g-docweb-display Portlet

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

english version

 

[doc. web n. 3058168]

Autorizzazione al trasferimento dei dati mediante BCR da parte del network Ernst & Young - 23 gennaio 2014

Registro dei provvedimenti
n. 27 del 23 gennaio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a), del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa" di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nelle Application form, di cui al WP 133 del 10 gennaio 2007, pervenuta al Garante in data 9 gennaio 2012, presentata da Ernst & Young Global Limited – società facente parte della rete di imprese di Ernst & Young (di seguito "network Ernst & Young") operante nel settore di servizi professionali di revisione e organizzazione contabile, fiscalità, transaction e advisory, dinanzi all´Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner´s Office, di seguito "ICO"), individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è inoltrata da Ernst & Young Global Limited – società (con sede nel Regno Unito di Gran Bretagna e Irlanda del Nord) cui è stata attribuita la responsabilità in materia di protezione dei dati personali nell´ambito del network Ernst & Young ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi dei dati personali relativi ai "dipendenti, partner, committenti, direttori, ex dipendenti, ex partner, ex committenti, ex direttori, familiari, appaltatori/sub-appaltatori, clienti, fornitori" per le finalità c.d. commerciali, da intendersi nei termini indicati nel dettaglio nell´Application Form (Sezione 7), mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Ernst & Young";

PRESO ATTO che le Bcr Ernst & Young consistono in una policy aziendale, definita "Programma di Norme Vincolanti d´Impresa per la protezione dei dati Ernst & Young" (di seguito "Policy Bcr") e  da  6 allegati: "Appendice 1 – Ruoli e responsabilità in materia di protezione dei dati"; "Appendice 2 – Procedura per la richiesta di accesso dell´interessato"; "Appendice 3 – Valutazione del protocollo di conformità"; "Appendice 4 – Procedura di gestione dei reclami"; "Appendice 5 – Procedura di cooperazione"; "Appendice 6 – Procedura di aggiornamento";

CONSIDERATO che il network Ernst & Young è costituito da una rete globale di entità giuridiche indipendenti ("Member Firms") vincolate, in virtù di un "Contratto di associazione", al rispetto di una serie di regole, c.d. "Norme di Ernst & Young";

PRESO ATTO che il menzionato "Contratto di associazione" è sottoscritto da ciascuna Member Firm e da Ernst & Young Global Limited, società cui, in qualità di entità centrale di governance del network, è stato attribuito il ruolo di promuovere il coordinamento e la cooperazione tra le Member Firms;

TENUTO CONTO che le suddette "Norme di Ernst & Young" stabiliscono che le Member Firms sono tenute ad attuare  e mantenere standard, metodologie e politiche comuni, ivi compresi quelli relativi alla protezione dei dati, e che la "Policy Bcr" costituisce una delle politiche comuni del network Ernst & Young;

RILEVATO, inoltre, che ai sensi del "Contratto di associazione" e delle "Norme di Ernst & Young"  tutte le Members Firms sono soggette a controlli volti a valutare il rispetto delle regole e delle politiche comuni, pena la comminazione di sanzioni tra cui la risoluzione del "Contratto di associazione" medesimo;

PRESO ATTO che la "Policy Bcr" è pubblicata sul sito Internet del network Ernst & Young (v. "Policy Bcr", pag. 1);

RILEVATO che l´ICO in data 21 dicembre 2012, all´esito della procedura europea concernente le Bcr Ernst & Young, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante in data 14 febbraio 2013 ha confermato di aver ricevuto il testo definitivo delle Bcr Ernst & Young, riservandosi di valutare, in sede di procedura nazionale, la conformità di tale final draft alla normativa italiana;

VISTA l´istanza del 12 luglio 2013 presentata, ai sensi dell´art. 44, comma 1, lett. a), da Studio Legale Tributario in association with Ernst & Young, Global Shares Services S.r.l., Ernst & Young Financial-Business Advisors S.p.A. (con sede in Milano), Reconta Ernst & Young e Ernst & Young Business School S.r.l. (entrambe con sede in Roma), volta a ottenere il rilascio dell´autorizzazione nazionale ai trasferimenti infragruppo da parte delle Member Firms del network Ernst & Young, mediante le Bcr Ernst & Young, con riferimento ai dati personali relativi al "personale dipendente" (ivi compresi gli ex dipendenti, partner, direttori e personale dirigenziale) per finalità amministrativo contabili e per "l´adempimento di obblighi di legge e regolamentari"; i candidati all´assunzione e i potenziali partner, direttori e personale dirigenziale per attività collegate all´assunzione di personale ed all´instaurazione di un rapporto di lavoro o di collaborazione; i "clienti", "fornitori", "appaltatori", "subappaltatori" e "altri terzi" per "operazioni relative all´attività d´impresa" e per "l´adempimento di obblighi di legge e regolamentari"; i familiari, coniugi o equivalenti a carico di attuali ed ex dipendenti, direttori, personale dirigenziale e partner, nonché i contatti di emergenza di attuali ed ex dipendenti, direttori, personale dirigenziale e partner, per finalità di "gestione del personale", di "comunicazioni ed emergenze" e per "l´adempimento di obblighi di legge e regolamentari" (come specificato in dettaglio nella Tabella allegata alla presente autorizzazione e costituente parte integrante della stessa – "Allegato 1");

VISTE le richieste di informazioni avanzate dal Garante in data 4 novembre, 16 dicembre 2013 e 8 gennaio 2014 nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in merito a:

- la tipologia delle informazioni oggetto di trasferimento, le specifiche finalità perseguite e i soggetti che, in qualità di interessati, sono coinvolti nel trasferimento dei dati (v. nota del 4 novembre 2013, punto (a), nota del 16 dicembre 2013, punti (a) e (b) e nota dell´8 gennaio 2014, punti (a), (b) e (c));

- il sistema di responsabilità prescelto dal network Ernst & Young (v. nota del 4 novembre 2013, punto (b));

- la conformità al Codice in materia di protezione dei dati personali della Parte II (contenente "Le Norme") della "Policy Bcr" (v. nota del 4 novembre 2013, punto (c));

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 18 novembre 2013, del 7 e del 9 gennaio 2014, ha espressamente dichiarato quanto segue:

- con riferimento alle categorie di interessati e alla tipologia di informazioni personali oggetto di trasferimento, l´istanza di autorizzazione si riferisce a: il «"personale dipendente" (ivi compresi gli attuali ed ex dipendenti, partner, direttori e personale dirigenziale) per finalità amministrativo contabili e per "l´adempimento di obblighi di legge e regolamentari"; i candidati all´assunzione e i potenziali partner, direttori e personale dirigenziale per attività collegate all´assunzione di personale ed all´instaurazione di un rapporto di lavoro o di collaborazione; i "clienti", "fornitori", "appaltatori", "subappaltatori" e "altri terzi" per "operazioni relative all´attività d´impresa" e per "l´adempimento di obblighi di legge e regolamentari"; i familiari, coniugi o equivalenti a carico di attuali ed ex dipendenti, direttori, personale dirigenziale e partner, nonché i contatti di emergenza di attuali ed ex dipendenti, direttori, personale dirigenziale e partner, per finalità di "gestione del personale", di "comunicazioni ed emergenze" e per "l´adempimento di obblighi di legge e regolamentari"». In particolare, «le categorie di interessati relative ai "clienti", "fornitori", "appaltatori" e "sub-appaltatori" ricomprendono anche i potenziali, attuali ed ex clienti, fornitori, appaltatori e subappaltatori; la categoria relativa al "personale dirigenziale" ricomprende anche i "dirigenti"» (v. nota del 9 gennaio 2014);

- in ordine alle finalità dei trasferimenti oggetto della richiesta di autorizzazione, che queste sono specificatamente individuate nella Tabella allegata alle note del 7 e 9 gennaio 2014 (costituente l´Allegato 1 della presente autorizzazione);

- con riferimento alla clausola di responsabilità, che il network Ernst & Young, in ragione delle peculiarità della propria struttura, "ha adottato un sistema di responsabilità all´interno delle NVI [Bcr Ernst & Young] nel quale l´esportatore dei dati personali è (interamente) responsabile per qualunque azione intentata a seguito di una violazione delle NVI", come rappresentato "agli interessati nelle NVI all´interno della Sezione «Quali sono le conseguenze pratiche per la raccolta e l´uso dei dati personali nel SEE»" (v. nota della società del 18 novembre 2013, punto 2);

- in ordine alla Parte II della "Policy Bcr", il network Ernst & Young garantisce la piena conformità dei principi ivi menzionati alle disposizioni contenute nel Codice in materia di protezione dei dati personali, ciò con particolare riferimento a quelle in materia di modalità di trattamento (art. 11), informativa da rendere agli interessati (art. 13),  rispetto dei criteri di legittimità del trattamento di cui agli artt. 23 e 24 del Codice, misure di sicurezza (artt. 31 e ss.), nonché trasferimenti dei dati personali nei confronti di soggetti esterni al network  (artt. 42 e ss.) (v. nota del 18 novembre 2013, punto 3);

RILEVATO comunque che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Studio Legale Tributario in association with Ernst & Young, Global Shares Services S.r.l., Ernst & Young Financial-Business Advisors S.p.A., Reconta Ernst & Young e Ernst & Young Business School S.r.l. a trasferire, nell´ambito del network Ernst & Young, i dati personali relativi al "personale dipendente" (ivi compresi gli ex dipendenti, partner, direttori e personale dirigenziale), ai candidati all´assunzione, ai potenziali partner, direttori e personale dirigenziale, ai "clienti", ai "fornitori", agli "appaltatori", ai "subappaltatori", ad "altri terzi", ai familiari, coniugi o equivalenti a carico di attuali ed ex dipendenti, direttori, personale dirigenziale e partner, nonché ai contatti di emergenza di attuali ed ex dipendenti, direttori, personale dirigenziale e partner, dal territorio dello Stato verso i soggetti facenti parte del network Ernst & Young aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Ernst & Young e per il perseguimento delle sole finalità ivi dichiarate, così come specificatamente indicate nell´Allegato 1 alla presente autorizzazione;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 23 gennaio 2014

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia