g-docweb-display Portlet

Autorizzazione al trasferimento di dati personali nell'ambito del gruppo BMC secondo le modalità fissate nelle Bcr - 1 dicembre 2016 [5860749]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 5860749]

Autorizzazione al trasferimento di dati personali nell´ambito del gruppo BMC secondo le modalità fissate nelle Bcr - 1 dicembre 2016

Registro dei provvedimenti
n. 504 del 1 dicembre 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea, ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d. "Application form") da BMC Software France S.A.S. −società del  gruppo BMC Software (di seguito               "Gruppo BMC") operante nel settore della fornitura di software per la gestione dei sistemi informativi (la cui capogruppo, BMC Software Inc., ha sede negli Stati Uniti d´America)−, dinanzi all´Autorità francese di protezione dei dati personali (Commission nationale de l´informatique et des libertés, di seguito "CNIL"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da BMC Software France S.A.S., cui è stata delegata da BMC la responsabilità in materia di protezione dei dati personali,  in nome e per conto della capogruppo BMC Software Inc. e di tutte le consociate dirette e indirette controllate dalla capogruppo (c.d. "Group Members"), ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr BMC", dei dati personali −rispetto ai quali i Group Members agiscono in qualità di "data controller" (cfr. in tal senso Parte II, Sezione IV dell´Application form)− relativi al personale dipendente, alla clientela, ai fornitori e altri business partners per il perseguimento delle finalità indicate nell´Application Form (Parte 2, Sezione VII);

PRESO ATTO che le suddette Bcr (di seguito "Bcr BMC for Controller" o "Policy", cfr., al riguardo, quanto indicato nella Parte I delle Bcr BMC) consistono in specifiche regole di condotta                     −contenute nella Policy denominata "The Controller and Processor Data Protection Binding Corporate Rules of BMC Software" (di seguito "Bcr BMC")− comprensive delle seguenti parti: l´"Introduzione"; la "Parte 1 – Contesto normativo e azioni"; la "Parte 2 – BMC in qualità di titolare del trattamento"; la "Parte 4 – Allegati"; quest´ultima recante nel dettaglio: l´"Allegato 1 – Procedura di richiesta di accesso da parte dell´interessato", l´"Allegato 2 – Struttura per la compliance", l´"Allegato 3 – Requisiti di formazione sulla privacy", l´"Allegato 4 – Protocollo di auditing", l´"Allegato 5 – Procedura di gestione dei reclami", l´"Allegato 6 – Procedura di cooperazione" e l´"Allegato 7 – Procedura di aggiornamento";

VISTO altresì l´"Accordo interno al Gruppo" (di seguito "IGA") che vincola l´intero Gruppo e si applica a tutti i Group Members che lo abbiano sottoscritto o che vi aderiscono successivamente mediante il c.d. "Atto di adesione" (così Parte II, Sezione IV dell´Application form);

PRESO ATTO, in particolare, che, in virtù della sottoscrizione del suddetto IGA (o dell´Atto di adesione), i Group Members si obbligano espressamente e reciprocamente a "rispettare i vincoli" e "ad adempiere pienamente a tutte le disposizioni della Policy", ivi comprese le clausole di responsabilità e del terzo beneficiario, nonché a "garantire che i dipendenti di BMC rispettino i vincoli, siano consapevoli e rispettino i loro obblighi nei confronti della Policy" (v. Parte II, Sezione IV dell´Application form e clausola "Accettazione dei termini vincolanti della Policy" dell´IGA);

RILEVATO altresì che il Gruppo BMC ha adottato anche il "BMC Code of Conduct" (c.d. "Code"), in cui è contenuto un esplicito richiamo alle Bcr BMC e all´obbligo di rispettarle, e che lo stesso si applica a tutti i Group Members e in particolare ai loro dipendenti (v. par. 3.3.5 del Code e Parte II, Sezione IV dell´Application form);

VISTO che i Group Members sono tenuti, nell´ambito di un più ampio programma di controlli, ad effettuare opportune verifiche in ordine al rispetto delle Bcr BMC (v. Norme 10 e 12 della Parte II, Sezione B delle Bcr BMC for Controller e Parte 2, Sezione V, Application form) e che in caso di mancata osservanza delle Bcr sono previste sanzioni disciplinari nei confronti del personale dipendente, ciò anche in virtù dell´inclusione delle stesse nel Code (v. Norma 11 della Parte II, Sezione B e Allegato 3 delle Bcr BMC for Controller, clausola "Accettazione dei termini vincolanti della Policy" dell´IGA e Parte 2, Sezione IV, dell´Application form);

PRESO ATTO inoltre che le Bcr BMC for Controller, comprensive al loro interno della clausola del terzo beneficiario di cui alla Sezione C  "Diritti dei terzi beneficiari", della Parte II e alla clausola "Responsabilità limitata" dell´IGA, saranno rese disponibili sul sito Internet del Gruppo, come previsto nell´"Introduzione" delle suddette Bcr, e che è espressamente riconosciuto il diritto degli interessati di "ottenere copia della Policy e dell´accordo interno al gruppo formalizzato da BMC in relazione alla Policy" (cfr. Sezione C  della Parte II delle Bcr BMC for Controller);

RILEVATO che la CNIL, in data 18 marzo 2015, all´esito della procedura concernente le Bcr BMC for Controller, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante, in data 9 aprile 2015, ha rappresentato alla CNIL che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 9 aprile 2015);

VISTA l´istanza del 21 dicembre 2015 presentata, ai sensi dell´art. 44, comma 1, lett. a) del Codice, da BMC Software S.r.l (con sede in Milano), volta ad ottenere il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi ai "dipendenti, clienti, rivenditori, fornitori, fornitori di servizi e altre terze parti, passati, attuali e potenziali" posto in essere per "l´espletamento delle attività commerciali di BMC e la gestione del personale" (cfr. "Introduzione" delle Bcr BMC for Controller);

VISTE le richieste di informazioni avanzate dal Garante in data 26 aprile e 7 luglio 2016  nei confronti della menzionata società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- le categorie di interessati e le relative finalità oggetto delle operazioni di trasferimento di cui alla presente autorizzazione (v. nota del Garante del 26 aprile 2016);

- l´interpretazione e l´applicazione delle Bcr BMC for Controller in conformità ai principi in materia di protezione dei dati personali previsti nel d. lg. 196/2003, concernenti: le "modalità del trattamento e requisiti dei dati" (art. 11), ciò con particolare riferimento al principio di finalità in base al quale, tra l´altro, i dati personali possono essere utilizzati in altre operazioni del trattamento purché in termini compatibili con gli originari scopi della raccolta (art. 11, comma 1, lett. b)); l´"informativa" (art. 13), soprattutto in ordine ai casi in cui essa non è dovuta o può essere fornita con modalità semplificate; il "diritto di accesso ai dati personali e altri diritti" (artt. 7–10), ciò anche con specifico riguardo alla previsione di cui al punto 4.1.2 dell´Allegato 1 recante  la "Procedura di richiesta di accesso da parte dell´interessato"; "la definizione dei profili e della personalità dell´interessato" (art. 14); il "consenso al trattamento" (artt. 23 e 24), il "trattamento dei dati sensibili" (art. 26) e i "trasferimenti all´estero" di dati personali nei confronti di soggetti esterni al Gruppo (artt. 42 e ss.) (v. nota del Garante del 7 luglio 2016);

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 24 maggio, 5 agosto e 19 settembre 2016 ha espressamente dichiarato che:

- le categorie di interessati e le relative finalità oggetto delle operazioni di trasferimento di cui alla presente autorizzazione ricomprendono: a) il "personale dipendente" (ivi compresi  le parti di un contratto di apprendistato, di lavoro intermittente a chiamata, di lavoro occasionale ovvero prestatori di lavoro nell´ambito di un contratto di somministrazione o in rapporto di tirocinio, gli ex dipendenti e i candidati all´assunzione) per finalità di gestione del rapporto di lavoro e amministrativo-contabili, nonché per "far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalla legge, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi" e per "garantire le pari opportunità nel lavoro, […] e la salvaguardia della vita o dell´incolumità fisica", ma anche ai fini "dell´esercizio del diritto di accesso ai documenti amministrativi, nel rispetto di quanto stabilito dalle leggi e dai regolamenti in materia" e "degli adempimenti degli obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di igiene e di sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell´esercizio dell´attività lavorativa e professionale"; b) i "clienti e rivenditori" per la gestione dei rapporti contrattuali e precontrattuali e nell´ambito dell´espletamento delle attività amministrativo-contabili, nonché di quelle di informativa e di marketing; c) i "fornitori (anche di servizi)" e "altre terze parti" (in quest´ultima categoria debbono intendersi ricompresi i consulenti, i liberi professionisti, gli incaricati, i rappresentanti, i mandatari, i partners commerciali e gli appaltatori) ai fini della gestione dei rapporti contrattuali e precontrattuali e nell´ambito dell´espletamento delle attività amministrativo-contabili (v. nota della società del 24 maggio 2015);

- il trattamento dei dati personali sarà effettuato in conformità ai principi in materia di protezione dei dati personali individuati nel Codice; ciò con particolare riferimento a quelli sopra richiamati (v. note della società del 5 agosto e 19 settembre 2016);

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza BMC Software S.r.l. a trasferire, nell´ambito del Gruppo BMC, i dati personali relativi al "personale dipendente", ai "clienti e rivenditori", ai "fornitori (anche di servizi)" e alle "altre terze parti" come sopra individuate, dal territorio dello Stato verso i soggetti facenti parte del Gruppo BMC aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr BMC for Controller e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma,  1° dicembre 2016

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia