Trasferimento di dati personali all'estero. Autorizzazione a First Data International Italia s.r.l

Trasferimento di dati personaliall'estero. Autorizzazione a First Data International Italia s.r.l

AUTORIZZAZIONE DEL 14 MARZO 2013

Registro dei provvedimenti n. 124 del 14 marzo 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici, componente, e del dott. Giuseppe Busia, segretario generale;

VISTOl'art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo edel Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possonoessere trasferiti in un paese non appartenente all'Unione europea qualora ilpaese terzo garantisca un livello di protezione adeguato;

VISTOl'art. 26 della predetta direttiva il quale individua alcune deroghe almenzionato principio, prevedendo anche che uno Stato membro possa autorizzareun trasferimento o una categoria di trasferimenti di dati personali verso unpaese terzo che non garantisca un livello di protezione adeguato, qualora iltitolare del trattamento offra garanzie sufficienti per la tutela della vitaprivata e dei diritti e delle libert‡ fondamentali delle persone, nonchÈ perl'esercizio dei diritti connessi;

VISTOil decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezionedei dati personali;

VISTO,in particolare, l'art. 44, comma 1, lett. a), del Codice, il quale stabilisceche il trasferimento di dati personali diretto verso un paese non appartenenteall'Unione europea Ë consentito quando Ë autorizzato dal Garante sulla base diadeguate garanzie per i diritti dell'interessato, individuate dall'Autorit‡anche in relazione a regole di condotta esistenti nell'ambito di societ‡appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia"Norme vincolanti di impresa" di seguito "Bcr");

VISTOche la citata disposizione garantisce all'interessato la possibilit‡ di farvalere i propri diritti nel territorio dello Stato, secondo le regole fissatedal Codice, anche in caso di mancata osservanza delle garanzie individuatenelle Bcr;

CONSIDERATOche il Gruppo di lavoro istituito dall'art. 29 della direttiva 95/46/CE (diseguito "Gruppo ex art. 29"), che ha tra i propri compiti quello difornire interpretazioni e pareri per garantire una omogenea applicazione deiprincipi della direttiva all'interno dell'Unione europea, ha ritenuto chele Bcr possano costituire uno strumento di trasferimento di dati personaliverso paesi terzi astrattamente idoneo ad assicurare un livello adeguato diprotezione dei diritti degli interessati e dunque compatibile con la disciplinacontenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTIgli specifici requisiti − individuati dal Gruppo ex art. 29 neidocumenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24giugno 2008 − che tali regole di condotta devono soddisfare al fine diconsentire ai gruppi multinazionali d'impresa, che intendano adottarle, diottenere le necessarie autorizzazioni nazionali al trasferimentotransfrontaliero dei dati all'interno del gruppo;

CONSIDERATOaltresÏ che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14aprile 2005, in cui si definisce la procedura di cooperazione che deve essereosservata ai fini del rilascio delle autorizzazioni nazionali in materia diBcr, prevedendo, tra l'altro, che essa sia coordinata da un'Autorit‡ diprotezione dei dati personali di uno degli Stati membri dell'UE interessati daltrasferimento transfrontaliero dei dati, Autorit‡ che agisce in qualit‡ di"lead Authority" ("Autorit‡ capofila");

TENUTOCONTO dell'adesione del Garante alla pratica di mutua collaborazione (c.d."Declaration on mutual recognition", ossia "Dichiarazione dimutuo riconoscimento") che consente una pi˘ rapida definizione dellaprocedura di cooperazione sopra citata, prevedendo che il parere positivo dellalead Authority sul c.d. "final draft" ("testo definitivo")delle Bcr possa costituire una base sufficiente al rilascio delle relativeautorizzazioni nazionali;

VISTAla richiesta, contenuta nell'Application form di cui al WP 133 del 1∞ settembre2008, pervenuta al Garante in data 30 settembre 2008, presentata da FDR Limited− societ‡ del Gruppo First Data, operante nel settore delle tecnologiedel commercio elettronico e in particolare nell'ambito dell'elaborazione deipagamenti e dei relativi servizi (la cui capogruppo, First Data Corporation, hasede negli Stati Uniti d'America) − dinanzi all'Autorit‡ di protezionedei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord(Information Commissioner's Office, di seguito "ICO"), individuataquale lead Authority della relativa procedura;

PRESOATTO che tale richiesta Ë presentata da FDR Limited – in quanto filiale,registrata nel Regno Unito, di una societ‡ costituita negli Stati Unitid'America, cui Ë stata delegata dalla societ‡ capogruppo, First DataCorporation, la responsabilit‡ in materia di protezione dei dati personali – in nome e per conto della capogruppo e di tutte le altre societ‡ del Gruppo daquest'ultima controllate (c.d. "Affiliate First Data");

RILEVATOche la predetta richiesta Ë volta a ottenere l'autorizzazione al trasferimentointra-gruppo verso paesi terzi dei dati personali relativi al personaledipendente, alla clientela e a ulteriori categorie di interessati per ilperseguimento di specifiche finalit‡ (principalmente inerenti la gestione delrapporto di lavoro, la gestione dei rapporti con la clientela ai fini dellafornitura dei relativi servizi e lo svolgimento di altre attivit‡contrattuali), cosÏ come previsto in dettaglio nell'Allegato A dell'Applicationform (nonchÈ negli "Standard sulla protezione dei dati di First DataCorporation", paragrafi 10 e 11), mediante l'adozione delle Normevincolanti di impresa, c.d. "Bcr First Data";

PRESOATTO che le Bcr First Data consistono in un accordo infragruppo denominato"Binding Intra-group BCR Membership Agreement" (di seguito"IGA") comprensivo: dell'Allegato 1, inerente gli "Standardsulla protezione dei dati di First Data Corporation"(che, a sua volta,ricomprende l'Allegato A, in materia di "Condizioni che devono esseresoddisfatte da First Data prima di procedere all'elaborazione dei dati personali"e l'Allegato B, ove sono indicate le "Politiche sulla privacy di FirstData"); dell'Allegato 2, contenente la lista delle Affiliate First Datache in qualit‡ di "Parti" sottoscrivono il predetto accordo;

PRESOATTO, altresÏ, che la societ‡ ha rappresentato, nell'Application form, che ilsummenzionato IGA sar‡ sottoscritto da ogni Affiliata del Gruppo First Data, lequali si impegnano, cosÏ, ad adeguarsi ai termini indicati negli "Standardsulla protezione dei dati di First Data Corporation", nonchÈ a rispettarelo stesso IGA (v. IGA, clausola 2); e che "i dati personali non sarannotrasferiti ai membri del Gruppo che non hanno firmato l'accordo vincolanteintra-gruppo" (v. Application form, Parte 2, sez. 4);

RILEVATOche l'ICO, in data 11 ottobre 2011, all'esito della procedura concernente leBcr First Data, attivata secondo le forme del mutuo riconoscimento, hainoltrato alle Autorit‡ di protezione dei dati personali interessate ilrelativo final draft, attestandone la conformit‡ ai requisiti individuati daidocumenti del Gruppo ex art. 29 sopra citati ed evidenziando, altresÏ, chel'istanza di autorizzazione relativa alle predette Bcr concerne esclusivamenteil trattamento dei dati rispetto ai quali First Data agisce in qualit‡ di"data controller" (cfr., al riguardo, anche le dichiarazioni rese intale senso dalla societ‡ nell'Application form, Parte 1, sez. 2; v. anche, intale senso, gli "Standard sulla protezione dei dati di First DataCorporation", par. 6);

CONSIDERATOche il Garante, in data 20 giugno 2012 ha rappresentato all'ICO che, ai finidel rilascio della relativa autorizzazione nazionale, "saranno valutati iprofili di conformit‡ del testo Bcr con la normativa italiana" (cfr. notadel 20 giugno 2012);

VISTAl'istanza del 16 luglio 2012 presentata, ai sensi degli artt. 44, comma 1,lett. a), da First Data International Italia s.r.l., con sede in Milano, voltaa ottenere il rilascio dell'autorizzazione nazionale al trasferimentoinfragruppo dei dati personali relativi al personale dipendente, alla clientelae ad altre categorie di interessati, dal territorio dello Stato verso paesiterzi mediante il rispetto da parte di First Data International Italia s.r.l.,delle Bcr First Data;

VISTEla richiesta di informazioni e l'istanza di ulteriori chiarimenti avanzate dalGarante in data 29 ottobre 2012 e 11 gennaio 2013, nonchÈ la comunicazioneinviata da questa Autorit‡ il 25 febbraio 2013, nei confronti della menzionatasociet‡, volte ad ottenere specifici chiarimenti in ordine a:

- lanozione di "titolare dei dati" (v. nota del 29 ottobre 2012 punto(a));

- l'individuazionedei soggetti coinvolti nel trasferimento intra-gruppo dei dati verso paesiterzi (v. nota del 29 ottobre 2012, punto (b) e nota dell'11 gennaio 2013 punto(b));

- ilsignificato dell'espressione "siti web interni e pubblici" di cui alpar. 20 degli "Standard sulla protezione dei dati di First DataCorporation" (v. nota del 29 ottobre 2012 punto (c));

- idiritti dell'interessato (nota del 29 ottobre 2012 punto (d));

- il trasferimento dei dati verso soggetti posti al di fuori del Gruppo (v. nota del29 ottobre 2012 punto (e));

- laclausola 2.3. dell'IGA, contenente la previsione di un periodo di transizioneprima che le Bcr First Data divengano operative (v. nota del 29 ottobre 2012punto (f));

- iltrattamento e il trasferimento dei dati sensibili e di quelli a caratteregiudiziario degli interessati (v. nota dell'11 gennaio 2013 punto (c)).

CONSIDERATOche la societ‡, nel rendere riscontro al Garante in ordine ai punti sopramenzionati, con note del 13 dicembre 2012 e 30 gennaio 2013 e la comunicazionedel 27 febbraio 2013, ha espressamente dichiarato:

- conriferimento alla figura "titolare dei dati" menzionata nellatraduzione italiana del testo delle Bcr First Data, che la stessa Ëriconducibile a quella prevista nell'art. 4, comma 1, lett. i), del Codice e,pertanto, deve essere intesa quale "interessato" e, comunque, pi˘ ingenerale, che nelle Bcr First Data devono intendersi richiamate integralmentetutte le definizioni in materia di protezione dei dati personali di cui alladirettiva n. 95/46/CE (v. nota della societ‡ del 13 dicembre 2012, punto(a));

- checostituiscono oggetto delle Bcr First Data i dati concernenti le categorie diinteressati individuati nell'Application form (cfr., in particolare, AllegatoA), ossia quelle indicate dalla societ‡ nei seguenti termini: a)"personale dipendente", nel quale sono ricompresi i dipendenti, gliex dipendenti, i familiari a carico e i beneficiari dei dipendenti ed ex dipendenti(quest'ultimi da intendersi quali "soggetti segnalati dal dipendente comebeneficiari finali di specifiche prestazioni, come, ad esempio, gli eventualibeneficiari di trattamenti pensionistici, di assicurazioni sanitarie, eredi,ecc.", cfr., al riguardo, comunicazione del 27 febbraio 2013), inrelazione al loro rapporto di lavoro o alla richiesta di impiego; b)"clientela", da intendersi come clienti di First Data e loro clientiin relazione alla fornitura dei servizi; c) "ulteriori categorie di interessatidiversi dai dipendenti e dai clienti", che come risulta dall'allegato allanota del 30 gennaio 2013, sono riconducibili alle figure dei fornitori, deiconsulenti e di altri esperti professionisti (v. note della societ‡ del 13dicembre 2012 punto (b) e del 30 gennaio 2013, punto (b));

- cheFirst Data assolver‡ agli obblighi di trasparenza, di cui al punto 5.7 del WP74 del Gruppo ex art. 29, rendendo pubblica una copia degli "Standardsulla protezione dei dati di First Data Corporation", sia sui suoi sitiInternet che all'interno di una specifica area"Documentazione/Privacy" della rete interna aziendale (v. nota dellasociet‡ del 13 dicembre 2012, punto (c));

- chenegli "Standard sulla protezione dei dati di First Data Corporation"devono intendersi riconosciuti agli interessati tutti i diritti di cui all'art.7 del Codice (v. nota della societ‡ del 13 dicembre 2012, punto (d));

- inordine al trasferimento dei dati verso soggetti posti al di fuori del Gruppo,che lo stesso "avverr‡ sempre nel rispetto dei principi sanciti dallaDirettiva 95/46/CE, in particolare degli articoli 16, 17, 25 e 26" (v.nota della societ‡ del 13 dicembre 2012, punto (e));

- conriguardo alla clausola 2.3. dell'IGA, che per "periodo ditransizione" – durante il quale, come confermato dalla societ‡, nonvengono comunque poste in essere operazioni di trasferimenti di datiall'interno del Gruppo First Data – deve intendersi "quel periodo incui le Binding Corporate Rules (BCR) predisposte dal Gruppo First Datacircolano presso gli uffici degli altri Garanti per la protezione dei datieuropei al fine di ottenere l'approvazione" (v. nota della societ‡ del 13dicembre 2012, punto (f));

- che"l'eventuale trattamento e trasferimento di dati sensibili e di quelli acarattere giudiziario degli interessati saranno posti in essere dalla Societ‡nel pieno rispetto della normativa nazionale in materia di protezione deidati personali" (v. nota della societ‡ del 30 gennaio 2013, punto (c)).

RILEVATOcomunque che le operazioni di trattamento dei dati personali, anche se poste inessere a seguito del rilascio della presente autorizzazione, saranno lecitesolo ove conformi alla normativa nazionale vigente e alle sue successivemodificazioni, nonchÈ alle specifiche disposizioni in materia di protezione deidati personali, con particolare riferimento ai presupposti di legittimit‡ delleattivit‡ di raccolta dei dati oggetto del trasferimento e alla sussistenza deipresupposti di legittimit‡ per la comunicazione dei dati medesimi;

VISTOl'art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati inviolazione della disciplina rilevante in materia di trattamento di datipersonali non possono essere utilizzati;

CONSIDERATOche il Garante, ai sensi dell'art. 154, comma 1, lett. a) e d) del Codice, hail compito di controllare la conformit‡ dei trattamenti di dati alla disciplinaapplicabile e puÚ, anche d'ufficio, vietare o disporre il blocco, nonchÈadottare gli ulteriori provvedimenti previsti dalla medesima;

VISTIgli atti d'ufficio;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatoreil dott. Antonello Soro;

TUTTO CIO' PREMESSO IL GARANTE

a) aisensi dell'art. 44, comma 1, lett. a) del Codice, autorizza First DataInternational Italia s.r.l. a trasferire, nell'ambito del Gruppo First Data, idati personali relativi al "personale dipendente", alla"clientela" nonchÈ alle "ulteriori categorie di interessatidiversi dai dipendenti e dai clienti", dal territorio dello Stato verso leAffiliate First Data aventi la loro sede in paesi non appartenenti all'Unioneeuropea, secondo le modalit‡ fissate nelle Bcr First Data e per ilperseguimento delle sole finalit‡ ivi dichiarate;

b) aisensi dell'art. 154, comma 1, lettere a) e d) del Codice, si riserva disvolgere in qualsiasi momento i necessari controlli sulla liceit‡ e correttezzadel trasferimento dei dati e, comunque, su ogni operazione di trattamento adessi inerente, nonchÈ di adottare, se necessario, eventuali provvedimenti diblocco o di divieto.

Roma, 14 marzo 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia