[doc. web n. 4797978]

Autorizzazione al trasferimento dei dati mediante BCR nell´ambito del nell´ambito del Gruppo ArcelorMittal - 18 febbraio 2016

Registro dei provvedimenti
n. 65 del 18 febbraio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea, ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d Application Form) presentata da ArcelorMittal SA –società capogruppo del Gruppo ArcelorMittal operante nel settore dell´acciaio (con sede in Lussemburgo) − dinanzi all´Autorità di protezione dei dati personali del Lussemburgo (Commission nationale pour la protection des données–Lussemburgo, di seguito "CNPD Lussemburgo"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da ArcelorMittal SA, quale società capogruppo del Gruppo ArcelorMittal in nome e per conto di tutte le società controllate, direttamente o indirettamente, dalla medesima (c.d. "Controllate ArcelorMittal"), ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr ArcelorMittal", dei dati personali relativi al personale dipendente, ai clienti, ai fornitori,  agli appaltatori e ai c.d. "local stakeholders", per il perseguimento delle finalità indicate nel dettaglio nell´Application Form (Parte 2, Sezione VII);

PRESO ATTO che le Bcr ArcelorMittal consistono in una "Policy", che è stata adottata dal Group Management Board di ArcelorMittal SA, denominata "ArcerlorMittal Procedura in materia di protezione dei dati" contenente: l´Allegato 1 – "Principi per il trattamento dei dati personali (elenco di controllo)", l´Allegato 2 – "Regole per la definizione di un nuovo Sistema informatico", l´Allegato 3 "Controlli di sicurezza IT di base ArcelorMittal", l´Allegato 4 – "Questionario sulla valutazione della sicurezza", l´Allegato 5 – "Clausola contrattuale standard ArcelorMittal per Incaricati del trattamento esterni", l´Allegato 6 – "Responsabili della protezione dei dati e ITCS", l´Allegato 7 – "Elenco di controllo per l´audit", l´Allegato 8 – "Descrizione dei trasferimenti", l´Allegato 9 – "Comitato per la protezione dei dati"; ed ulteriori cinque Appendici nelle quali è ricompreso anche l´"ArcelorMittal Data Protection Procedure – Signature Form" (di seguito "Modulo di sottoscrizione"), documento sottoscritto da ciascuna società del Gruppo;

CONSIDERATO che nella "Policy" è previsto l´impegno della capogruppo ArcelorMittal SA, cui "compete la responsabilità generale per l´implementazione della [suddetta] Procedura", e di tutte le "Controllate ArcelorMittal" ad agire in conformità alle Bcr ArcelorMittal e a garantire l´osservanza delle clausole di responsabilità e del terzo beneficiario con riferimento ai trasferimenti intra-gruppo verso paesi terzi dei dati personali di cui alla presente autorizzazione (v. paragrafi 1 e 8 "Policy");

CONSIDERATO altresì che, con il citato "Modulo di sottoscrizione", ciascuna società del Gruppo si è impegnata ad osservare la "Policy" adottata dalla capogruppo ArcelorMittal SA e denominata "ArcerlorMittal Procedura in materia di protezione dei dati";

RILEVATO che, in virtù dell´avvenuta sottoscrizione dei citati "Moduli di sottoscrizione" ciascuna "Controllata ArcelorMittal", nonché la capogruppo ArcelorMittal SA, si sono reciprocamente obbligate in via contrattuale ad agire in conformità alle Bcr ArcelorMittal e ad osservare le clausole in esse contenute (v. punti 1 e 3 "Modulo di sottoscrizione" e Parte 2, sezione IV Application Form);

PRESO ATTO inoltre che le Bcr ArcelorMittal saranno messe "a disposizione di ciascun Soggetto interessato", così come previsto nel paragrafo 5.2. della "Policy";

RILEVATO che la CNPD Lussemburgo, in data 7 gennaio 2013, all´esito della procedura concernente le Bcr ArcelorMittal, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati e ha rilasciato la relativa autorizzazione il 1° febbraio 2013;

CONSIDERATO che il Garante, in data 5 febbraio 2013, ha rappresentato alla CNPD Lussemburgo che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 5 febbraio 2013);

VISTA l´istanza del 22 dicembre 2014 presentata, ai sensi dell´art. 44, comma 1, lett. a) del Codice, da ArcelorMittal Italy Holding S.r.l. (con sede in Piombino), anche in nome e per conto di ArcelorMittal Piombino S.p.A. (con sede in Firenze), ArcelorMittal Distribution Solutions Italia S.r.l. (con sede in Milano), ArcelorMittal Logistics Italia S.r.l. (con sede in Milano), ArcelorMittal Commercial Italy S.r.l. (con sede in Milano), Taf Metal S.r.l. (con sede in Vazzola) ArcelorMittal Finanziaria S.r.l. (con sede in Piombino), Industeel Italia S.r.l. (con sede in Milano), volta ad ottenere il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi al personale dipendente, ai clienti, ai fornitori e agli appaltatori, posto in essere per il perseguimento delle finalità di "gestione del personale […], per l´esecuzione e la gestione dei processi aziendali […],  nell´ambito degli strumenti IT […],  per la  «corporate responsability» [e] nell´ambito della «salute e sicurezza»" (cfr. istanza di autorizzazione del 22 dicembre 2014, p. 4);

VISTE le richieste di informazioni avanzate dal Garante in data 6 marzo, 25 maggio, 6 agosto, 23 novembre 2015, e 27 gennaio 2016  nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- le categorie di interessati e le relative finalità oggetto delle operazioni di trasferimento di cui alla presente autorizzazione (v. note del Garante del 6 marzo 2015, del 25 maggio 2015, punto (a), del 23 novembre 2015 e del 27 gennaio 2016);

- le c.d. "Definizioni" di cui alla "Policy", con particolare riguardo alle nozioni di "Responsabile del trattamento dei dati" e "Incaricato del trattamento dei dati" ivi menzionate (v. nota del Garante del 25 maggio 2015, punto (b));

- il rispetto di alcuni principi in materia di protezione dei dati personali, con particolare riferimento a quelli concernenti: l´"informativa" (art. 13); il "diritto di accesso ai dati personali e altri diritti" (artt. 7–10); "la definizione dei profili e della personalità dell´interessato" (art. 14) e i "trasferimenti di dati verso Paesi terzi" (artt. 43 e ss.) (v. nota del Garante del 25 maggio 2015, punto (c));

- il sistema di responsabilità prescelto dal Gruppo e il connesso criterio della giurisdizione (v. nota del Garante del 6 agosto 2015, punto (b));

- l´efficacia vincolante delle Bcr ArcelorMittal (v. nota del Garante del 6 agosto 2015, punto (a) e del 27 gennaio 2016);

- il rispetto degli obblighi di trasparenza, di cui al punto 5.7 del WP 74 del Gruppo ex art. 29 (v. nota del Garante del 25 maggio 2015, punto (d));

- la previsione in materia di "Aggiornamento delle Bcr e gestione delle modifiche" (v. nota del Garante del 25 maggio 2015, punto (e));

CONSIDERATO che le società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 16 aprile, 22 giugno, 12 ottobre, 2 novembre e 18 dicembre 2015, e 2 febbraio 2016 hanno espressamente dichiarato che:

- con riferimento alle finalità dei trasferimenti e alle categorie dei soggetti interessati da tali trasferimenti, i dati oggetto della richiesta di autorizzazione si riferiscono a: il "personale dipendente" (che ricomprende oltre ai dipendenti, il personale in formazione, i lavoratori con contratto di somministrazione, i candidati, gli ex dipendenti, i pensionati) per adempiere a finalità di carattere amministrativo e contabile, nonché per la gestione del personale e del rapporto di lavoro e per porre in essere gli adempimenti derivanti dagli obblighi di legge; i "clienti", i "fornitori" e "gli "appaltatori" per adempiere a finalità di carattere amministrativo e contabile (in particolare quelle attinenti "la gestione di attività di vendita, attività di acquisto, gestione del patrimonio aziendale e rispetto degli obblighi di legge") (v. note delle società del 16 aprile 2015, del 18 dicembre 2015 e del 2 febbraio 2016);

- con riguardo al paragrafo contenente le c.d. "Definizioni" di cui alla "Policy", ai fini dell´interpretazione delle definizioni ivi contenute, debbono intendersi integralmente richiamate le definizioni in materia di protezione dei dati personali di cui all´art. 2 della direttiva n. 95/46/CE; inoltre le nozioni di "Responsabile del trattamento dei dati" e "Incaricato del trattamento dei dati" ivi indicate sono riconducibili rispettivamente a quella di "titolare" di cui all´art. 4, comma 1, lett. f) del Codice e a quella di "responsabile" di cui all´art. 4, comma 1, lett. g) del Codice (v. nota delle società del 22 giugno 2015, punto (b));

- il trattamento dei dati personali sarà effettuato in conformità ai principi in materia di protezione dei dati personali individuati nel Codice; ciò con particolare riferimento a quelli sopra richiamati (v. nota delle società del 22 giugno 2015, punto (c));

- in merito alla clausola di responsabilità e al criterio di scelta della giurisdizione (cfr. paragrafi 1.3. e 1.4 del WP 153 e i documenti ivi richiamati), il Gruppo ArcelorMittal ha adottato un sistema che prevede che tutte le "Controllate ArcelorMittal" "si assumono la responsabilità di eventuali violazioni delle Bcr" e, come stabilito nei paragrafi 7.4. e 8 della "Policy", che l´interessato ha la facoltà di agire innanzi "la giurisdizione dell´Esportatore di dati con sede nella UE" da cui ha avuto origine il trasferimento (v. nota delle società del 2 novembre 2015 e istanza di autorizzazione delle società del 22 dicembre 2014,  p. 4);

- in merito all´efficacia vincolante delle Bcr ArcelorMittal, la società capogruppo ArcelorMittal SA e le società hanno provveduto alla sottoscrizione dei modelli "ArcelorMittall Data Protection Procedure – Signature Form" e in virtù dell´avvenuta sottoscrizione di tali moduli si sono obbligate in via contrattuale ad agire in conformità alle Bcr e ad osservare le clausole in esse contenute (v. allegati alla nota del 22 giugno 2015 e nota del 2 febbraio 2016);

- con riguardo agli adempimenti in materia di obblighi di trasparenza, di cui al punto 5.7 del WP 74 del Gruppo ex art. 29, una copia delle Bcr ArcelorMittal è resa pubblica sia sul sito Internet di riferimento del Gruppo che all´interno della rete Intranet aziendale (v. nota delle società del 22 giugno 2015, punto (d));

- la previsione in materia di "Aggiornamento delle Bcr e gestione delle modifiche" è contenuta nel par. 7.2 della "Policy", e tale procedura sarà effettuata in conformità a quanto indicato al riguardo dal Gruppo ex art. 29 al punto 5.1 del WP 153 e ai documenti ivi richiamati (v. nota delle società del 22 giugno 2015, punto (e));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza ArcelorMittal Italy Holding S.r.l., ArcelorMittal Piombino S.p.A., ArcelorMittal Distribution Solutions Italia S.r.l., ArcelorMittal Logistics Italia S.r.l., ArcelorMittal Commercial Italy S.r.l., Taf Metal S.r.l., ArcelorMittal Finanziaria S.r.l., Industeel Italia S.r.l. a trasferire, nell´ambito del Gruppo ArcelorMittal, i dati personali relativi al "personale dipendente", ai "clienti", ai "fornitori" e agli "appaltatori", dal territorio dello Stato verso i soggetti facenti parte del Gruppo ArcelorMittal aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr ArcelorMittal e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 18 febbraio 2016

IL PRESIDENTE
Iannini

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia