g-docweb-display Portlet

Trasferimento di dati personali all'estero. Autorizzazione a Spencer Stuart Italia S.r.l. - 30 ottobre 2013 [2909094]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2909094]

Trasferimento di dati personali all´estero. Autorizzazione a Spencer Stuart Italia S.r.l. - 30 ottobre 2013

Registro dei provvedimenti
n. 485 del 30 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice);

VISTO, in particolare, l´art. 44, comma 1, lett. a), del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa" di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nelle Application form, di cui al WP 133 del 10 gennaio 2007, pervenuta al Garante in data 30 luglio 2009, presentata da Spencer Stuart & Associates Ltd − società del  gruppo Spencer Stuart operante nel settore della selezione del personale (la cui capogruppo, Spencer Stuart Management Consultants N.V., ha sede in Curacao), dinanzi all´Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner´s Office, di seguito "ICO"), individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta, inoltrata da Spencer Stuart & Associates Ltd – società (con sede nel Regno Unito di Gran Bretagna e Irlanda del Nord) cui è stata delegata, all´interno del gruppo Spencer Stuart, la responsabilità in materia di protezione dei dati personali – è presentata in nome e per conto dei soggetti (persone giuridiche – di seguito "Spencer Stuart Entities") controllati, direttamente o indirettamente, dalla capogruppo, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi, per finalità di ricerca e selezione del personale, dei dati personali relativi ai "candidati" (v. Spencer Stuart Candidate Data Protection Standards, par. 4), mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Spencer Stuart";

PRESO ATTO che le Bcr Spencer Stuart consistono in una dichiarazione unilaterale (di seguito "Dichiarazione sulle Bcr") sottoscritta da Spencer Stuart & Associates Ltd - comprensiva dell´Allegato 1, contenente la lista delle Spencer Stuart Entities vincolate dalle Bcr (di seguito "Allegato 1"); dell´Allegato 2, inerente gli "Spencer Stuart Candidate Data Protection Standards" (di seguito "Standards") e dell´Allegato 3 denominato "Diritti dell´interessato" (di seguito "Allegato 3") ;

CONSIDERATO che, con la suddetta "Dichiarazione sulle Bcr", la Spencer Stuart & Associates Ltd  si è impegnata, anche in nome e per conto della capogruppo e delle Spencer Stuart Entities, ad agire in conformità agli Standards, a verificarne l´applicazione all´interno del gruppo e a garantire, in particolare, l´osservanza delle clausole di responsabilità e del terzo beneficiario (v. "Dichiarazione sulle Bcr", in particolare i punti 1, 2, 6, 9 e 10);

RILEVATO che le Spencer Stuart Entities hanno, inoltre, sottoscritto un contratto infragruppo, denominato "Licence Agreement", con il quale si impegnano ad aderire a tutte le policy del gruppo ivi compresi gli Standards (v. "Licence Agreement", par. 3, lettere k) e m); v. anche dichiarazione della Spencer Stuart International BV, del 27 settembre 2013);

PRESO ATTO che Spencer Stuart & Associates Ltd si impegna alla pubblicazione via Internet e nella intranet aziendale delle Bcr Spencer Stuart e della clausola del terzo beneficiario ivi contenuta (v. Standards, par. 10);

RILEVATO che l´ICO in data 25 novembre 2010, all´esito della procedura europea concernente le Bcr Spencer Stuart, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante in data 2 marzo 2011 ha confermato di aver ricevuto il testo definitivo delle Bcr Spencer Stuart, riservandosi di valutare, in sede di procedura nazionale, la conformità di tale final draft alla normativa italiana;

VISTA l´istanza dell´8 luglio 2013 presentata, ai sensi dell´art. 44, comma 1, lett. a), da Spencer Stuart Italia S.r.l. (con sede in Milano), volta a ottenere il rilascio dell´autorizzazione nazionale ai trasferimenti infragruppo dei dati personali relativi ai "candidati" delle società del gruppo Spencer Stuart per finalità di ricerca e selezione del personale, mediante le Bcr Spencer Stuart;

VISTA la richiesta di informazioni avanzata dal Garante in data 5 settembre 2013 nei confronti della menzionata società, volta ad ottenere specifici chiarimenti in merito a:

- l´efficacia vincolante delle Bcr Spencer Stuart, al fine di verificare la natura contrattuale e le previsioni del "Licence Agreement" citato all´interno dell´Application form, par. 4 (v. nota del 5 settembre 2013, punto (a));

- la Resolution of the Board of Directors datata 13 gennaio 2011, onde accertare che la società Spencer Stuart International B.V., sebbene non costituisca la head-quarter del gruppo, abbia la capacità di rappresentare tutte le società del gruppo Spencer Stuart (v. nota del 5 settembre 2013, punto (b));

- la posizione di Spencer Stuart & Associates Ltd, quale società cui è stata delegata la responsabilità in materia di protezione dei dati personali, onde verificare che, nonostante tale delega non sia stata attribuita direttamente dalla capogruppo, essa impegni comunque l´intero gruppo Spencer Stuart (v. nota del 5 settembre 2013, punto (c));

- la clausola di responsabilità, in particolare con riferimento alla previsione di cui agli Standards, par. 8, con la quale si condiziona l´esercizio della clausola del terzo beneficiario al previo esperimento della procedura interna di risoluzione delle controversie prevista dal gruppo Spencer Stuart (v. nota del 5 settembre 2013, punto (d));

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con nota del 27 settembre 2013, ha espressamente dichiarato quanto segue:

- in merito all´efficacia vincolante delle Bcr Spencer Stuart, che "il <Licence Agreement> è sottoscritto da tutte le società del gruppo Spencer Stuart" e che esso "regolamenta [..] l´adesione alle policy di gruppo in materia di protezione dei dati personali, come si evince dalle lettere k) e m) del paragrafo 3 del <Licence Agreement> sottoscritto tra <Spencer Stuart internatioanl BV> e la scrivente <Spencer Stuart Italia S.r.l.> in vigore dal 1 ottobre 2004" (v. nota della società del 27 settembre 2013, lett. (a));

-  con riferimento alla società Spencer Stuart International B.V., che essa ha "la capacità di rappresentare tutte le società del gruppo Spencer Stuart" (v. nota della società del 27 settembre 2013, lett. (b));

-  relativamente alla posizione di Spencer Stuart & Associates Ltd, quale società cui è stata delegata la responsabilità in materia di protezione dei dati personali, che quest´ultima, "nonostante non sia stata delegata dalla head-quarter del gruppo, impegna tutte le società del gruppo Spencer Stuart per le attività in materia di protezione dei dati personali" (v. nota della società del 27 settembre 2013, lett. (c));

- con riferimento alla clausola di responsabilità (Standards, par. 8), che quanto ivi indicato "non costituisce un limite all´esercizio dei diritti riconosciuti all´interessato dagli articoli 7 e 8 e ss. del D. Lgs. 196/2003, ma rappresenta solo un´alternativa – astrattamente più immediata e meno costosa – concessa allo stesso per chiedere informazioni sui propri dati personali, rimanendo salva la facoltà di adire direttamente codesta Ill.ma Autorità ovvero l´Autorità giudiziaria o amministrativa competente" (v. nota della società del 27 settembre 2013, lett. (d));

RILEVATO comunque che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. a) e d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, vietare o disporre il blocco, nonché adottare gli ulteriori provvedimenti previsti dalla medesima;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Spencer Stuart Italia S.r.l., a trasferire, nell´ambito del gruppo Spencer Stuart, i dati personali relativi ai "candidati" dal territorio dello Stato verso i soggetti gruppo Spencer Stuart aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Spencer Stuart e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere a) e d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, eventuali provvedimenti anche di blocco o di divieto.

Roma, 30 ottobre 2013

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
2909094
Data
30/10/13

Argomenti


Tipologie

Bcr