Diritti interna

Doveri interna

ricerca avanzata

Autorizzazione ai trasferimenti di dati personali mediante Binding Corporate Rules (Norme vincolanti di impresa) approvate prima del 25 maggio 2018 - 16 maggio 2018 [8990209]

[doc. web n. 8990209]

Autorizzazione ai trasferimenti di dati personali mediante Binding Corporate Rules (Norme vincolanti di impresa) approvate prima del 25 maggio 2018 - 16 maggio 2018
(Pubblicato sulla Gazzetta Ufficiale Serie Generale n.133 del 11 giugno 2018)

Registro dei provvedimenti
n. 293 del 16 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO l'art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all’Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l'art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito “Codice”) e in particolare l’art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all’Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato, individuate dall’Autorità anche in relazione a regole di condotta esistenti nell’ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia “Norme vincolanti di impresa”, di seguito “Bcr”);

CONSIDERATO che il Gruppo di lavoro istituito dall’art. 29 della direttiva 95/46/CE (di seguito “Gruppo ex art. 29”), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all’interno dell’Unione europea, ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005, WP 153 del 24 giugno 2008, WP 204 del 22 maggio 2015 e WP 195 del 6 giugno 2012− che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d’impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all’interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l’altro, che detta procedura debba essere coordinata da un’Autorità di protezione dei dati personali di uno degli Stati membri dell’UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di “lead Authority” (“Autorità capofila”);

TENUTO CONTO dell’adesione del Garante alla pratica di mutua collaborazione (c.d. “Declaration on mutual recognition”, ossia “Dichiarazione di mutuo riconoscimento”) che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. “final draft” (“testo definitivo”) delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTO il Regolamento (UE) 2016/679 del Parlamento e del Consiglio del 27 aprile 2016, recante il “Regolamento generale sulla protezione dei dati” (di seguito – “Regolamento UE 2016/679”), che si applica a decorrere dal 25 maggio 2018 (art. 99);

CONSIDERATO, in particolare, che il Regolamento UE 2016/679 dispone che le autorizzazioni rilasciate dalle Autorità di controllo in base all’art. 26, paragrafo 2 della direttiva 95/46/CE restano valide fino a quando non vengono modificate, sostituite o abrogate, se necessario, dalle medesime (v. art. 46, paragrafo 5);

VISTI i pareri del Gruppo ex art. 29, WP 256 e WP 257, adottati il 6 febbraio 2018, i quali stabiliscono che le Bcr approvate alla data del 24 maggio 2018 all’esito delle relative procedure di cooperazione e di mutuo riconoscimento, devono essere oggetto delle necessarie modifiche volte a garantirne la conformità con il Regolamento UE 2016/679 (v. WP 256, paragrafo 1.2 e WP 257, paragrafo 2);

CONSIDERATO altresì che i gruppi di impresa interessati dalle suddette procedure sono tenuti, in base ai sopra menzionati WP 256, paragrafo 1.2, e WP 257, paragrafo 2, a notificare con cadenza annuale le menzionate modifiche a tutti i membri del gruppo nonché alle Autorità di controllo nazionali per il tramite della lead Authority (WP 153, paragrafo 5.1; WP 195, paragrafo 5.1) e che tale comunicazione deve essere resa a far data dal 25 maggio 2018;

RILEVATO inoltre che sono tuttora in corso di definizione diverse procedure di cooperazione e di mutuo riconoscimento, cui il Garante partecipa in qualità di Autorità di controllo interessata, e talvolta in veste di co-reviewer;

RILEVATO altresì che rispetto ad alcune procedure di cooperazione e di mutuo riconoscimento, già concluse a livello europeo, non è stata ad oggi rilasciata dal Garante l’autorizzazione nazionale ai sensi dell’art. 44, comma 1, lett. a) del Codice;

CONSIDERATO che i trasferimenti di dati personali dal territorio nazionale verso paesi non appartenenti all’Unione europea oggetto delle Bcr di cui alle sopra menzionate procedure di cooperazione e di mutuo riconoscimento possono essere consentiti soltanto in virtù di un’autorizzazione resa dall’Autorità ai sensi dell’art. 44, comma 1, lett. a) del Codice;

RAVVISATA la necessità di definire anche a livello nazionale il procedimento volto all’adozione delle Bcr già approvate a livello europeo alla data del 24 maggio 2018, al fine di consentire i trasferimenti intragruppo di dati personali dal territorio nazionale verso paesi non appartenenti all’Unione europea oggetto delle predette Bcr;

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l’art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell’art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d’ufficio, adottare i provvedimenti previsti dal Codice medesimo;

RITENUTA la necessità di assicurare ulteriore pubblicità al presente provvedimento disponendone la pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana;

VISTI gli atti d’ufficio;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE  il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 44, comma 1, lett. a) del Codice, autorizza i trasferimenti intragruppo di dati personali dal territorio dello Stato verso paesi non appartenenti all’Unione europea, oggetto delle Bcr approvate entro il 24 maggio 2018 nell’ambito delle procedure di cooperazione e di mutuo rinonoscimento sopra menzionate, secondo le modalità fissate nelle medesime Bcr e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell’art. 154, comma 1, lett. h), rappresenta che devono essere adottate le misure necessarie volte a rendere le Bcr di cui alla lettera a) del presente dispositivo, conformi al Regolamento UE 2016/679 e che le modifiche apportate a tal fine devono essere notificate, entro il 25 maggio 2019, a tutti i membri del gruppo e alle Autorità di controllo nazionali, per il tramite della lead Authority;

c) ai sensi dell’art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice;

d) dispone la trasmissione del presente provvedimento all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.

Roma, 16 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia