g-docweb-display Portlet

Autorizzazione al trasferimento dei dati mediante BCR da parte di Osram S.p.A. - 2 aprile 2015 [4003088]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 4003088]

Autorizzazione al trasferimento dei dati mediante BCR da parte di Osram S.p.A. - 2 aprile 2015

Registro dei provvedimenti
n. 197 del 2 aprile 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d Application form) presentata da Osram GmbH – società capogruppo del Gruppo Osram operante nel settore della illuminazione (con sede in Germania) − dinanzi all´Autorità di protezione dei dati personali bavarese (Data Protection Authority of Bavaria for the Private Sector, di seguito "Bavarian DPA"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da Osram GmbH, quale società capogruppo del Gruppo Osram, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Osram", dei dati personali relativi a dipendenti, clienti, fornitori e partner commerciali per il perseguimento delle finalità di "amministrazione delle risorse umane e sviluppo del personale, [e di] finalità aziendali" (v. Application form - WP 133, Parte II, sezione 7);

PRESO ATTO che le Bcr Osram consistono in specifiche regole di condotta contenute nelle "Linee Guida IM 4000- Regole aziendali vincolanti per le società del Gruppo OSRAM e le società aderenti in tema di protezione dei dati personali" (di seguito "Linee Guida") comprensive delle seguenti appendici: l´"Allegato 1 – Dichiarazione di impegno delle società del Gruppo"; l´"Allegato 2 – Modello di Accordo di adesione per le società aderenti"; l´"Elenco delle società partecipanti"; la "Gestione dei reclami inerenti alle Regole aziendali vincolanti"; il "Modello di ispezione e questionario sulle Regole aziendali vincolanti" e il "Modello di formazione sulle regole aziendali vincolanti";

TENUTO CONTO che la capogruppo Osram GmbH, in virtù della propria posizione di controllo (v. definizione "Controllante del Gruppo Osram", art. 2.1 "Linee Guida"), ha il potere di introdurre linee guida obbligatorie per le società del Gruppo e che proprio nell´esercizio di tale potere "i titolari globali della governance possono anche emanare istruzioni per i dirigenti delle società del Gruppo Osram [(c.d. alta dirigenza)]" (v. Application form, Parte II, sezione 4);

RILEVATO che, in ossequio a tale quadro di riferimento normativo, è previsto che le Bcr Osram vengano adottate "dai responsabili della governance e pubblicate come linee guida ufficiali del Gruppo Osram [(c.d. "Linee Guida")] e quindi rese obbligatorie per tutte le società del Gruppo Osram e i rispettivi dipendenti", (v. Application form, Parte II, sezione 4 e art. 2.3.5.1.1 "Linee Guida") e che la responsabilità per l´applicazione nelle singole società del Gruppo delle predette Bcr spetta alla c.d. alta dirigenza delle stesse società (v. artt. 2.3.5.1.1 e 2.3.5.3 "Linee Guida");

CONSIDERATO che le suddette "Linee Guida" contengono l´impegno delle società ad osservare i principi contenuti nelle Bcr Osram, (v. art. 2.3.5.1.1 "Linee Guida");

TENUTO CONTO che le Bcr Osram acquistano efficacia vincolante per le singole "Società del Gruppo Osram" (ossia società rispetto alle quali Osram GmbH ha una partecipazione di maggioranza) in ragione della posizione di controllo, sopra descritta, rivestita da Osram GmbH e a seguito dell´emissione, nei confronti della società capogruppo, della c.d. "Dichiarazione di impegno delle società del Gruppo" (all. 1 delle "Linee Guida"); mentre per le "Società aderenti" (ossia società diverse dalle "Società del Gruppo Osram"), considerato che rispetto ad esse la controllante o una collegata del Gruppo Osram ha una partecipazione di minoranza è prevista, al fine di garantire la vincolatività delle predette Bcr, la conclusione del c.d. "Accordo di adesione per le società aderenti" con Osram GmbH (all. 2 delle "Linee Guida");

RILEVATO che con riguardo, in particolare, a Osram S.p.A. in quanto società controllata di Osram GmbH, essa opera nel contesto del Gruppo in qualità di "Società del Gruppo Osram", nei termini di cui alla definizione prevista nell´art. 2.1 delle "Linee Guida" e che in tale veste è dunque tenuta a sottoscrivere, anche al fine di documentare l´accettazione e l´applicazione delle "Linee Guida" da parte della medesima, la "Dichiarazione di impegno delle società del Gruppo" (cfr. art. 2.3.5.1.1 "Linee Guida");

CONSIDERATO che, con l´avvenuta sottoscrizione, il 1° aprile 2013, della suddetta dichiarazione da parte dell´alta dirigenza della società, Osram S.p.A. si è espressamente impegnata nei confronti di Osram GmbH ad agire, in ordine ai trasferimenti intra-gruppo verso paesi terzi dei dati personali di cui alla presente autorizzazione, in conformità alle suddette regole di condotta e a garantire l´osservanza delle medesime; ciò con particolare riguardo alle clausole di responsabilità e del terzo beneficiario;

VISTO altresì che le società sono tenute, nell´ambito di un più ampio programma di controlli, ad effettuare opportune verifiche in ordine al rispetto delle Bcr Osram (v. art. 2.3.5.7 "Linee Guida" e il "Modello di ispezione e questionario sulle Regole aziendali vincolanti" allegato alle medesime) e che, in caso di mancata osservanza delle Bcr Osram le "Linee guida" stesse prevedono specifiche sanzioni disciplinari nei confronti del personale dipendente (v. art. 2.3.5.1.2 "Linee Guida");

PRESO ATTO inoltre che le Bcr Osram, comprensive al loro interno della clausola del terzo beneficiario (art. 2.3.5.1.3), saranno pubblicate sul sito Internet del Gruppo, così come previsto nell´ art. 2.3.5.2 delle "Linee Guida";

RILEVATO che la Bavarian DPA, in data 24 febbraio 2014, all´esito della procedura concernente le Bcr Osram, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante, in data 19 marzo 2014, ha rappresentato alla Bavarian DPA che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 19 marzo 2014);

VISTA l´istanza del 26 maggio 2014, con cui Osram S.p.A., (con sede in Milano), ai sensi dell´art. 44, comma 1, lett. a) del Codice, ha chiesto il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi a: il personale dipendente (ivi compresi, oltre ai dipendenti, anche altri collaboratori aziendali) per finalità contabili e amministrative; i clienti e i fornitori per finalità connesse ad attività di customer relationship management e per finalità di marketing;

VISTE le richieste di informazioni avanzate dal Garante in data 16 luglio, 28 ottobre e 23 dicembre 2014 nei confronti della menzionata società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- le categorie di interessati e le relative finalità oggetto delle operazioni di trasferimento di cui alla presente autorizzazione, con particolare riferimento ai c.d. "altri interessati" che sebbene non siano stati menzionati dalla società nell´istanza del 26 maggio 2014 sono comunque espressamente previsti nell´art. 2.3.1 delle "Linee Guida" ove è definito il "Campo di applicazione delle Regole aziendali vincolanti" (v. note del Garante del 16 luglio 2014, punto (b) e del 28 ottobre 2014);

- le nozioni di "Responsabile del trattamento dei dati" e "Incaricato del trattamento dei dati" menzionate nell´art. 2.1 delle "Linee Guida" (v. nota del Garante del 23 dicembre 2014, punto (b));

- il rispetto di alcuni principi in materia di protezione dei dati personali, con particolare riferimento a: le "Modalità del trattamento e requisiti dei dati" (art. 11 del Codice); l´"Informativa" (art. 13 del Codice), soprattutto in ordine ai casi in cui essa non è dovuta o può essere fornita con modalità semplificate; il "Diritto di accesso ai dati personali e altri diritti" (artt. 7–10 del Codice), ciò anche con specifico riguardo ai termini (di regola 15 gg) previsti dalla normativa nazionale ai fini della presentazione del ricorso al Garante (artt. 145 e ss.); il "Trattamento dei dati sensibili" (art. 26); le "Misure di sicurezza" (artt. 31 e ss.) e i "Trasferimenti di dati verso Paesi terzi" (artt. 43 e ss.) (v. nota del Garante del 23 dicembre 2014, punto (c));

- le prescrizioni in materia di "Sicurezza dei dati" contenute nelle "Linee Guida" (cfr. art. 2.3.2.8) (v. nota del Garante del 23 dicembre 2014, punto (d));

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 24 luglio e 13 novembre 2014 e 12 gennaio 2015 ha espressamente dichiarato che:

- "le tipologie di dati personali oggetto delle attività di trasferimento per cui si chiede l´autorizzazione" ricomprendono anche quelle relative alla categoria dei c.d. "altri interessati", ossia figure differenti dagli altri soggetti (quali i dipendenti, i clienti e i fornitori) menzionati dalla società nell´originaria richiesta di autorizzazione, trattandosi piuttosto, nello specifico, "dei business partner, dei potenziali clienti e dei potenziali fornitori" rispetto ai quali il trasferimento dei relativi dati è volto al perseguimento delle "finalità connesse ad attività di «customer relationship management» e per finalità di marketing" (v. note delle società del 24 luglio e 13 novembre 2014);

- le nozioni di "Responsabile del trattamento dei dati" e "Incaricato del trattamento dei dati" indicate nelle Bcr Osram sono riconducibili rispettivamente a quella di "titolare" di cui all´art. 4, comma 1, lett. f) del Codice e a quella di "responsabile" di cui all´art. 4, comma 1, lett. g) del Codice (v. nota della società del 12 gennaio 2015, punto (b));

- il trattamento dei dati personali sarà effettuato in conformità ai principi in materia di protezione dei dati personali; ciò con particolare riferimento a quelli sopra richiamati (v. nota della società del 12 gennaio 2015, punto (c));

- con riguardo a quanto stabilito nelle "Linee Guida" in materia di "Sicurezza", ha preso atto di quanto prescritto dall´Autorità nel provvedimento del 1° marzo 2007 recante guida del Garante per posta elettronica e internet", impegnandosi al rispetto delle medesime (v. nota della società del 12 gennaio 2015, punto (d));

CONSIDERATO che l´art. 44, comma 1, lett. a) del Codice riconosce espressamente il potere del Garante di autorizzare un trasferimento di dati personali verso paesi terzi anche nel caso in cui tale trasferimento sia posto in essere tramite regole di condotta, esistenti nell´ambito di società appartenenti ad un medesimo gruppo, che presentino adeguate garanzie per i diritti dell´interessato, quali le Bcr Osram;

VISTO altresì che, in virtù di tale previsione normativa, le predette regole di condotta costituiscono un fatto astrattamente idoneo a produrre effetti giuridicamente vincolanti nell´ordinamento giuridico nazionale, ai sensi dell´art. 1173 cod. civ.;

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Osram S.p.A. (con sede in Milano) a trasferire, nell´ambito del gruppo Osram, i dati personali relativi al personale dipendente, ai clienti e ai fornitori, e ai c.d. "altri interessati" dal territorio dello Stato verso i soggetti facenti parte del Gruppo Osram aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Osram e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 2 aprile 2015

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia