[doc. web n. 4587199]

Autorizzazione al trasferimento dei dati mediante BCR nell´ambito del Gruppo Siemens - 5 novembre 2015

Registro dei provvedimenti
n. 575 del 5 novembre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea, ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d Application form) presentata da Siemens AG– società capogruppo del Gruppo Siemens operante nel settore dell´industria, dell´energia e della sanità (con sede in Germania) − dinanzi all´Autorità di protezione dei dati personali bavarese (Data Protection Authority of Bavaria for the Private Sector, di seguito "Bavarian DPA"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da Siemens GA, quale società capogruppo del Gruppo Siemens, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Siemens", dei dati personali relativi al personale dipendente, ai clienti, ai fornitori, agli azionisti e ai partner commerciali per il perseguimento delle finalità indicate nel dettaglio nell´Application Form (Parte 2, Sezione VII);

PRESO ATTO che le Bcr Siemens consistono in specifiche regole di condotta contenute nelle "Binding Corporate Rules (BCR) per le Società del Gruppo Siemens e altre Società aderenti per la protezione dei Dati personali" (di seguito "Bcr Siemens") comprensive delle seguenti appendici: l´"Allegato 1 – Dichiarazione di impegno per le Società del Gruppo"; l´"Allegato 2 – Accordo di adesione per altre Società aderenti"; l´"Allegato 3 – Elenco delle Società partecipanti"; l´"Allegato 4 – Gestione dei reclami relativi alle BCR ";

TENUTO CONTO che le Bcr Siemens sono state adottate dal Managing Board della capogruppo Siemens GA e successivamente condivise con tutte le società del Gruppo Siemens mediante la pubblicazione della c.d. "Siemens Corporate Circular" in forza della quale "le BCR si configurano come politica interna di Siemens e in quanto tali, fanno parte del Codice etico di Siemens" che stabilisce l´obbligo di osservanza da parte dei dipendenti e delle società del Gruppo di tutte le circolari e le politiche rilevanti del Gruppo (v. Application form, Parte II, sezione IV e artt. 7.1.1 e 7.1.2 "Bcr Siemens");

CONSIDERATO che le suddette Bcr contengono l´impegno della capogruppo Siemens GA e delle altre società del Gruppo ad osservare e rispettare i principi contenuti nelle Bcr Siemens, ivi comprese le clausole di responsabilità e del terzo beneficiario (v. art. 7.1. Bcr Siemens);

TENUTO CONTO che le Bcr Siemens acquistano efficacia vincolante per le singole "Società del Gruppo" (ossia società rispetto alle quali Siemens GA ha una partecipazione di maggioranza, cfr. in tal senso art. 3 "Bcr Siemens") in ragione della posizione di controllo rivestita da Siemens GA e a seguito dell´emissione, nei confronti della società capogruppo, della c.d. "Dichiarazione di impegno per le Società del Gruppo" (all. 1 "Bcr Siemens"); mentre per le "Società aderenti", (ossia "Società partecipanti", ma diverse dalle "Società del Gruppo", così art. 3 delle "Bcr Siemens"), considerato che rispetto ad esse la controllante o una collegata del Gruppo ha una partecipazione di minoranza è prevista, al fine di garantire la vincolatività delle predette Bcr, la conclusione del c.d. "Accordo di adesione per altre Società aderenti" con Siemens GA (all. 2 "Bcr Siemens");

RILEVATO che con riguardo, in particolare, alle società richiedenti, in quanto società controllate da Siemens GA, esse operano nel contesto del Gruppo in qualità di "Società del Gruppo" e che in tale veste sono dunque tenute a sottoscrivere, anche al fine di documentare l´accettazione e l´applicazione delle suddette Bcr da parte delle stesse, la "Dichiarazione di impegno per le società del Gruppo" (cfr. art. 7.1 "Bcr Siemens");

CONSIDERATO che con l´avvenuta sottoscrizione della suddetta dichiarazione da parte delle società istanti – sottoscrizione effettuata da parte di Siemens S.p.A., Siemens Transformers S.p.A., Trench Italia S.r.l. e Siemens Healthcare S.r.l. in data 30 luglio 2015, da parte di Siemens Industry Software S.r.l. e Siemens Postal, Parcel and Airport Logistics S.r.l. in data 28 luglio 2015, nonché da parte di Siemens Renting S.p.A. in Liquidazione in data 22 luglio 2015 –, le medesime si sono espressamente impegnate nei confronti di Siemens GA ad agire, in ordine ai trasferimenti intra-gruppo verso paesi terzi dei dati personali di cui alla presente autorizzazione, in conformità alle suddette regole di condotta e a garantire l´osservanza delle medesime; ciò con particolare riguardo alle clausole di responsabilità e del terzo beneficiario;

VISTO altresì che le società sono tenute, nell´ambito di un più ampio programma di controlli, ad effettuare opportune verifiche in ordine al rispetto delle Bcr Siemens (v. artt. 7.4 e 7.7 "Bcr Siemens") e che, in caso di mancata loro osservanza esse prevedono specifiche sanzioni disciplinari nei confronti del personale dipendente (v. art. 7.1.2 "Bcr Siemens");

PRESO ATTO inoltre che le Bcr Siemens, comprensive al loro interno della clausola del terzo beneficiario (art. 7.1.3), saranno pubblicate sul sito Internet del Gruppo Siemens, così come previsto nell´ art. 7.2 delle Bcr Siemens;

RILEVATO che la Bavarian DPA, in data 10 dicembre 2013, all´esito della procedura concernente le Bcr Siemens, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante, in data 23 dicembre 2013, ha rappresentato alla Bavarian DPA che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 23 dicembre 2013);

VISTA l´istanza del 25 novembre 2014 e la successiva comunicazione del 16 febbraio 2015, presentata, ai sensi dell´art. 44, comma 1, lett. a) del Codice, da Siemens S.p.A. (con sede in Milano), anche in nome e per conto di Siemens Transformers S.p.A. (con sede in Trento), Trench Italia S.r.l. (con sede in Cairo Montenotte), Siemens Industry Software S.r.l. (con sede in Milano), Siemens Postal, Parcel and Airport Logistics S.r.l. (con sede in Milano), Siemens Healthcare S.r.l. (già Siemens Healthcare Diagnostics S.r.l., con sede in Milano), Siemens Renting S.p.A. in Liquidazione (con sede in Milano), volta ad ottenere il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi al personale dipendente, ai clienti, ai fornitori, agli azionisti e ai partner commerciali posto in essere "nell´ambito degli ordinari scopi aziendali e per finalità amministrative interne" (v. art. 6 "Bcr Siemens");

VISTE le richieste di informazioni avanzate dal Garante in data 8 aprile, 6 luglio e 16 ottobre 2015 nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- le categorie di interessati e le relative finalità oggetto delle operazioni di trasferimento di cui alla presente autorizzazione, (v. note del Garante dell´8 aprile 2015, punto (b), del 6 luglio 2015 e del 16 ottobre 2015);

-  i presupposti e le finalità del trasferimento, e del connesso trattamento, dei dati degli interessati relativi alla "confessione religiosa", così come menzionati nell´art. 6 delle Bcr Siemens (v. nota del Garante dell´8 aprile 2015, punto (c));

- i "dati pseudo-anonimi" e la riconducibilità degli stessi alla nozione di "dato personale" di cui all´art. 2, par. 1, lett. a) della direttiva 95/46/CE (cfr. art. 4.4. Bcr Siemens) (v. nota del Garante dell´8 aprile 2015, punto (d));

- l´art. 3 delle Bcr Siemens contenente le definizioni in materia di protezione dei dati personali (v. nota del Garante dell´8 aprile 2015, punto (e));

- il rispetto di alcuni principi in materia di protezione dei dati personali, con particolare riferimento a quelli concernenti: l´"informativa" (art. 13), soprattutto in ordine ai casi in cui essa non è dovuta o può essere fornita con modalità semplificate; il "diritto di accesso ai dati personali e altri diritti" (artt. 7–10), ciò anche con specifico riguardo ai termini (di regola 15 gg) previsti dalla normativa nazionale ai fini della presentazione del ricorso al Garante (artt. 145 e ss.); il "trattamento dei dati sensibili" (art. 26); le "misure di sicurezza" (artt. 31 e ss.) e i "trasferimenti di dati verso Paesi terzi" (artt. 43 e ss.) (v. nota del Garante dell´8 aprile 2015, punto (g));

- le misure di "Sicurezza dei dati", così come individuate nell´art. 4.8 delle Bcr Siemens (v. nota del Garante dell´8 aprile 2015, punto (h));

- la previsione in materia di "Aggiornamento delle Bcr e gestione delle modifiche" di cui all´art. 7.8 delle Bcr Siemens (v. nota del Garante dell´8 aprile 2015, punto (i));

- l´art. 7.1.1 delle Bcr Siemens, nella parte contenente il riferimento al c.d. periodo di transizione (v. nota del Garante dell´8 aprile 2015, punto (f));

CONSIDERATO che le società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note dell´11 maggio, 31 luglio e 19 ottobre 2015 hanno espressamente dichiarato che:

- con riferimento alle finalità dei trasferimenti e alle categorie dei soggetti interessati da tali trasferimenti, i dati oggetto della richiesta di autorizzazione si riferiscono a: a) il "personale dipendente" (che ricomprende oltre ai dipendenti, i candidati, gli ex dipendenti, i pensionati, i collaboratori, le persone a carico ed altri familiari) "per adempiere a finalità di carattere amministrativo e contabile, nonché per permettere la gestione del rapporto di lavoro in tutti i suoi aspetti […] [e] per adempiere a finalità legate al processo di selezione"; b) i "clienti" (ove devono intendersi ricompresi anche i potenziali clienti) "per adempiere a finalità amministrativo contabili legate al rapporto contrattuale esistente o potenziale, nonché per attività di comunicazione e marketing"; c) i "fornitori" (nella cui categoria si intendono ricompresi anche i potenziali fornitori) "per adempiere a finalità amministrativo contabili legate al rapporto contrattuale esistente o potenziale, nonché per attività di comunicazione e marketing"; d) gli "azionisti" "per adempiere a finalità amministrative, per assolvere ad obblighi di reporting, per comunicazioni interne, anche in relazione alla cooperazione e coordinamento delle Società del gruppo" e) i c.d. "business partners" (da intendersi quali terze parti che collaborano per lo sviluppo del business e in cui rientrano anche le seguenti ulteriori figure: "giornalisti, terze parti e loro collaboratori coinvolti in attività di carve-In e carve-Out, dipendenti della pubblica amministrazione") "per adempiere a finalità amministrativo contabili legate al rapporto contrattuale esistente o potenziale, nonché per attività di comunicazione e marketing"(v. note delle società del 31 luglio 2015 e del 19 ottobre 2015);

- i dati degli interessati relativi alla "confessione religiosa" (art. 6 Bcr Siemens"), sono oggetto di trattamento per il perseguimento delle finalità previste dalla normativa vigente in materia di tutela della libertà religiosa nel rapporto di lavoro (v. nota delle società dell´11 maggio 2015, punto (c));

- i "dati pseudo-anonimi" sono riconducibili alla nozione di "dato personale" ai sensi dell´art. 2, par. 1, lett. a) della direttiva 95/46/CE e saranno oggetto di trattamento da parte delle società nel rispetto delle stesse Bcr Siemens (v. nota delle società dell´11 maggio 2015, punto (d));

- con riferimento all´art. 3 delle Bcr Siemens, ai fini dell´interpretazione delle definizioni ivi contenute, debbono intendersi integralmente richiamate le definizioni in materia di protezione dei dati personali di cui all´art. 2 della direttiva n. 95/46/CE (v. nota delle società dell´11 maggio 2015, punto (e));

- il trattamento dei dati personali sarà effettuato in conformità ai principi in materia di protezione dei dati personali; ciò con particolare riferimento a quelli sopra richiamati (v. nota delle società dell´11 maggio 2015, punto (g));

- con riguardo a quanto stabilito in materia di "Sicurezza dei dati", è stato preso atto delle guida del Garante per posta elettronica e internet", e le società si sono, al contempo, impegnate al rispetto delle medesime (v. nota delle società dell´11 maggio 2015, punto (h));

- l´"Aggiornamento delle Bcr e gestione delle modifiche" di cui all´art. 7.8 delle Bcr Siemens sarà effettuato in conformità a quanto indicato al riguardo dal Gruppo ex Art. 29 nei punti 4.2 del WP 74 e 5.1 del WP 153 (v. nota delle società dell´11 maggio 2015, punto (i));

- le operazioni di trasferimento di dati all´estero infragruppo poste in essere nel corso del c.d. periodo di transizione saranno effettuate "nel pieno rispetto delle vigenti norme che disciplinano il trasferimento dei dati all´estero" (v. nota delle società dell´11 maggio 2015, punto (f));

CONSIDERATO che l´art. 44, comma 1, lett. a) del Codice riconosce espressamente il potere del Garante di autorizzare un trasferimento di dati personali verso paesi terzi anche nel caso in cui tale trasferimento sia posto in essere tramite regole di condotta, esistenti nell´ambito di società appartenenti ad un medesimo gruppo, che presentino adeguate garanzie per i diritti dell´interessato, quali le Bcr Siemens;

VISTO altresì che, in virtù di tale previsione normativa, le predette regole di condotta costituiscono un fatto astrattamente idoneo a produrre effetti giuridicamente vincolanti nell´ordinamento giuridico nazionale, ai sensi dell´art. 1173 cod. civ.;

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Siemens S.p.A., Siemens Transformers S.p.A., Trench Italia S.r.l., Siemens Industry Software S.r.l., Siemens Postal, Parcel and Airport Logistics S.r.l., Siemens Healthcare S.r.l. (già Siemens Healthcare Diagnostics S.r.l.), Siemens Renting S.p.A. in Liquidazione, a trasferire, nell´ambito del Gruppo Siemens, i dati personali relativi al "personale dipendente", ai "clienti", ai "fornitori", agli "azionisti" e ai c.d. "business partners" dal territorio dello Stato verso i soggetti facenti parte del Gruppo Siemens aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Siemens e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 5 novembre 2015

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia