AUTORIZZAZIONI -TRATTAMENTO DI DATI GIUDIZIARI RELATIVI AL SOLO PERSONALE IMPIEGATO NELDIPARTIMENTO DI RATINGDELLA THE MCGRAW HILL-COMPANIES S.R.L.-DIVISIONE STANDARD & POOR'S

Registro delledeliberazioni
n.  10 del 31 gennaio 2008

IL GARANTE PER LA PROTEZIONEDEI DATI PERSONALI

In data odierna, con la partecipazionedel prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti,vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato,componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTO il decreto legislativo 30 giugno2003, n. 196, Codice in materia di protezione dei dati personali;

VISTO, in particolare, l'art. 4, comma 1,lett. e), del Codice, il quale definisce quali sono i "datigiudiziari";

CONSIDERATO che, ai sensi dell'art. 27del Codice, i soggetti privati e gli enti pubblici economici possono trattaretali dati soltanto se autorizzati da espressa disposizione di legge oprovvedimento del Garante che specifichino le finalità di rilevante interesse pubblicodel trattamento, i tipi di dati trattati e di operazioni eseguibili;

VISTA l'autorizzazione del Garante n. 7/2007 altrattamento dei dati a carattere giudiziario da parte di privati, di entipubblici economici e di soggetti pubblici (Del. 28 giugno 2007, n. 30, in G.U.24 agosto 2007, n. 196 - Supp. ord. n. 186 e doc. web n. 1430147);

VISTA la richiesta presentata ai sensidell'art. 41 del Codice in data 1° agosto 2007 da The McGraw Hill-Companiess.r.l.-Divisione Standard & Poor's,società operante nel settore del rating, controllata da The McGrawHill-Companies Inc. (con sede negliStati Uniti d'America), volta a ottenere l'autorizzazione al trattamento deidati giudiziari relativi ai propri dipendenti e riferita, più precisamente, alsolo personale impiegato nel dipartimento di rating (cfr. comunicazione del 20 dicembre 2007);

CONSIDERATO che tale richiesta diautorizzazione al trattamento di dati giudiziari viene giustificata dallasocietà in base al quadro normativo statunitense relativo al settore del rating, nell'ambito del quale il Credit Rating AgencyReform Act of 2006 ha apportatoalcune modifiche al Securities Exchange Act of 1934, nonché ha attribuito alla Securities andExchange Commission (Sec)determinati poteri regolamentari nei confronti delle società di rating;

CONSIDERATO che, alla luce delledichiarazioni rese dalla società, nell'esercizio di tali poteri la Sec hadefinito alcune modalità relative all'adempimento dell'obbligo di registrazioneprevisto dal Credit Rating Agency Reform Act of 2006, registrazione da porre in essere presso la Sec evolta a riconoscere alle società operanti nel settore del rating lo status di "NationallyRecognized Statistical Rating Organisation" (Nsro);

CONSIDERATO che per ottenere talericonoscimento ciascuna società di rating è tenuta a presentare presso la Sec un'apposita domanda e adaggiornarla con periodicità annuale;

RILEVATO che nel modulo di registrazioneNsro deve essere indicata una serie di informazioni relative alla registrandasocietà di rating e alle relativesocietà controllate e/o collegate, ivi inclusi alcuni dati a caratteregiudiziario dei dipendenti delle medesime impiegati nel rating (dati indicati in dettaglio nella comunicazione del26 luglio 2007, all. 2);

CONSIDERATO che The McGrawHill-Companies Inc. ha presentatouna richiesta per essere registrata presso la Sec senza comunicare aquest'ultima, in tale circostanza, i dati giudiziari concernenti i dipendenti impiegatipresso la controllata italiana;

CONSIDERATO che The McGrawHill-Companies s.r.l.-Divisione Standard & Poor's intende trattare i dati di carattere giudiziariorelativi ai propri dipendenti operanti nel dipartimento del rating per consentire alla società capogruppo statunitensedi fornire alla Sec le sopra menzionate informazioni nella successiva fase diaggiornamento della domanda;

CONSIDERATO che i dati giudiziariverrebbero trasferiti negli Stati Uniti d'America alla società capogruppo TheMcGraw Hill-Companies Inc. peressere messi a disposizione della Sec sulla base di clausole contrattualistandard conformi a quelle individuate con la Decisione della Commissioneeuropea n. 2004/915/Ce (cfr. comunicazione del 26 luglio 2007);

CONSIDERATO che tali circostanzecomporterebbero un trattamento di dati giudiziari che allo stato non risultadisciplinato specificamente nell'ordinamento italiano (constatazione confermatadalla società nella sua comunicazione dell'11 ottobre 2007);

CONSIDERATO che possono formare oggettodi un trattamento lecito solo le informazioni personali relative a fattirilevanti ai fini della valutazione dell'attitudine professionale dellavoratore (art. 8, l. 20 maggio 1970, n. 300) e che tra esse, nel caso dispecie, possono essere ricomprese le informazioni di cui all'art. 4, comma 1,lett. e), del Codice (dati giudiziari) nella misura in cui siano indispensabilirispetto alle attività in concreto svolte dalle agenzie di rating, anche a tutela del mercato;

CONSIDERATO che la richiesta diautorizzazione in esame concerne un trattamento di dati giudiziari non previstodalla citata autorizzazione generale n. 7/2007;

CONSIDERATO che in tale autorizzazione ilGarante si è riservato di adottare ogni altro provvedimento per i trattamentinon considerati nella medesima autorizzazione (cfr. Capo VI, punto 5);

RAVVISATA la sussistenza, nel caso dispecie, di una finalità di rilevante interesse pubblico al corretto svolgimentodelle attività connesse al menzionato dipartimento di rating e alla fiducia degli investitori, come descrittenella richiesta di autorizzazione e nella relativa documentazione allegata;

RILEVATO che potranno essere trattati perla sola predetta finalità unicamente i dati di carattere giudiziario indicatinella medesima documentazione, da utilizzare fermo restando quanto disposto dalpredetto art. 8 della legge n. 300/1970;

RAVVISATA l'esigenza di disciplinare iltrattamento oggetto di autorizzazione in base alle medesime condizionicontenute nell'autorizzazione n. 7/2007,in particolare per ciò che attiene alle operazioni eseguibili;

VISTO l'art. 167, comma 2, del Codice chesanziona l'eventuale violazione delle prescrizioni della presenteautorizzazione;

VISTO l'art. 11, comma 2, del Codice, ilquale stabilisce che i dati trattati in violazione della disciplina rilevantein materia di trattamento di dati personali non possono essere utilizzati;

VISTI gli artt. 27 e 41 del Codice;

VISTI gli atti d'ufficio;

VISTE le osservazioni dell'Ufficioformulate dal segretario generale ai sensi dell'art. 15 del regolamento delGarante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

TUTTO CIÒ PREMESSO ILGARANTE

autorizza The McGraw Hill-Companiess.r.l.–Divisione Standard & Poor's a trattare i dati giudiziari indicati nella documentazione in attilimitatamente ai dipendenti operanti nel relativo dipartimento di rating e per il perseguimento della sola finalitàdichiarata, nel rispetto, per quanto non diversamente stabilito con la presenteautorizzazione, delle prescrizioni di cui all'autorizzazione n. 7/2007,in particolare per ciò che attiene alle operazioni di trattamento eseguibili.

Roma, 31 gennaio 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Buttarelli