Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Trasferimento di dati personali all'estero. Autorizzazione al Gruppo Amex - 20 giugno 2013 [2550152]

[doc. web n. 2550152]

Trasferimento di dati personali all´estero. Autorizzazione al Gruppo Amex - 20 giugno 2013

Registro dei provvedimenti
n. 302 del 20 giugno 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali;

VISTO, in particolare, l´art. 44, comma 1, lett. a), del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa" di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nelle Application form di cui al WP 133 del 10 gennaio 2007 (Customer Data Application e Employee Data Application), pervenuta al Garante in data 21 luglio 2008, presentata da American Express Services Europe Limited − società del  gruppo American Express (di seguito " Gruppo Amex") operante nei settori dei servizi di pagamento e dei servizi relativi ai viaggi, nonché dell´intermediazione assicurativa (la cui capogruppo, American Express Company, ha sede negli Stati Uniti d´America), dinanzi all´Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner´s Office, di seguito "ICO"), individuata quale lead Authority della relativa procedura;

RILEVATO che il Garante ha partecipato alla suddetta procedura europea in qualità di co-lead Authority (v. comunicazione del 10 aprile 2012);

RILEVATO che tale richiesta inoltrata da American Express Services Europe Limited – società (con sede nel Regno Unito di Gran Bretagna e Irlanda del Nord) cui è stata delegata dalla società capogruppo la responsabilità in materia di protezione dei dati personali – è presentata in nome e per conto delle affiliate (persone giuridiche – di seguito "soggetti del Gruppo Amex") controllate, direttamente o indirettamente, dalla capogruppo e da American Express Services Europe Limited, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi dei dati personali relativi ai clienti, fornitori e partner delle società del Gruppo Amex per le finalità inerenti i servizi di pagamento, i servizi di emissione e rete di esercizi commerciali, i servizi di viaggio e l´intermediazione assicurativa, nonché al personale dipendente per le finalità inerenti la gestione del rapporto di lavoro, mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Amex";

PRESO ATTO che le Bcr Amex consistono in un contratto infragruppo denominato "American express intra-group agreement" (di seguito "IGA"), comprensivo dell´Allegato 1 inerente i "Principi sulla protezione dei dati e la privacy di American Express" (di seguito "Principi Amex") e dell´Allegato 2 contenente i "Principi per l´attuazione delle regole sulla protezione dei dati e la privacy di American Express nello Spazio economico europeo" (di seguito "Principi di attuazione europei"), contratto mediante il quale la società capogruppo e la società American Express Services Europe Limited s´impegnano, in nome proprio e in nome e per conto dei soggetti del Gruppo Amex rispettivamente controllati, a garantire l´osservanza degli obblighi previsti dai Principi di attuazione europei e, in particolare, dalla clausola del terzo beneficiario (v. IGA, lett. (D));

PRESO ATTO che American Express Services Europe Limited si impegna alla pubblicazione via Internet delle Bcr Amex e della clausola del terzo beneficiario ivi contenuta (v. Principi di attuazione europei, p. 1);

RILEVATO che l´ICO in data 8 giugno 2012, all´esito della procedura concernente le Bcr Amex, attivata secondo le forme del mutuo riconoscimento e mediante il coinvolgimento del Garante per la protezione dei dati personali in qualità di co-lead Authority, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante in data 23 maggio 2012, nel valutare la conformità di tale final draft alla normativa nazionale, ha richiesto all´ICO "l´integrazione del testo delle Bcr Amex mediante l´inserimento di una clausola che preveda, in caso di modifiche sostanziali delle Bcr medesime, l´impegno della società a comunicare le suddette modifiche alla Autorità di volta in volta competente in materia" e si è riservato di valutare, in sede di rilascio della relativa autorizzazione nazionale, "i profili di compatibilità della clausola del terzo beneficiario con l´ordinamento italiano ai fini del rispetto del principio di efficacia vincolante delle Bcr sancito dai documenti del Gruppo ex art. 29" (cfr. nota del 23 maggio 2012);

VISTA l´istanza del 25 febbraio 2013 presentata, ai sensi dell´art. 44, comma 1, lett. a), da American Express Locazioni Finanziarie S.r.l., Amex Broker Assicurativo S.r.l., American Express Payment Services Limited – Branch - Italy, American Express Services Europe Limited – Branch - Italy (aventi sede in Roma), volta a ottenere il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi ai clienti, fornitori e partner delle società del Gruppo Amex per le finalità inerenti i servizi di pagamento, i servizi di emissione e rete di esercizi commerciali, i servizi di viaggio e l´intermediazione assicurativa, nonché al personale dipendente per le finalità inerenti la gestione del rapporto di lavoro, mediante le Bcr Amex;

VISTE le richieste di informazioni e integrazioni avanzate dal Garante in data 9 aprile e 20 maggio 2013 nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in particolare in ordine a:

- la tipologia delle informazioni oggetto di trasferimento e le specifiche finalità perseguite (v. nota del 20 maggio 2013 punto (a));

- la conformità della clausola del terzo beneficiario di cui alle Bcr Amex ai documenti del Gruppo ex art. 29, in particolare con riferimento all´inclusione nella stessa degli specifici diritti ivi previsti (cfr. WP 155, par. 9) (v. nota del 20 maggio 2013 punto (b));

- l´efficacia vincolante dei Principi Amex (v. nota del 20 maggio 2013 punto (c));

- le misure di sicurezza dei dati personali (v. nota del 20 maggio 2013 punto (d));

- il sistema di aggiornamento e modifica delle Bcr Amex (v. nota del 20 maggio 2013 punto (e));

CONSIDERATO che le società, nel rendere riscontro al Garante, ai sensi dell´art. 168 del Codice, in ordine ai punti sopra menzionati, con nota del 27 maggio 2013, hanno espressamente dichiarato:

- con riferimento alla tipologia delle informazioni e alle relative finalità, che i dati personali oggetto dell´istanza di autorizzazione di cui in epigrafe riguardano:  a) i "clienti, fornitori e partner delle società del Gruppo Amex" per le finalità inerenti i servizi di pagamento, i servizi di emissione e rete di esercizi commerciali, i servizi di viaggio e l´intermediazione assicurativa; b) il "personale dipendente" per le finalità inerenti la gestione del rapporto di lavoro, che, come specificato dalle società, comprende gli amministratori, i consulenti individuali e il personale in staff "da intendersi come presenti, precedenti e futuri, […] sia temporanei che permanenti", nonché "altri lavoratori, anche temporanei, pensionati, aspiranti dipendenti […]" e "soggetti terzi individuati o individuabili, ad esempio familiari a carico e beneficiari (quali quelli di polizze assicurative e vita del dipendente)" (v. nota di riscontro delle società del 27 maggio 2013);

- in merito alla clausola del terzo beneficiario di cui alle Bcr Amex, che essa è conforme ai documenti del Gruppo ex art. 29, in particolare con riferimento all´inclusione nella stessa degli specifici diritti ivi previsti (v. WP 155, par. 9) e all´efficacia vincolante della stessa tra i soggetti del Gruppo Amex (v. nota di riscontro delle società del 27 maggio 2013 );

- con riguardo all´efficacia dei Principi Amex, che gli stessi "debbono intendersi integralmente richiamati nei Principi di attuazione europei" e che, pertanto, i medesimi debbono "considerarsi giuridicamente vincolanti in virtù dell´avvenuta sottoscrizione dell´American Express intra-group agreement" da parte dei soggetti del Gruppo Amex (v. nota di riscontro delle società del 27 maggio 2013);

- relativamente alle misure di sicurezza, che "l´espressione <ragionevoli misure amministrative, tecniche e di sicurezza fisica per proteggere i dati personali> di cui alle Bcr Amex (v. Principi Amex, punto 5) va interpretata conformemente alla Direttiva 95/46/CE nel senso di <appropriate> misure di sicurezza dei dati personali" (v. nota di riscontro delle società del 27 maggio 2013);

- con riferimento al sistema di modifica e aggiornamento delle Bcr Amex (cfr. Principi di attuazione europei, Allegato 3, punto 3), che esso è conforme a quanto previsto dai documenti del Gruppo ex art. 29 (v. WP 74 par. 4.2.; WP 108, par. 9; WP 153, par. 5.1), soprattutto in merito all´obbligo di comunicazione al Garante per la protezione dei dati personali di ogni modifica sostanziale alle Bcr suddette (v. nota di riscontro delle società del 27 maggio 2013);

RILEVATO comunque che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. a) e d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, vietare o disporre il blocco, nonché adottare gli ulteriori provvedimenti previsti dalla medesima;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza American Express Locazioni Finanziarie S.r.l., Amex Broker Assicurativo S.r.l., American Express Payment Services Limited – Branch - Italy, American Express Services Europe Limited – Branch – Italy, a trasferire, nell´ambito del Gruppo Amex, i dati personali relativi al "personale dipendente" e ai "clienti, fornitori e partner delle società del Gruppo Amex", dal territorio dello Stato verso i soggetti del Gruppo Amex aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Amex e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere a) e d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, eventuali provvedimenti anche di blocco o di divieto.

Roma, 20 giugno 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia