g-docweb-display Portlet

Trasferimento di dati personali all'estero. Autorizzazione a Novo Norsdisk S.p.A.- 11 luglio 2013 [2635057]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 [doc. web n. 2635057]

Trasferimento di dati personali all´estero. Autorizzazione a Novo Norsdisk S.p.A.- 11 luglio 2013

Registro dei provvedimenti
n.  348 dell´11 luglio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nell´Application form di cui al WP 133 del 10 gennaio 2007, presentata da Novo Nordisk A/S Novo Allé − società capogruppo del Novo Nordisk Group (di seguito "Novo Nordisk A/S") operante nel settore della produzione e commercializzazione di prodotti farmaceutici (con sede in Danimarca) − dinanzi all´Autorità di protezione dei dati personali della Danimarca (Datatilsynet), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta, pervenuta al Garante in data 26 marzo 2010, è stata presentata da Novo Nordisk A/S in nome e per conto di tutte le società (c.d. "Enti Novo Nordisk") controllate, direttamente o indirettamente, dalla medesima, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Novo Nordisk", dei dati personali relativi a: i pazienti coinvolti e il personale (sanitario e non) impiegato negli studi clinici per le finalità connesse allo sviluppo di nuovi prodotti farmaceutici; il personale dipendente, per le finalità inerenti la gestione del rapporto di lavoro; i clienti, i fornitori, i consulenti, i laboratori, le agenzie di marketing e i relativi dipendenti per finalità connesse alla gestione amministrativa controllata e al monitoraggio dell´andamento del mercato farmaceutico a scopo commerciale;

PRESO ATTO che le Bcr Novo Nordisk consistono in una "Dichiarazione Unilaterale" sottoscritta dalla Novo Nordisk A/S  - comprensiva dell´Allegato 1, contenente la lista degli Enti Novo Nordisk vincolati dalle Bcr (di seguito "Allegato 1"); dell´Allegato 2, inerente la "Policy delle norme vincolanti in materia di protezione dei dati" (di seguito "Policy Novo Nordisk" che include 5 Appendici); dell´Allegato 3, relativo ai diritti del terzo beneficiario (di seguito "Allegato 3")  - nonché nelle Binding Corporate Rules Confirmation Letters (di seguito "Lettere di conferma"), documento sottoscritto da ciascuna società del gruppo stabilita nell´Unione Europea (di seguito "European Affiliates");

CONSIDERATO che, con la suddetta "Dichiarazione Unilaterale", la Novo Nordisk A/S si è impegnata, anche in nome e per conto degli Enti Novo Nordisk, ad agire in conformità alla Policy Novo Nordisk e a garantire l´osservanza delle clausole di responsabilità e del terzo beneficiario con riferimento ai trasferimenti intra-gruppo verso paesi terzi dei dati personali di cui alla presente autorizzazione (v. "Dichiarazione Unilaterale", in particolare i punti 1, 7 e 8);

VISTO che, con le citate "Lettere di conferma", ciascuna European Affiliate si è impegnata ad osservare "le norme [...] contenute nella Dichiarazione Unilaterale sulle Norme Aziendali Vincolanti ("Dichiarazione") relativa alla Politica delle Norme Aziendali Vincolanti in materia di Protezione dei Dati ("Policy") [ovvero Policy Novo Nordisk], e le relative politiche e procedure pubblicate di volta in volta da Novo Nordisk A/S per l´implementazione della Policy in tutta la Novo Nordisk" e a rispettare, "in particolare, […] gli obblighi sanciti dalla Policy come descritto nella Clausola 7 della Dichiarazione";

RILEVATO che, in virtù dell´avvenuta sottoscrizione della "Dichiarazione Unilaterale" e delle "Lettere di conferma", gli Enti Novo Nordisk, compresa la capogruppo Novo Nordisk A/S, si sono reciprocamente obbligati in via contrattuale ad agire in conformità alle Bcr Novo Nordisk e ad osservare le clausole in esse contenute;

RILEVATO, inoltre, che, ai sensi della succitata "Dichiarazione Unilaterale", la Novo Nordisk A/S ha dichiarato di disporre dell´autorità necessaria per garantire delle Bcr Novo Nordisk l´osservanza da parte degli Enti Novo Nordisk (v. "Dichiarazione Unilaterale", punto 2), facendo presente che:

- "gli Enti Novo Nordisk hanno messo in atto misure contrattuali o di altro tipo che vincolano  i (..) dipendenti e /o i singoli appaltatori a trattare le informazioni personali in conformità alle Bcr" pena la comminazione di specifiche sanzioni (v. "Dichiarazione Unilaterale", punti 3 e 6);

- ciascun Ente Novo Nordisk dispone di un´unità locale giuridica e di compliance che si occupa del rispetto delle Bcr" (v. "Dichiarazione Unilaterale", punto 5);

- "gli Enti Novo Nordisk implementeranno procedure formative per garantire la conoscenza e il rispetto da parte dei propri dipendenti degli obblighi derivanti dalle Bcr" (v. "Dichiarazione Unilaterale", punto 4);

PRESO ATTO che Novo Nordisk A/S si è impegnata, inoltre, a pubblicare su Internet la predetta Policy Novo Nordisk, comprensiva al suo interno della clausola del terzo beneficiario (cfr. Policy Novo Nordisk, parte I);

RILEVATO che il Datatilsynet, in data 15 aprile 2011, all´esito della procedura concernente le Bcr Novo Nordisk, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante, in data 25 maggio 2011, nel valutare la conformità del final draft alla normativa nazionale, ha rappresentato al Datatilsynet che, ai fini del rilascio della relativa autorizzazione nazionale, sarebbero stati "valutati i profili di conformità del testo Bcr con la normativa italiana", riservandosi di chiedere in tale sede "ulteriori informazioni e chiarimenti in particolare con riferimento all´efficacia vincolante delle Bcr, alle categorie di dati trasferiti, ivi compresi quelli di natura sensibile, e alle specifiche finalità dei trasferimenti coperti dalle Bcr" (cfr. nota del 25 maggio 2011);

VISTA l´istanza del 9 luglio 2012, con cui Novo Nordisk S.p.A. (con sede in Roma), ai sensi degli artt. 44, comma 1, lett. a), ha chiesto il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi ai pazienti, al personale (sanitario e non) impiegato negli studi clinici, al personale dipendente, ai clienti, ai fornitori, ai consulenti, ai laboratori e alle agenzie di marketing e ai relativi dipendenti, dal territorio dello Stato verso paesi terzi mediante le Bcr Novo Nordisk;

CONSIDERATO che anche Novo Nordisk S.p.A., con dichiarazione del 12 luglio 2011, ha sottoscritto la "Lettera di conferma", impegnandosi ad osservare le Bcr Novo Nordisk e ad adempiere agli obblighi di cui alle  clausole del terzo beneficiario e di responsabilità;

VISTE le richieste di informazioni avanzate dal Garante in data 18 luglio 2012, 9 novembre 2012, 5 febbraio e 6 maggio 2013 nei confronti della menzionata società, volte ad ottenere specifici chiarimenti in particolare in ordine a:

- la natura (sensibile e non) e la tipologia delle informazioni oggetto di trasferimento (v. nota del Garante del 18 luglio 2012 punto (a)), le specifiche finalità perseguite (v. nota del Garante del 18 luglio 2012 punto (b)) e i soggetti che, in qualità di interessati, sono coinvolti nel trasferimento dei dati (v. nota del Garante del 18 luglio 2012 punto (c));

-  la conformità della clausola del terzo beneficiario ai documenti del Gruppo ex art. 29 (in particolare WP 153, paragrafo 1.4) (v. nota del Garante del 6 giugno 2013 punto (b));

- il sistema di responsabilità scelto dal Gruppo (v. nota del Garante del 9 novembre 2012 punto (d));

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 20 settembre 2012, 21 dicembre 2012, 20 marzo e 6 giugno 2013 ha espressamente dichiarato che:

- con riferimento alla natura e alla tipologia delle informazioni oggetto di trasferimento e alle relative finalità, i dati oggetto della richiesta di trasferimento intra-gruppo verso paesi terzi mediante le Bcr Novo Nordisk si riferiscono a: i pazienti coinvolti e il personale (sanitario e non) impiegato negli studi clinici per le finalità connesse allo sviluppo di nuovi prodotti farmaceutici; il personale dipendente per le finalità inerenti la gestione del rapporto di lavoro; i clienti, i fornitori, i consulenti, i laboratori, le agenzie di marketing e i loro dipendenti per finalità connesse alla gestione amministrativa controllata e al monitoraggio dell´andamento del mercato farmaceutico a scopo commerciale (v. note della società del 20 settembre 2012 e del 6 giugno 2013);

- in merito alla clausola del terzo beneficiario, "le disposizioni di cui alla Dichiarazione unilaterale (v. punti 1, 7 e 8 e Allegato 3) e alle Policy Novo Nordisk (v., in particolare, parte I) sono pienamente conformi a quanto previsto dai documenti del Gruppo ex art. 29 WP 74 (punti 3.3.2 e 5.5.1) e WP 153 (punto 1.4)" (v. nota della società del 6 giugno 2013);

- con riferimento al regime di responsabilità prescelto, il Gruppo Novo Nordisk  ha adottato un "sistema in cui chi trasferisce i dati personali è responsabile di eventuali pretese avanzate per violazione delle Bcr", sistema al quale la Novo Nordisk S.p.A. ha espressamente aderito mediante sottoscrizione della Lettera di conferma datata 12 luglio 2011 (v. nota della società del 21 dicembre 2012, punto (2));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. a) e d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, vietare o disporre il blocco, nonché adottare gli ulteriori provvedimenti previsti dalla medesima;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE  la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Novo Norsdisk S.p.A. a trasferire, nell´ambito del Gruppo Novo Nordisk, i dati personali relativi al personale dipendente, ai pazienti coinvolti e al personale (sanitario e non) impiegato negli studi clinici, ai clienti, ai fornitori, ai consulenti, ai laboratori, alle agenzie di marketing e ai relativi dipendenti dal territorio dello Stato, verso gli Enti Novo Nordisk aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Novo Nordisk e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere a) e d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, eventuali provvedimenti anche di blocco o di divieto.

Roma, 11 luglio 2013

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
2635057
Data
11/07/13

Argomenti


Tipologie

Bcr

Vedi anche (10)