g-docweb-display Portlet

Autorizzazione al trasferimento dei dati mediante BCR nell’ambito del Gruppo GE - 22 ottobre 2015 [4589496]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 4589496]

Autorizzazione al trasferimento dei dati mediante BCR nell´ambito del Gruppo GE - 22 ottobre 2015

Registro dei provvedimenti
n. 551 del 22 ottobre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali;

VISTO, in particolare, l´art. 44, comma 1, lett. a), del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa" di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d. "Application form") presentata da GE International Incorporation – società facente parte di "General Electric", gruppo operante nel settore della tecnologia, della finanza, del manifatturiero e dei media (di seguito "Gruppo GE") –, dinanzi all´Autorità francese di protezione dei dati personali (Commission nationale de l´informatique et des libertés, di seguito "CNIL"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che il Garante ha partecipato alla suddetta procedura europea in qualità di co-lead Authority (v. comunicazione del 4 aprile 2012);

RILEVATO che tale richiesta, pervenuta al Garante in data 10 aprile 2012, è stata presentata da GE International Incorporation anche in nome e per conto di tutte le c.d. "Entità GE", ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr GE", dei dati personali relativi al personale dipendente, ai clienti e ai fornitori per le finalità indicate nel dettaglio nell´Application Form (Parte 2, Sezione VII);

VISTO che le Bcr GE consistono in specifiche regole di condotta contenute nell´"Impegno di GE per la protezione delle informazioni personali" (di seguito "l´Impegno");

CONSIDERATO che tale Privacy Policy contiene l´impegno della società capogruppo General Electric Company (di seguito "GE") "affinchè tutte le Entità GE  […] siano vincolate dal [suddetto] Impegno" e siano pertanto tenute all´osservanza dei principi contenuti nelle Bcr GE, ivi comprese le clausole di responsabilità e del terzo beneficiario (v. "Impegno di GE per la protezione delle informazioni personali", paragrafi I, IV e VI; cfr., in tal senso, anche l´"Introduzione all´Impegno di GE per la protezione delle informazioni personali");

PRESO ATTO che tale impegno acquista efficacia vincolante per le "Entità GE" a seguito dell´approvazione dell´"Impegno di GE per la protezione delle informazioni personali" da parte del "Policy Compliance and Review Board" di General Electric Company (di seguito "PCRB"), nonché dell´incorporazione, in virtù della suddetta approvazione, di tale Privacy Policy nel Codice di Condotta GE denominato "Integrità: lo Spirito e la Lettera del nostro impegno" che ricomprende tutte le politiche aziendali rilevanti del Gruppo GE (v. Estratto del verbale con cui il "PCBR" ha approvato, in data 3 luglio 2012, l´"Impegno" e Application Form, Parte 2, Sezione IV);

TENUTO CONTO, altresì, che "Impegno di GE per la protezione delle informazioni personali", è vincolante per i dipendenti in virtù dell´impegno assunto dagli stessi mediante la sottoscrizione del contratto di lavoro o di una separata conferma di riconoscimento delle politiche aziendali rilevanti del Gruppo GE contenute nel suddetto Codice di Condotta GE e che, in caso di mancata osservanza del medesimo sono previste specifiche sanzioni disciplinari nei confronti del personale dipendente (v. Application form, Parte 2, sezione IV);

VISTO, inoltre, che il Gruppo GE è tenuto periodicamente a porre in essere valutazioni di impatto in materia di protezione dei dati e ad effettuare opportune verifiche in ordine al rispetto delle Bcr GE da parte delle "Entità GE" (v. Application form, Parte 2, Sezione V e "l´Impegno" par. VI);

PRESO ATTO che l´"Impegno di GE per la protezione delle informazioni personali" "verrà comunicato a livello globale ai dipendenti e ai dirigenti GE e sarà reso pubblicamente disponibile in diverse lingue sui siti Web" del Gruppo GE (v. "l´Impegno" paragrafi I e II);

CONSIDERATO che il Garante in data 23 maggio 2012, a fronte dell´esame del final draft condotto in qualità di co-lead Authority, si è riservato di valutare, in sede di rilascio della relativa autorizzazione nazionale, i profili di compatibilità della clausola di responsabilità e del terzo beneficiario con l´ordinamento italiano ai fini del rispetto del principio di efficacia vincolante delle Bcr sancito dai documenti del Gruppo ex art. 29 (cfr. nota del 23 maggio 2012);

RILEVATO che la CNIL, in data 20 settembre 2012, all´esito della procedura concernente le Bcr GE, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

VISTA l´istanza del 13 maggio 2015, presentata ai sensi dell´art. 44, comma 1, lett. a) del Codice, da "General Electric International Inc., Filiale Italiana" (con sede in Milano) anche in nome e per conto di "GE Capital Services S.r.l." (con sede in Roma); "GE Measurement & Control Solutions Italia S.r.l." (con sede in Milano); "GE Aviation System Limited, Filiale Italiana" (con sede in Pisa); "GE Power Conversion Italy S.r.l." (con sede in Firenze); "GE Avio S.r.l." (con sede in Rivalta di Torino); "GettiSpeciali S.r.l." (con sede in Torino); "GE Capital Interbanca S.p.A." (con sede in Milano); "Dresser Italia S.r.l." (con sede in Napoli); "GE Italia Holding S.p.A." (con sede in Firenze); "Nuovo Pignone S.p.A." (con sede in Firenze); "GE Power Controls Italia S.r.l." (con sede in Agrate Brianza); "GE Lighting S.r.l." (con sede in Agrate Brianza); "GE Transportation System S.p.A." (con sede in Firenze); "Nuovo Pignone S.r.l." (con sede in Firenze); "GE Medical Systems Italia S.p.A." (con sede in Milano); "GE Healthcare S.r.l." (con sede in Milano); "GE Healthcare Europe GmbH, Filiale Italiana" (con sede in Milano); "GE Oil & Gas HSR Systems S.r.l." (con sede in Firenze); "Jenbacher S.r.l." (con sede in Verona); "GE Water & Process Technologies Italy S.p.A." (con sede in Milano); "Italba Services S.r.l." (con sede in Milano); "GE Capital Finance S.r.l." (con sede in Milano); "GE Capital Servizi Finanziari S.p.A." (con sede in Mondovì); "GE Capital Funding Services S.r.l." (con sede in Milano), volta ad ottenere il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dal territorio dello Stato verso paesi terzi mediante le Bcr GE dei dati personali relativi ai dipendenti "raccolti nel contesto del rapporto di lavoro con GE"; dei dati personali dei clienti "ottenuti in dipendenza delle relazioni di clienti effettivi o potenziali con il Gruppo" e di quelli relativi ai fornitori "raccolti nell´ambito dei rapporti di fornitura instaurati con GE";

VISTE la richiesta di informazioni avanzata dal Garante in data 23 giugno 2015 nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- le specifiche finalità perseguite con il trasferimento dei dati e i soggetti che, in qualità di interessati, sono coinvolti nel medesimo (v. nota del 23 giugno 2015, punto (a));

- l´interpretazione e l´applicazione delle Bcr GE in conformità ai principi in materia di protezione dei dati personali previsti nel d. lg. 196/2003, concernenti: le "modalità del trattamento e requisiti dei dati" (art. 11); il "diritto di accesso ai dati personali e altri diritti" (artt. 7 – 10); l´"informativa" (art. 13); i "criteri di legittimità del trattamento" (artt. 23 e 24); "il trattamento dei dati sensibili" (art. 26) e i "trasferimenti all´estero di dati personali nei confronti di soggetti esterni al gruppo" (artt. 43 e ss.) (v. nota del 23 giugno 2015, punto (b));

-  sistema di responsabilità e i criteri di scelta della giurisdizione  (v. nota del 23 giugno 2015, punto (c));

CONSIDERATO che le società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con nota del 14 settembre 2015 hanno dichiarato che:

- con riferimento alle finalità dei trasferimenti e alle categorie dei soggetti interessati da tali trasferimenti, i dati oggetto della richiesta di autorizzazione si riferiscono a: a) il "personale dipendente" per finalità di "gestione delle risorse umane e del personale […], esecuzione e gestione dei processi aziendali […], sicurezza e prevenzione dei rischi […]"; b) i "clienti" per finalità di "gestione dei rapporti commerciali […], consegna di prodotti/servizi e/o adempimenti contrattuali […], comunicazioni in ambito di marketing […], svolgimento, valutazione e miglioramento delle attività aziendali di GE"; c) i "fornitori" per finalità di "gestione dei rapporti commerciali […], invito alla presentazione di offerte in relazione a beni/servizi ed esecuzione delle relative operazioni commerciali […], gestione dei processi aziendali e della catena di distribuzione di GE" (v. nota del 14 settembre 2015, punto (A));

- le Bcr GE saranno interpretate e applicate in conformità ai principi in materia di protezione dei dati personali previsti nel d.lg. 196/2003, concernenti: le "modalità del trattamento e requisiti dei dati" (art. 11); il "diritto di accesso ai dati personali e altri diritti" (artt. 7 – 10); l´"informativa" (art. 13); i "criteri di legittimità del trattamento" (artt. 23 e 24); "il trattamento dei dati sensibili" (art. 26) e i "trasferimenti all´estero di dati personali nei confronti di soggetti esterni al gruppo" (artt. 43 e ss.) (v. nota del 14 settembre 2015, punto (B));

- in ordine al regime della responsabilità e al criterio di scelta della giurisdizione (cfr. WP 74, paragrafi 3.3.1, 3.3.2, 5.5.1, 5.5.2 e 5.6; WP 153, paragrafi 1.3 e 1.4), il Gruppo GE ha adottato un sistema in ragione della struttura societaria del Gruppo che prevede che "GE o, ove opportuno o richiesto dalla legge applicabile, una società del Gruppo avente sede all´interno dell´Unione Europea, provvederà ad (i) assumere ogni responsabilità, (ii) adottare ogni necessaria azione di rimedio e (iii) se del caso, pagare, per i danni arrecati a persone in conseguenza di trattamenti di dati personali svolti dal Gruppo in violazione di legge o delle Bcr" e che "laddove la richiesta di risarcimento o l´azione instaurata si riferisca a presunte violazioni commesse da parte di una società del Gruppo che si trovi in un Paese diverso da quello dell´interessato, o della società del Gruppo che ha dato origine al trasferimento dei dati, l´interessato potrà in ogni momento richiedere l´intervento di quest´ultima" (v. nota del 14 settembre 2015, punto (C));

CONSIDERATO che l´art. 44, comma 1, lett. a) del Codice riconosce espressamente il potere del Garante di autorizzare un trasferimento di dati personali verso paesi terzi anche nel caso in cui tale trasferimento sia posto in essere tramite regole di condotta, esistenti nell´ambito del medesimo gruppo, che presentino adeguate garanzie per i diritti dell´interessato, quali le Bcr GE;

VISTO altresì che, in virtù di tale previsione normativa, le predette regole di condotta costituiscono un fatto astrattamente idoneo a produrre effetti giuridicamente vincolanti nell´ordinamento giuridico nazionale, ai sensi dell´art. 1173 cod. civ.;

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza General Electric International Inc., Filiale Italiana"; "GE Capital Services S.r.l."; "GE Measurement & Control Solutions Italia S.r.l."; "GE Aviation System Limited, Filiale Italiana"; "GE Power Conversion Italy S.r.l."; "GE Avio S.r.l."; "GettiSpeciali S.r.l."; "GE Capital Interbanca S.p.A."; "Dresser Italia S.r.l."; "GE Italia Holding S.p.A."; "Nuovo Pignone S.p.A."; "GE Power Controls Italia S.r.l."; "GE Lighting S.r.l."; "GE Transportation System S.p.A."; "Nuovo Pignone S.r.l."; "GE Medical Systems Italia S.p.A."; "GE Healthcare S.r.l."; "GE Healthcare Europe GmbH, Filiale Italiana"; "GE Oil & Gas HSR Systems S.r.l."; "Jenbacher S.r.l."; "GE Water & Process Technologies Italy S.p.A."; "Italba Services S.r.l."; "GE Capital Finance S.r.l."; "GE Capital Servizi Finanziari S.p.A."; "GE Capital Funding Services S.r.l." a trasferire, nell´ambito del Gruppo GE, i dati personali relativi al "personale dipendente", ai "clienti" e ai "fornitori" dal territorio dello Stato verso i soggetti facenti parte del Gruppo GE aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr GE e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 22 ottobre 2015

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
4589496
Data
22/10/15

Tipologie

Bcr