g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Autorizzazione trasferimento dati estero
  4. Bcr
  5. Autorizzazione al trasferimento di dati personali nell'ambito del Gruppo Motorola Mobility secondo le modalità fissate nelle Bcr - 9 marzo 2017 [6341672]

Autorizzazione al trasferimento di dati personali nell'ambito del Gruppo Motorola Mobility secondo le modalità fissate nelle Bcr - 9 marzo 2017 [6341672]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 6341672]

Autorizzazione al trasferimento di dati personali nell´ambito del Gruppo Motorola Mobility secondo le modalità fissate nelle Bcr - 9 marzo 2017

Registro dei provvedimenti
n. 129 del 9 marzo 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nell´Application form, di cui al WP 133 del 10 gennaio 2007, presentata da Motorola Mobility UK Ltd − società del gruppo Motorola Mobility operante in qualità di fornitore di dispositivi mobili (la cui capogruppo, Motorola Mobility Inc., ha sede negli Stati Uniti d´America) − dinanzi all´Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner´s Office, di seguito "ICO"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta, pervenuta al Garante in data 13 ottobre 2011, è stata presentata da Motorola Mobility UK Ltd (società con sede nel Regno Unito di Gran Bretagna e Irlanda del Nord), in quanto società del gruppo cui è stata delegata per l´area SEE la responsabilità in materia di protezione dei dati personali, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Motorola Mobility", dei dati personali relativi al personale dipendente, ai consumatori e ai fornitori (v. Application form - WP 133, Parte II, par. 7);

PRESO ATTO che le Bcr Motorola Mobilty consistono in un contratto infragruppo, "Accordo Infra-gruppo", sottoscritto da Motorola Mobility UK Ltd, le società del gruppo Motorola Mobility con sede nell´area SEE (c.d. "Entità SEE") e le società del gruppo Motorola Mobility con sede fuori dall´area SEE (c.d. "Entità non-SEE"), contenente: l´Allegato 1 – "Entità SEE"; l´Allegato 2 – "Entità non-SEE"; l´Allegato 3 – "Norme sulla privacy vincolanti" e l´Allegato 4 – "Atto di adesione";

CONSIDERATO che, con l´"Accordo Infra-gruppo", Motorola Mobility UK Ltd, le "Entità SEE" e le "Entità non-SEE" "accettano di essere vincolate e di conformarsi pienamente alle disposizioni delle Bcr" (v. "Accordo Infra-gruppo", art. 1. 1), ivi comprese le clausole di responsabilità e del terzo beneficiario (v. "Accordo Infra-gruppo", art. 4; "Norme sulla privacy vincolanti", par. "Diritti delle terze parti beneficiarie", pag. 7);

VISTO, inoltre, che, al fine di rendere vincolanti le Bcr Motorola Mobility nei confronti di nuovi soggetti aderenti, la capogruppo ha previsto un sistema di adesione progressiva alle clausole contenute nell´"Accordo Infra-gruppo", mediante la sottoscrizione dell´"Atto di adesione" da parte della società aderente e di Motorola Mobility UK Ltd, cui è stato attribuito specifico mandato a stipulare l´"Atto di adesione" medesimo in nome e per conto delle Entità SEE e delle Entità non–SEE (v. "Accordo Infra-gruppo", art. 3; "Atto di adesione, art. 2.1);

PRESO ATTO che Motorola Mobility UK Ltd, le "Entità SEE" e le "Entità non-SEE" si sono impegnate, inoltre, a pubblicare sul sito internet e sul portale interno del gruppo Motorola Mobility le "Norme sulla privacy vincolanti" (cfr. "Norme sulla privacy vincolanti", par. "Pubblicazione delle norme", pag. 3);

RILEVATO che l´ICO, in data 12 ottobre 2012, all´esito della procedura concernente le Bcr Motorola Mobility, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati, e ha rilasciato la relativa autorizzazione il 7 agosto 2013;

CONSIDERATO che il Garante, in data 17 dicembre 2012, ha rappresentato all´ICO che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 17 dicembre 2012);

VISTA l´istanza dell´8 marzo 2016, con cui Motorola Mobility Italia S.r.l., (con sede  in Milano), ai sensi dell´art. 44, comma 1, lett. a) del Codice, ha chiesto il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi a: il personale dipendente (ivi compresi gli ex dipendenti, i candidati all´assunzione, gli appaltatori, i familiari e le persone a carico) per finalità amministrativo-contabili (inclusa la gestione interna dei contatti); i clienti (ivi compresi gli ex clienti e i clienti potenziali) e i fornitori per finalità di gestione delle relazioni con gli stessi (cfr. istanza di autorizzazione datata 8 marzo 2016), dal territorio dello Stato verso paesi terzi mediante le Bcr Motorola Mobility;

VISTE le richieste di informazioni avanzate dal Garante in data 10 maggio e 21 luglio 2016 nei confronti della menzionata società, volte ad ottenere specifici chiarimenti in particolare con riferimento alle categorie di interessati e alle relative finalità oggetto delle operazioni di trasferimento (v. nota del Garante del 10 maggio 2016, punti (a) e (b)), ai diritti dell´interessato (v. nota del Garante del 21 luglio 2016, punto (b)) e ai trasferimenti di dati personali verso soggetti esterni al gruppo d´impresa (v. nota del Garante del 21 luglio 2016, punto (c));

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 24 giugno e del 27 settembre 2016, ha espressamente dichiarato che:

- con riferimento alle categorie di interessati e alle relative finalità oggetto dei trasferimenti di cui alla presente autorizzazione, esse sono esplicitate in un documento definito "Descrizione dei trasferimenti dei dati" (v. nota della società del 24 giugno 2016, lett. (b) e Tabella allegata); in merito, quanto ai trasferimenti dei dati dei clienti inerenti "la famiglia, lo stile di vita e le condizioni sociali" (v. Application form – Wp 133, Parte I, par. 2, Parte II, par. 7), essi riguardano dati personali dei consumatori posti in essere dalla società al solo fine di "fornire i servizi richiesti dal consumatore quali la manutenzione dei calendari personali e delle rubriche dei telefoni cellulari" (v. nota della società del 24 giugno 2016, lett. (a));

- relativamente ai diritti dell´interessato e, in particolare, ai diritti di cancellazione, blocco (art. 7, comma 3, lett. b) del Codice) e opposizione al trattamento per motivi legittimi (art. 7, comma 4, lett. a) del Codice), non espressamente previsti all´interno delle "Norme sulla privacy vincolanti", nonché alle limitazioni al diritto di accesso ivi previste (v. "Norme sulla privacy vincolanti", par. "Diritti di accesso", pag. 3-4), la società  "si conformerà alla normativa italiana" (v. nota della società del 27 settembre 2016, punto (b));

- in merito alle restrizioni in materia di trasferimenti extra-gruppo, considerato che "quando raccoglie e utilizza informazioni personali, Motorola Mobility deve attenersi alle normative interne applicabili", eventuali trasferimenti di dati personali verso soggetti esterni al gruppo situati in paesi terzi saranno posti in essere in adempimento a quanto previsto dagli artt. 43-45 del Codice (v. nota della società del 27 settembre 2016, punto (c));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Motorola Mobility Italia S.r.l. a trasferire, nell´ambito del gruppo Motorola Mobility, i dati personali relativi a: il personale dipendente (ivi compresi gli ex dipendenti, i candidati all´assunzione, gli appaltatori, i familiari e le persone a carico), i clienti (ivi compresi gli ex clienti e i clienti potenziali) e i fornitori, dal territorio dello Stato verso i soggetti facenti parte del gruppo Motorola Mobility aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Motorola Mobility e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 9 marzo 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
6341672
Data
09/03/17

Argomenti

Imprese Trasferimento dati all'estero

Tipologie

Bcr

Vedi anche (9)