g-docweb-display Portlet

Autorizzazione al trasferimento dei dati mediante BCR da parte di GlaxoSmithKline S.p.A, GlaxoSmithKline Consumer Healthcare S.p.A. e GlaxoSmithKline Manufactoring S.p.A. - 13 maggio 2015 [4167370]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 4167370]

Autorizzazione al trasferimento dei dati mediante BCR da parte di GlaxoSmithKline S.p.A, GlaxoSmithKline Consumer Healthcare S.p.A. e GlaxoSmithKline Manufactoring S.p.A. - 13 maggio 2015

Registro dei provvedimenti
n. 290 del 13 maggio 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nell´Application form, di cui al WP 133, presentata da GlaxoSmithKline plc (con sede nel Regno Unito di Gran Bretagna e Irlanda del Nord) – società capogruppo del gruppo GlaxoSmithKline (di seguito "gruppo GSK") - operante nel settore farmaceutico, dinanzi all´Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner´s Office, di seguito "ICO"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta, pervenuta al Garante in data 8 dicembre 2011, è stata presentata da GlaxoSmithKline plc in nome e per conto di tutte le società controllate, direttamente o indirettamente, dalla medesima, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa, c.d. "Bcr GSK", dei dati personali relativi al personale dipendente per finalità amministrativo-contabili e ai "ricercatori esterni" e "soggetti di ricerca" per lo svolgimento di "attività di ricerca quali studi clinici interventistici e non interventistici" (v. application form - WP 133, Parte 1, par. 2 e Parte 2, par. 4);

PRESO ATTO che le Bcr GSK consistono in un contratto infragruppo, "Accordo infragruppo concernente le norme vincolanti d´impresa" (di seguito "Intra-group Agreement"), sottoscritto da GlaxoSmithKline plc e dalle altre entità del gruppo GSK definite "Affiliate vincolate", contenente: l´Allegato 1 – "Norme vincolanti d´impresa" (di cui sono parte integrante: la "Politica pubblica sulla tutela delle informazioni non anonime"–"Sintesi delle Norme vincolanti d´impresa"; "L´informativa globale sulla privacy" – "POL-GSK-010"; la "Privacy sulle informazioni non anonime utilizzate nelle attività di risorse umane", di seguito "Standard sulla Privacy di HR"; la "Privacy sulle informazioni non anonime utilizzate in Attività di Ricerca e Sviluppo Globale", di seguito "Standard sulla Privacy di Ricerca e Sviluppo"); l´Allegato 2 – "Modulo dell´Atto di Adesione"; l´Allegato 3 "Modulo della lettera di dimissioni"; l´Allegato 4 – "Modulo della notifica di Espulsione"; l´Allegato 5 – "Lista delle Affiliate vincolate";

CONSIDERATO che, con l´"Intra-group Agreement", GlaxoSmithKline plc e le "Affiliate vincolate" si impegnano al rispetto delle Norme vincolanti d´impresa, ivi comprese la clausola del terzo beneficiario e la clausola di responsabilità  (v. "Intra-Group Agreement", artt. 2, 4 e 5);

PRESO ATTO che GlaxoSmithKline plc. e le "Affiliate vincolate" si sono, inoltre, impegnate a pubblicare le Bcr GSK sui propri siti internet e sulla intranet aziendale (cfr. "Intra-Group Agreement", art. 4.2; "Sintesi delle Norme vincolanti d´impresa", p. 14);

RILEVATO che l´ICO, in data 2 aprile 2013 , all´esito della procedura concernente le Bcr GSK, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati, e ha rilasciato la relativa autorizzazione il 10 giugno 2013;

CONSIDERATO che il Garante, in data 24 aprile 2013, ha rappresentato all´ICO che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 24 aprile 2013);

VISTA l´istanza del 26 febbraio 2014, con cui GlaxoSmithKline S.p.A (con sede in Verona), GlaxoSmithKline Consumer Healthcare S.p.A. (con sede in Milano) e GlaxoSmithKline Manufactoring S.p.A. (con sede in Verona), ai sensi dell´art. 44, comma 1, lett. a) del Codice, hanno chiesto il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi a: il personale dipendente (ivi compresi gli ex dipendenti, i coniugi e le persone a carico), i "lavoratori aggiuntivi" (inclusi consulenti professionali, personale temporaneo, venditori e appaltatori di servizi, coniugi e personale a carico) per finalità amministrativo-contabili relative alla gestione delle risorse umane (v. "Standard sulla Privacy di HR", par. 5.1); i "ricercatori esterni" (ovvero medici o altri operatori esterni che partecipano o potrebbero partecipare ad attività di ricerca e sviluppo) e i "soggetti di ricerca" (ovvero candidati o partecipanti ad attività di ricerca o soggetti che assumono prodotti o ricevono trattamenti GSK nell´ambito delle attività di farmacovigilanza) per le finalità connesse allo svolgimento di attività di ricerca avviate, gestite, condotte o finanziate da GSK, nonché per le connesse attività di compliance (in particolare, monitoraggio delle sperimentazioni cliniche e segnalazione degli eventi avversi; v. "Standard sulla Privacy di Ricerca e Sviluppo"par. 5), dal territorio dello Stato verso paesi terzi mediante le Bcr GSK;

VISTE le richieste di informazioni avanzate dal Garante in data 15 maggio, 16 luglio e 30 ottobre 2014, nonché 22 gennaio 2015 nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- le finalità di "Ricerca e Sviluppo" di cui all´"Intra-group agreement", art. 1.1 (v. nota del Garante del 15 maggio 2014, punto (a));

- la conformità della clausola del terzo beneficiario rispetto a quanto previsto nei documenti WP 74 (punti 3.3.2 e 5.5.1) e WP 108 (punti 5.12 ss.) del Gruppo ex art. 29 (v. note del Garante del 15 maggio 2014, punto (b) e del 30 ottobre 2014);

- il sistema di responsabilità scelto dal Gruppo (v. nota del Garante del 15 maggio 2014, punto (c));

- il rispetto di alcuni principi in materia di protezione dei dati personali, ciò con particolare riferimento a quelli stabiliti in materia di esercizio dei diritti dell´interessato (artt. 7-10 del Codice), rilascio di idonea informativa (art. 13 del Codice), acquisizione del consenso (artt. 23-27 del Codice), nonché a quelli indicati dal Garante sullo specifico tema del trattamento di dati personali per lo svolgimento di attività di sperimentazione clinica di farmaci (v. note del Garante del 16 luglio 2014, punto (a) e del 22 gennaio 2015, punti (a), (b) e (c));

- l´obbligo, in caso di modifiche sostanziali alle Bcr, di comunicare le suddette modifiche alle Autorità di protezione dei dati personali interessate (v. nota del Garante del 22 gennaio 2015, punto (d));

- le indicazioni del Gruppo ex art. 29 in materia di conduzione periodica di audit al fine di verificare il rispetto delle Bcr (v. WP 153, punto 2.3) e relative alla creazione di un network di privacy officers che si occupi di monitorare il rispetto delle Bcr e di gestire le segnalazioni degli interessati (v. WP 153, punto 2.4) al fine di accertarne la relativa  previsione all´interno delle Bcr GSK da parte delle società richiedenti la presente autorizzazione (v. nota del Garante del 22 gennaio 2015, punto (e));

CONSIDERATO che le società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 9 giugno, 12 settembre e 28 novembre 2014, nonché 20 febbraio 2015 hanno espressamente dichiarato che:

- le finalità di "Ricerca e sviluppo" di cui all´ art. 1.1 dell´"Intra-group agreement", ricomprendono "studi clinici interventistici e non interventistici (…) studi epidemiologici, studi sulla sicurezza dei farmaci e studi di farmacovigilanza" (v. nota delle società del 9 giugno 2014, punto (a));

- in merito alla conformità della clausola del terzo beneficiario rispetto a quanto previsto nei documenti del Gruppo ex art. 29, nel caso in cui un "Affiliato Vincolato avente sede in un Paese non appartenente al SEE (Spazio Economico Europeo)" violi gli impegni assunti con l´"Intra-group agreement" (v. par. 2.1) il "Soggetto interessato nel SEE" può agire, anche per chiedere l´eventuale risarcimento del danno, nei confronti della Autorità di protezione di dati personali o di altra autorità (anche di natura giurisdizionale) nell´ambito della giurisdizione del "Soggetto addetto all´esecuzione" (ossia GlaxoSmithKline plc) o della giurisdizione SEE da cui i dati personali sono stati trasferiti (v. nota delle società del 9 giugno 2014, punto (b)). In ordine alla previsione con la quale si condiziona l´esercizio della clausola del terzo beneficiario al previo esperimento della procedura interna di risoluzione delle controversie prevista da GSK ("Intra-group agreement", art. 5.2; "Sintesi delle Norme vincolanti d´impresa di GSK", pp. 19-20), questa non è volta a limitare il diritto dell´interessato medesimo di adire, in caso di violazione delle suddette Bcr GSK, direttamente l´Autorità giudiziaria o quella amministrativa competente (v. nota delle società del 28 novembre 2014, punto (a));

- in ordine al sistema di responsabilità scelto dal Gruppo, con particolare riferimento al caso in cui  un "Affiliato vincolato" cessi di essere tale (v. "Intra-group agreement", art. 8.2-4), gli effetti di tale cessazione non pregiudicano la possibilità per i "Soggetti interessati nel SEE" di far valere i diritti di cui alla clausola del terzo beneficiario (WP 153, punti 1.3 e 1.4) con riferimento a violazioni delle Bcr GSK poste in essere dal suddetto "Affiliato vincolato" in epoca antecedente alla suindicata cessazione. (v. nota delle società del giugno 2014, punto (c));

- in merito al rispetto di alcuni principi in materia di protezione dei dati personali, si impegnano a conformarsi a quanto previsto nel d.lgs. n. 196/2003 con riguardo all´"Informativa" (art. 13 del Codice), al "Diritto di accesso ai dati personali e altri diritti" (artt. 7–10 del Codice) e al "Consenso dell´interessato" (artt. 23-27 del Codice), nonché a quanto stabilito dal Garante con il provvedimento del 24 luglio 2008 contenente le "Linee guida per i trattamenti di dati personali nell´ambito delle sperimentazioni cliniche di medicinali" - doc. web. 1533155 - (v. note delle società del 12 settembre 2014, punto (a) e del 20 febbraio 2015, punti (a), (b) e (c));

- in caso di modifiche sostanziali alle Bcr, l´obbligo di comunicare le suddette modifiche alle Autorità di protezione dei dati personali interessate (v. WP 74, par. 4.2; WP 153, par. 5.1), sarà adempiuto dalle società anche nei confronti del Garante, nonostante l´"Intra-group agreement" preveda tale obbligo di comunicazione esclusivamente con riguardo all´ICO (v. "Intra-group agreement", art. 2.5) (v. nota delle società del 20 febbraio 2015, punto (d));

- con riferimento alle previsioni del Gruppo ex art. 29 di cui al WP 153, punto 2.3 e punto 2.4, "il Gruppo [GSK] ha già provveduto ad istituire un programma di audit interno relativo alle Bcr del gruppo nonché un network di privacy officers responsabile di monitorare il rispetto delle Bcr e di gestire le segnalazioni degli interessati" (v. nota delle società del 20 febbraio 2015, punto (e));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza GlaxoSmithKline S.p.A, GlaxoSmithKline Consumer Healthcare S.p.A. e GlaxoSmithKline Manufactoring S.p.A. a trasferire i dati personali relativi al personale dipendente (ivi compresi gli ex dipendenti, i coniugi e le persone a carico), i "lavoratori aggiuntivi" (inclusi consulenti professionali, personale temporaneo, venditori e appaltatori di servizi, coniugi e personale a carico), i "ricercatori esterni" e i "soggetti di ricerca" dal territorio dello Stato verso i soggetti facenti parte del Gruppo GSK aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr GSK e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 13 maggio 2015

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia