di transizione prima che le Bcr First Data divengano operative (v. nota del 29 ottobre 2012 punto (f));

- il trattamento e il trasferimento dei dati sensibili e di quelli a carattere giudiziario degli interessati (v. nota dell´11 gennaio 2013 punto (c)).

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, con note del 13 dicembre 2012 e 30 gennaio 2013 e la comunicazione del 27 febbraio 2013, ha espressamente dichiarato:

- con riferimento alla figura "titolare dei dati" menzionata nella traduzione italiana del testo delle Bcr First Data, che la stessa è riconducibile a quella prevista nell´art. 4, comma 1, lett. i), del Codice e, pertanto, deve essere intesa quale "interessato" e, comunque, più in generale, che nelle Bcr First Data devono intendersi richiamate integralmente tutte le definizioni in materia di protezione dei dati personali di cui alla direttiva n. 95/46/CE  (v. nota della società del 13 dicembre 2012, punto (a));

- che costituiscono oggetto delle Bcr First Data i dati concernenti le categorie di interessati individuati nell´Application form (cfr., in particolare, Allegato A), ossia quelle indicate dalla società nei seguenti termini: a) "personale dipendente", nel quale sono ricompresi i dipendenti, gli ex dipendenti, i familiari a carico e i beneficiari dei dipendenti ed ex dipendenti (quest´ultimi da intendersi quali "soggetti segnalati dal dipendente come beneficiari finali di specifiche prestazioni, come, ad esempio, gli eventuali beneficiari di trattamenti pensionistici, di assicurazioni sanitarie, eredi, ecc.", cfr., al riguardo, comunicazione del 27 febbraio 2013), in relazione al loro rapporto di lavoro o alla richiesta di impiego; b) "clientela", da intendersi come clienti di First Data e loro clienti in relazione alla fornitura dei servizi; c) "ulteriori categorie di interessati diversi dai dipendenti e dai clienti", che come risulta dall´allegato alla nota del 30 gennaio 2013, sono riconducibili alle figure dei fornitori, dei consulenti e di altri esperti professionisti (v. note della società del 13 dicembre 2012 punto (b) e del 30 gennaio 2013, punto (b));

- che First Data assolverà agli obblighi di trasparenza, di cui al punto 5.7 del WP 74 del Gruppo ex art. 29, rendendo pubblica una copia degli "Standard sulla protezione dei dati di First Data Corporation", sia sui suoi siti Internet che all´interno di una specifica area "Documentazione/Privacy" della rete interna aziendale (v. nota della società del 13 dicembre 2012, punto (c));

- che negli "Standard sulla protezione dei dati di First Data Corporation" devono intendersi riconosciuti agli interessati tutti i diritti di cui all´art. 7 del Codice (v. nota della società del 13 dicembre 2012, punto (d));

- in ordine al trasferimento dei dati verso soggetti posti al di fuori del Gruppo, che lo stesso "avverrà sempre nel rispetto dei principi sanciti dalla Direttiva 95/46/CE, in particolare degli articoli 16, 17, 25 e 26" (v. nota della società del 13 dicembre 2012, punto (e));

- con riguardo alla clausola 2.3. dell´IGA, che per "periodo di transizione" – durante il quale, come confermato dalla società, non vengono comunque poste in essere operazioni di trasferimenti di dati all´interno del Gruppo First Data – deve intendersi "quel periodo in cui le Binding Corporate Rules (BCR) predisposte dal Gruppo First Data circolano presso gli uffici degli altri Garanti per la protezione dei dati europei al fine di ottenere l´approvazione" (v. nota della società del 13 dicembre 2012, punto (f));

- che "l´eventuale trattamento e trasferimento di dati sensibili e di quelli a carattere giudiziario degli interessati saranno posti in essere dalla Società nel pieno rispetto della normativa nazionale in  materia di protezione dei dati personali" (v. nota della società del 30 gennaio 2013, punto (c)).

RILEVATO comunque che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. a) e d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, vietare o disporre il blocco, nonché adottare gli ulteriori provvedimenti previsti dalla medesima;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza First Data International Italia s.r.l. a trasferire, nell´ambito del Gruppo First Data, i dati personali relativi al "personale dipendente", alla "clientela" nonché alle "ulteriori categorie di interessati diversi dai dipendenti e dai clienti", dal territorio dello Stato verso le Affiliate First Data aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr First Data e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere a) e d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, eventuali provvedimenti di blocco o di divieto.

Roma, 14 marzo 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia