- English version

[doc. web n. 9921218]

Provvedimento dell'8 giugno 2023

Registro dei provvedimenti
n. 243 dell'8 giugno 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);

VISTI in particolare gli articoli 46, par. 2, lett. b) e 47 del Regolamento che individuano le norme vincolanti d’impresa (di seguito “Bcr”) quali garanzie adeguate per i trasferimenti di dati personali verso paesi terzi alle condizioni ivi individuate;

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTI i documenti adottati dal Gruppo di lavoro istituito dall’art. 29 della direttiva 95/46/CE (di seguito “Gruppo ex art. 29”) di cui al WP 264 dell’11 aprile 2018, recante l’Application form volta all’approvazione delle norme vincolanti d’impresa per i titolari del trattamento, al WP 256 rev.01 del 6 febbraio 2018, che individua gli elementi e i principi da ricomprendere in queste ultime, nonché al WP 263 rev.01 dell’11 aprile 2018, concernente la procedura di cooperazione europea volta all’adozione delle stesse;

VISTA la sentenza della Corte di giustizia dell’Unione Europea del 16 luglio 2020, Data Protection Commissioner contro Facebook Ireland Limited e Maximillian Schrems (causa C-311/18);

VISTA la Raccomandazione n. 1/2020 relativa alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE adottata, dal Comitato europeo per la protezione dei dati (di seguito “Comitato”), il 18 giugno 2021;

RILEVATO che l’adozione e l’applicazione delle Bcr, predisposte ai sensi dell’art. 46 del Regolamento da un gruppo imprenditoriale o da un gruppo di imprese che svolge un’attività economica comune, forniscono ai titolari e ai responsabili del trattamento stabiliti nell’UE garanzie adeguate che si applicano in modo uniforme in tutti i paesi terzi, indipendentemente dal livello di protezione dei dati personali ivi previsto;

CONSIDERATO che, prima di porre in essere un trasferimento di dati personali sulla base delle suddette norme vincolanti d’impresa, ciascun membro del gruppo, in qualità di esportatore, è tenuto a verificare, caso per caso e, ove necessario, in collaborazione con l’importatore stabilito nel paese terzo di destinazione, che il livello di protezione richiesto dal diritto dell’UE sia garantito nel suddetto paese con riferimento allo specifico trasferimento effettuato, ivi compresi gli eventuali trasferimenti successivi (cfr. Raccomandazione n. 1/2020, cit., paragrafi 1-5);

RILEVATO che tale valutazione deve essere effettuata, tenuto conto delle caratteristiche dello specifico trasferimento posto in essere, al fine di verificare se la legislazione o le prassi del paese terzo applicabili non impediscano il rispetto, da parte dell’importatore e/o dell’esportatore, degli obblighi assunti mediante le Bcr (cfr. Raccomandazione n. 1/2020, cit., paragrafi 28-43);

TENUTO CONTO che, qualora all’esito di tale valutazione emergano le circostanze di cui sopra, l’esportatore, ove necessario in collaborazione con l’importatore, deve adottare misure supplementari che garantiscano, per i dati oggetto del trasferimento, un livello di protezione sostanzialmente equivalente a quello previsto dal Regolamento (cfr. Raccomandazione n. 1/2020, cit., paragrafi 50-57);

RILEVATO altresì che l’adozione e l’implementazione delle predette misure supplementari rientra nell’ambito delle responsabilità dell’esportatore, anche successivamente all’approvazione delle Bcr, e che pertanto tali misure non sono oggetto di valutazione della scrivente Autorità nell’ambito del procedimento di approvazione delle norme vincolanti d’impresa (cfr. Raccomandazione n. 1/2020, cit., paragrafi 1-7 e 48);

TENUTO CONTO che, in assenza di misure supplementari adeguate che siano necessarie ad assicurare un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto nell’UE, i dati personali non possono essere trasferiti in un paese terzo per il tramite delle Bcr; parimenti, ove l’esportatore venga a conoscenza di eventuali modifiche della legislazione pertinente di un paese terzo tali da compromettere il livello di protezione dei dati stabilito dal diritto dell’UE, lo stesso è tenuto a sospendere o a porre fine al trasferimento in questione (cfr. Raccomandazione n. 1/2020, cit., par. 57);

VISTA la richiesta di Vertiv S.r.l. per conto del gruppo Vertiv, presentata, ai sensi dell’art. 47 del Regolamento, il 29 gennaio 2019, volta all’approvazione delle norme vincolanti d’impresa per i titolari del trattamento aventi ad oggetto il trasferimento intra-gruppo di dati personali verso paesi terzi;

CONSIDERATO che l’articolo 47, par. 1, del Regolamento prevede che l’Autorità di controllo competente di cui all’art. 51 del Regolamento approvi le norme vincolanti d’impresa a condizione che soddisfino i requisiti ivi previsti, in conformità al meccanismo di coerenza di cui agli artt. 63 e 64 del Regolamento;

VISTO che, ai sensi dell’art. 2-bis del Codice, l’Autorità di controllo competente di cui sopra è, in ordine al procedimento in esame, il Garante per la protezione dei dati personali;

VISTA la procedura di cooperazione volta all’adozione delle Bcr che, in base a quanto previsto dal WP 263 rev.01, è condotta dall’Autorità di controllo competente (c.d. Bcr Lead) unitamente ad altre due Autorità, che agiscono in qualità di co-reviewer, al fine di predisporre un progetto di decisione condiviso da sottoporre al Comitato ai sensi dell’art. 64, par. 1, lett. f) del Regolamento;

PRESO ATTO che, in conformità alla procedura di cooperazione di cui sopra, l’istanza presentata dal gruppo Vertiv recante il testo di Bcr da quest’ultimo predisposto è stata esaminata dal Garante, in qualità di Bcr Lead, nonché dalle Autorità co-reviewer e, da ultimo, dalle Autorità di controllo partecipanti alla procedura di cooperazione europea;

VISTO che, all’esito del predetto esame, è stata rilevata la conformità delle Bcr Vertiv ai requisiti di cui all’articolo 47, par. 1, del Regolamento e al WP 256 rev.01 ed in particolare che le suddette Bcr:

sono giuridicamente vincolanti e prevedono l’obbligo per ogni membro del gruppo, ivi compresi i relativi dipendenti, di rispettare le Bcr sulla base della sottoscrizione di un accordo intra-gruppo (cfr. Bcr Vertiv, par. 4.1 e Annex II);

conferiscono espressamente agli interessati, in qualità di terzi beneficiari, diritti azionabili in relazione al trattamento dei dati personali che li riguardano effettuato nell’ambito delle Bcr (cfr. Bcr Vertiv, par. 4.2);

soddisfano i requisiti di cui all’art. 47, par. 2, del Regolamento prevedendo quanto di seguito indicato:

a) la struttura e i dati di contatto del gruppo di imprese e di ciascuno dei suoi membri sono riportati nel modulo di domanda di cui al WP 264 nonché nelle Bcr Vertiv, paragrafi 1 e 3.2 e Annex I;

b) i trasferimenti di dati o il complesso dei trasferimenti, comprese le categorie di dati personali, il tipo di trattamento e le relative finalità, le categorie di interessati cui si riferiscono i dati e l’identificazione del paese terzo o dei paesi in questione sono specificati nelle Bcr Vertiv, paragrafi 3.1 e 3.2;

c) la natura giuridicamente vincolante, sia interna che esterna, delle Bcr è indicata nelle Bcr Vertiv, par. 4;

d) l’applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione delle finalità, alla minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualità dei dati, alla protezione dei dati fin dalla progettazione e per impostazione predefinita, alla base giuridica per il trattamento, al trattamento di categorie particolari di dati; le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi a organismi che non sono vincolati dalle norme vincolanti d’impresa sono specificati nelle Bcr Vertiv, paragrafi 9, 10 e 10.1;

e) i diritti degli interessati in relazione al trattamento e i mezzi per esercitare tali diritti, compreso il diritto di non essere sottoposti a decisioni basate esclusivamente sul trattamento automatizzato, compresa la profilazione ai sensi dell’articolo 22 del Regolamento, il diritto di proporre reclamo all’Autorità di controllo competente e di ricorrere alle Autorità giurisdizionali competenti degli Stati membri in linea con l’art. 79 del Regolamento, nonché di ottenere riparazione e, se del caso, il risarcimento per violazione delle norme vincolanti d’impresa sono indicati nelle Bcr Vertiv, paragrafi 4.2 e 11;

f) l’assunzione di responsabilità, da parte del titolare o del responsabile del trattamento stabilito nel territorio di uno Stato membro, per qualunque violazione delle norme vincolanti d’impresa commesse dal membro del gruppo interessato non stabilito nell’Unione, nonché l’esonero da tale responsabilità, in tutto o in parte, solo se la parte interessata dimostra che l’evento dannoso non è imputabile al membro del gruppo in questione sono specificate nelle Bcr Vertiv, paragrafi 4.2 e 10.1;

g) le modalità in base alle quali sono fornite all’interessato le informazioni sulle norme vincolanti d’impresa, in particolare sulle disposizioni di cui all’articolo 47, paragrafo 2, lettere d), e) ed f) del Regolamento, in aggiunta alle informazioni di cui agli articoli 13 e 14 del Regolamento, sono specificate nelle Bcr Vertiv, paragrafi 5 e 9.1;

h) i compiti di ciascun responsabile della protezione dei dati designato ai sensi dell’art. 37 del Regolamento o di ogni altra persona o ente incaricati di monitorare il rispetto delle norme vincolanti d’impresa all’interno del gruppo, nonché nonché di monitorare la gestione dei reclami e la formazione del personale sono specificati nelle Bcr Vertiv, par. 6.1;

i)  le procedure di reclamo sono specificate nelle Bcr Vertiv, par. 6.3;

j) i meccanismi all’interno del gruppo per assicurare la verifica della conformità alle norme vincolanti d’impresa sono specificati nelle Bcr Vertiv, par. 6.4. Tali meccanismi includono audit in materia di protezione dei dati e metodi per assicurare misure correttive a garanzia dei diritti dell’interessato. I risultati di tale attività di monitoraggio sono comunicati alla persona o all’ente di cui alla lettera h) e al consiglio di amministrazione di Vertiv S.r.l. (quale società del gruppo stabilita in UE con responsabilità delegate di protezione dei dati). Gli stessi sono resi disponibili su richiesta all’Autorità di controllo competente;

k) i meccanismi per segnalare e registrare le modifiche delle norme vincolanti d’impresa e comunicarle all’Autorità di controllo sono specificati nelle Bcr Vertiv, par. 8;

l) il meccanismo di cooperazione con l’Autorità di controllo per garantire la conformità da parte di ogni membro del gruppo è specificato nelle Bcr Vertiv, par. 7. L’obbligo di mettere a disposizione dell’Autorità di controllo i risultati delle verifiche delle misure di cui alla lettera j) è specificato nelle Bcr Vertiv, par. 6.4;

m) i meccanismi per segnalare all’Autorità di controllo competente eventuali obblighi giuridici cui è soggetto un membro del gruppo in un paese terzo, ove questi possano avere effetti negativi sostanziali sulle garanzie previste dalle norme vincolanti d’impresa, sono descritti nelle Bcr Vertiv, par. 12;

n) infine, la previsione di un appropriato programma di formazione in materia di protezione dei dati per il personale che ha accesso permanente o regolare alle informazioni personali è contenuta nelle Bcr Vertiv, par. 6.2;

CONSIDERATO che la presente decisione non va intesa quale approvazione dei singoli specifici trasferimenti che saranno posti in essere sulla base delle Bcr, né, cconseguentemente, dei trasferimenti verso paesi terzi, elencati nelle Bcr, per i quali non possa essere assicurato un livello di protezione dei dati sostanzialmente equivalente a quello garantito nell’UE;

VISTO l’art. 46, par. 2 del Regolamento ai sensi del quale l’approvazione delle Bcr previste dall’art. 47 del Regolamento non richiede alcuna autorizzazione specifica da parte delle Autorità di controllo interessate;

TENUTO CONTO che, ai sensi dell’art. 58, paragrafo 2, lettera j) del Regolamento, ciascuna Autorità di controllo interessata ha il potere di ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo qualora non siano rispettate le garanzie adeguate previste dalle Bcr Vertiv;

VISTO il parere n 9/2023 reso dal Comitato in data 17 maggio 2023 conformemente all’articolo 64, par. 1, lett. f), del Regolamento e considerato che lo stesso è stato tenuto nella massima considerazione da parte del Garante;

PRESO ATTO che le Bcr Vertiv, in ragione di quanto complessivamente sopra rilevato, costituiscono, ai sensi dell’art. 46, paragrafi 1 e 2, lett. b) e dell’art. 47, paragrafi 1 e 2 del Regolamento, garanzie adeguate per il trasferimento intra-gruppo di dati personali verso paesi terzi, posto in essere dal gruppo Vertiv, secondo le modalità e per il perseguimento delle sole finalità ivi indicate, così come riportate nell’Allegato 1 alla presente decisione;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. s) e dell’art. 58, par. 3, lett. j) del Regolamento approva le norme vincolanti d’impresa per i titolari del trattamento predisposte dal gruppo Vertiv in quanto contengono garanzie adeguate ex artt. 46, paragrafi 1 e 2, lett. b) e 47, paragrafi 1 e 2 del Regolamento per le motivazioni di cui in premessa.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 8 giugno 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

ALLEGATO AL PROGETTO DI DECISIONE

Le Bcr per i titolari del trattamento predisposte dal gruppo Vertiv concernono:

a. Ambito di applicazione.

Le Bcr Vertiv si applicano ai trasferimenti intra-gruppo di dati personali verso paesi terzi posti in essere dai membri del gruppo Vertiv, in qualità di titolari del trattamento.

b. Paesi SEE dai quali devono essere effettuati trasferimenti:

Italia, Austria, Belgio, Croazia, Repubblica Ceca, Danimarca, Francia, Germania, Ungheria, Irlanda, Paesi Bassi, Polonia, Portogallo, Romania, Slovacchia, Spagna, Svezia.

c. Paesi terzi verso i quali devono essere effettuati trasferimenti:

Argentina, Australia, Azerbaijan, Bangladesh, Brasile, Canada, Cile, Cina, Colombia, Costa Rica, Repubblica Dominicana, Ghana, Guam, Hong Kong, India, Kazakistan, Repubblica di Corea, Malesia, Messico, Myanmar, Nuova Zelanda, Nigeria, Pakistan, Panama, Perù, Filippine, Federazione Russa, Singapore, Sud Africa, Svizzera, Taiwan, Tailandia, Turchia, Emirati Arabi Uniti, Regno Unito, Stati Uniti d’America, Uzbekistan, Vietnam.

d. Finalità del trasferimento; categorie di interessati dal trasferimento e categorie di dati personali trasferiti:

Le finalità, le categorie di interessati e le tipologie di dati personali oggetto del trasferimento sono riportate nelle Bcr Vertiv, par. 3.1, come specificato nella scheda che segue

___________

Approval decision of the Vertiv Controller Binding Corporate Rules

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Having convened today, in the presence of Prof. Pasquale Stanzione, President; Prof. Ginevra Cerrina Feroni, Vice-President; Dott. Agostino Ghiglia and Avv. Guido Scorza, Members; and Cons. Fabio Mattei, Secretary General;

Having regard to Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (hereinafter the ‘Regulation’);

Having regard, in particular, to Articles 46(2)(b) and 47 of the Regulation, whereby Binding Corporate Rules (hereinafter, ‘BCR’) may provide adequate safeguards for transferring personal data to third countries under the conditions set out therein;

Having regard to legislative decree No 196 of 30 June 2003 (Personal Data Protection Code, hereinafter the ‘Code’) as amended by legislative decree No 101 of 10 August 2018 containing ‘Provisions to adapt the national legal system to Regulation (EU) 2016/679’;

Having regard to the documents adopted by the Article 29 Working Party as set up by directive 95/46/EC (hereinafter the ‘WP29’), namely WP264 of 11 April 2018 – including the Application form for approval of controller BCR -, WP256 rev.01 of 6 February 2018 – setting forth the elements and principles to be found in BCR –, and WP263 rev.01 of 11 April 2018 on the European cooperation procedure for the approval of BCR;

Having regard to the CJEU decision Data Protection Commissioner vs Maximillian Schrems and Facebook Ireland Ltd, C-311/18 of 16 July 2020;

Having regard to Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data as adopted by the European Data Protection Board (hereinafter the ‘EDPB’) on 18 June 2021;

Noting that the implementation and adoption of BCR as drafted by a group of undertakings or by a group of enterprises engaged in a joint economic activity pursuant to Article 46 of the Regulation are intended to provide adequate guarantees to controllers and processors established in the EU as to the protection of personal data that apply uniformly in all third countries and, consequently, independently of the level of protection guaranteed in each third country;

Whereas before carrying out any transfer of personal data on the basis of the BCR, it is the responsibility of any member of the said group acting as a data exporter in a Member State, if needed with the help of the data importer in the third country of destination, to assess case by case whether the level of protection required by EU law is respected in the said third country in the case of the specific data transfer, including onward transfer situations (see Recommendations 1/2020, paragraphs 1-5);

Noting that the above assessment has to be conducted in order to determine whether any legislation or practices of the third country applicable to the to-be-transferred data may impinge on the data importer’s and/or the data exporter’s ability to comply with their commitments taken in the BCR, taking into account the circumstances surrounding the transfer (see Recommendations 1/2020, paragraphs 28-43);

Taking into account that, in case such possible impingement is found following the said assessment, the data exporter, if needed with the help of the data importer, should take supplementary measures in order to nevertheless ensure, for the envisaged transfer at hand, an essentially equivalent level of protection as provided for in the Regulation (see Recommendations 1/2020, paragraphs 50-57);

Noting additionally that taking and deploying such supplementary measures is the responsibility of the data exporter and remains its responsibility even after approval of the BCR and as such, they are not assessed by this Authority as part of the approval process of the BCR (see Recommendations 1/2020, paragraphs 1-7 and 48);

Taking into account that personal data may not be lawfully transferred to a third country under the BCR where no adequate supplementary measures are in place as necessary to ensure an essentially equivalent level of protection as provided in the EU; equally, where the data exporter is made aware of any changes in the relevant third country legislation that undermine the level of data protection required by EU law, the data exporter is required to suspend or end the transfer of personal data at issue (see Recommendations 1/2020, para. 57);

Having regard to the request submitted on 29 January 2019  by Vertiv S.r.l. on behalf of the Vertiv group under Article 47 of the Regulation for approval of their controller BCR;

Whereas Article 47(1) of the Regulation provides that the competent supervisory authority within the meaning of Article 51 of the Regulation shall approve Binding Corporate Rules provided that they meet the requirements set out under the said Article and in accordance with the consistency mechanism referred to in Articles 63 and 64 of the Regulation;

Whereas the competent supervisory authority as per the foregoing Article is the Garante per la protezione dei dati personali [Italian personal data protection authority, hereinafter the ‘Garante’] pursuant to Section 2-a of the Code;

Having regard to the BCR adoption cooperation procedure as set out in the Working Document WP263 rev.01, which procedure is led by the competent supervisory authority (so-called BCR Lead) jointly with two supervisory authorities acting as co-reviewers in order to submit a joint draft decision to the EDPB under the terms of Article 64(1)(f) of the Regulation;

Taking note that the Controller BCR application of the Vertiv group was reviewed by the Garante as BCR Lead and by the co-reviewer supervisory authorities in accordance with the aforementioned cooperation procedure, and that the application was finally reviewed by the concerned SAs to which the BCR were communicated as part of the cooperation procedure;

Whereas the above review concluded that the Controller BCR of Vertiv comply with the requirements set out in Article 47(1) of the Regulation as well as in WP256 rev.01, and in particular that the aforementioned BCR:

i) Are legally binding and contain a clear duty for each participating member of the Group including their employees to respect the BCR by entering in an Intra-Group Agreement (see Vertiv BCR, para. 4.1, and Annex II);

ii) Expressly confer enforceable third-party beneficiary rights on data subjects with regard to the processing of their personal data as part of the BCR (see Vertiv BCR, para. 4.2);

iii) Fulfil the requirements laid down in Article 47(2) of the Regulation in that they provide for the following:

a) The structure and contact details of the group of undertakings and each of its members are described in the application form pursuant to WP264 as well as in Vertiv BCR, paras. 1 and 3.2 and Annex I thereto;

b) The data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question are specified in Vertiv BCR, paras. 3.1 and 3.2;

c) The legally binding nature, both internally and externally, of the BCR is recognized in Vertiv BCR, para. 4;

d) The application of the general data protection principles, in particular purpose limitation, data minimisation, limited storage periods, data quality, data protection by design and by default, legal basis for processing, processing of special categories of personal data; measures to ensure data security; and the requirements in respect of onward transfers to entities that are not bound by the binding corporate rules are detailed in Vertiv BCR, paras. 9, 10 and 10.1;

e) The rights of data subjects in respect of the processing and the means to exercise those rights, including the right not to be subject to decisions based solely on automated processing, including profiling in accordance with Article 22 of the Regulation, the right to lodge a complaint with the competent supervisory authority and before the competent courts of the Member States in accordance with Article 79 of the Regulation, and to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules are set forth in Vertiv BCR, paras. 4.2 and 11;

f) The acceptance by the controller or processor established on the territory of a Member State of its liability for any breaches of the binding corporate rules by any member concerned not established in the Union as well as the exemption from that liability, in whole or in part, only if the concerned party proves that that member is not responsible for the event giving rise to the damage are specified in Vertiv BCR, paras. 4.2 and 10.1;

g) How the information on the binding corporate rules, in particular on the provisions referred to in points (d), (e) and (f) of Article 47.2 of the Regulation is provided to the data subjects in addition to the information referred to in Articles 13 and 14 of the Regulation, is specified in Vertiv BCR, paras. 5 and 9.1;

h) The tasks of any data protection officer designated in accordance with Article 37 of the GDPR or any other person or entity in charge of monitoring the compliance with the binding corporate rules within the group, as well as monitoring staff training and complaint-handling are detailed in Vertiv BCR (see para. 6.1);

i) Complaint procedures are specified in Vertiv BCR (para. 6.3);

j) The mechanisms put in place within the group for ensuring the monitoring of compliance with the binding corporate rules are detailed in Vertiv BCR, para. 6.4. Such mechanisms include data protection audits and methods for ensuring corrective actions to protect the rights of the data subject. The results of such monitoring are communicated to the person or the entity referred to in point (h) above and to the board of Vertiv S.r.l. as the company established in the EU with delegated data protection responsibilities. The said results are made available upon request to the competent supervisory authority;

k) the mechanisms for reporting and recording changes to the binding corporate rules and reporting those changes to the supervisory authorities are specified in Vertiv BCR, para. 8;

l) the cooperation mechanism put in place with the supervisory authority to ensure compliance by any member of the group is specified in Vertiv BCR, para. 7. The obligation to make available to the supervisory authority the results of the monitoring of the measures referred to in point (j) above is specified in Vertiv BCR, para. 6.4;

m) the mechanisms for reporting to the competent supervisory authority any legal requirements to which a member of the group is subject in a third country which are likely to have a substantial adverse effect on the guarantees provided by the binding corporate rules are described in Vertiv BCR, para. 12;

n) finally, an appropriate data protection training of personnel having permanent or regular access to personal data is provided for in Vertiv BCR, para. 6.2;

Whereas this decision shall not be construed as the approval of the individual transfers to third countries that may be performed on the basis of the BCR or, by the same token, of transfers to the third countries included in the BCRs for which an essentially equivalent level of protection to that guaranteed within the EU cannot be ensured;

Having regard to Article 46(2) of the Regulation whereby approval of the BCR pursuant to Article 47 thereof does not require any specific authorisation by the concerned supervisory authorities;

Taking into account that each concerned SA retains the power in accordance with Article 58(2)(j) of the Regulation to order the suspension of data flows to a recipient in a third country whenever the appropriate safeguards envisaged by the Vertiv BCR are not respected;

Having regard to the Opinion No n 9/2023 issued by the EDPB on 17 maggio 2023 in pursuance of Article 64(1)(f) of the Regulation, of which utmost account was taken by the Garante;

Taking note in the light of the foregoing considerations that the Vertiv BCR provide appropriate safeguards for the transfer of personal data to third countries within the relevant group in accordance with Article 46(1) and (2)(b) and Article 47(1) and (2) of the Regulation pursuant to the arrangements and for the sole purposes set out therein as described in Annex 1 hereto;

Having considered the documents on file;

Having regard to the considerations submitted by the Secretary General under Section 15 of the Garante’s rules of procedure No 1/2000;

Acting on the report submitted by Agostino Ghiglia;

BASED ON THE FOREGOING PREMISES, THE GARANTE

Approves the controller binding corporate rules submitted by the Vertiv Group pursuant to Article 57(1)(s) and Article 58(3)(j) of the Regulation as providing the appropriate safeguards referred to in Article 46(1) and (2)(b) and Article 47(1) and (2) of the Regulation for the reasons set out in the preamble hereof.

Under the terms of Article 78 of the Regulation, Section 152 of the Code and Section 10 of legislative decree No 150 of 1 September 2011, this measure may be challenged before judicial authorities by lodging an appeal with the court of the place specified in the said Section 10 within thirty days of the date of communication hereof, or within sixty days of the latter date if the appellant is resident abroad.

Rome, 8 June 2023

THE PRESIDENT
Stanzione

THE RAPPORTEUR
Ghiglia

THE SECRETARY GENERAL
Mattei

ANNEX TO THE DRAFT DECISION

The controller BCR submitted by the Vertiv group cover the following:

a. Scope

The Vertiv BCR apply to the intra-group transfers of personal data to third countries by members of the Vertiv group acting as controllers.

b. EEA countries from which transfers are to be made:

Italy, Austria, Belgium, Croatia, Czech Republic, Denmark, France, Germany, Hungary, Ireland, Netherlands, Poland, Portugal, Romania, Slovakia, Spain, Switzerland.

c. Third countries to which transfers are to be made:

Argentina, Australia, Azerbaijan, Bangladesh, Brazil, Canada, Chile, China, Colombia, Costa Rica, Dominican Republic, Ghana, Guam, Hong Kong, India, Kazakhstan, Republic of Korea, Malaysia, Mexico, Myanmar, New Zealand, Nigeria, Pakistan, Panama, Peru, Philippines, Russian Federation, Singapore, South Africa, Switzerland, Taiwan, Thailand, Turkey, United Arab Emirates, United Kingdom, United States of America, Uzbekistan, Vietnam.

d. Purposes of the transfer; Categories of data subjects and categories of personal data to be transferred:

The purposes of the transfer, the categories of data subjects and the categories of personal data to be transferred are described in para. 3.1 of Vertiv BCR as detailed below: