| Garante per la protezione dei dati personali Trasferimento di dati personaliall'estero. Autorizzazione al Gruppo Amex AUTORIZZAZIONE DEL 20 GIUGNO 2013 Registro dei provvedimenti n. 302 del 20 giugno 2013 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti,e del dott. Giuseppe Busia, segretario generale; VISTOl'art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo edel Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possonoessere trasferiti in un paese non appartenente all'Unione europea qualora ilpaese terzo garantisca un livello di protezione adeguato; VISTOl'art. 26 della predetta direttiva il quale individua alcune deroghe almenzionato principio, prevedendo anche che uno Stato membro possa autorizzareun trasferimento o una categoria di trasferimenti di dati personali verso unpaese terzo che non garantisca un livello di protezione adeguato, qualora iltitolare del trattamento offra garanzie sufficienti per la tutela della vitaprivata e dei diritti e delle libertà fondamentali delle persone, nonché perl'esercizio dei diritti connessi; VISTOil decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezionedei dati personali; VISTO,in particolare, l'art. 44, comma 1, lett. a), del Codice, il quale stabilisceche il trasferimento di dati personali diretto verso un paese non appartenenteall'Unione europea è consentito quando è autorizzato dal Garante sulla base diadeguate garanzie per i diritti dell'interessato, individuate dall'Autoritàanche in relazione a regole di condotta esistenti nell'ambito di societàappartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia"Norme vincolanti di impresa" di seguito "Bcr"); VISTOche la citata disposizione garantisce all'interessato la possibilità di farvalere i propri diritti nel territorio dello Stato, secondo le regole fissatedal Codice, anche in caso di mancata osservanza delle garanzie individuatenelle Bcr; CONSIDERATOche il Gruppo di lavoro istituito dall'art. 29 della direttiva 95/46/CE (diseguito "Gruppo ex art. 29"), che ha tra i propri compiti quello difornire interpretazioni e pareri per garantire una omogenea applicazione deiprincipi della direttiva all'interno dell'Unione europea, ha ritenuto chele Bcr possano costituire uno strumento di trasferimento di dati personaliverso paesi terzi astrattamente idoneo ad assicurare un livello adeguato diprotezione dei diritti degli interessati e dunque compatibile con la disciplinacontenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2); VISTIgli specifici requisiti − individuati dal Gruppo ex art. 29 neidocumenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24giugno 2008 − che tali regole di condotta devono soddisfare al fine diconsentire ai gruppi multinazionali d'impresa, che intendano adottarle, diottenere le necessarie autorizzazioni nazionali al trasferimentotransfrontaliero dei dati all'interno del gruppo; CONSIDERATOaltresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14aprile 2005, in cui si definisce la procedura di cooperazione che deve essereosservata ai fini del rilascio delle autorizzazioni nazionali in materia diBcr, prevedendo tra l'altro che essa sia coordinata da un'Autorità diprotezione dei dati personali di uno degli Stati membri dell'UE interessati daltrasferimento transfrontaliero dei dati, Autorità che agisce in qualità di"lead Authority" ("Autorità capofila"); TENUTOCONTO dell'adesione del Garante alla pratica di mutua collaborazione (c.d."Declaration on mutual recognition", ossia "Dichiarazione dimutuo riconoscimento") che consente una più rapida definizione dellaprocedura di cooperazione sopra citata, prevedendo che il parere positivo dellalead Authority sul c.d. "final draft" ("testo definitivo")delle Bcr possa costituire una base sufficiente al rilascio delle relativeautorizzazioni nazionali; VISTAla richiesta, contenuta nelle Application form di cui al WP 133 del 10 gennaio2007 (Customer Data Application e Employee Data Application), pervenuta alGarante in data 21 luglio 2008, presentata da American Express Services EuropeLimited − società del gruppo American Express (di seguito "Gruppo Amex") operante nei settori dei servizi di pagamento e dei servizirelativi ai viaggi, nonché dell'intermediazione assicurativa (la cui capogruppo,American Express Company, ha sede negli Stati Uniti d'America), dinanziall'Autorità di protezione dei dati personali del Regno Unito di Gran Bretagnae Irlanda del Nord (Information Commissioner's Office, di seguito"ICO"), individuata quale lead Authority della relativa procedura; RILEVATOche il Garante ha partecipato alla suddetta procedura europea in qualità dico-lead Authority (v. comunicazione del 10 aprile 2012); RILEVATOche tale richiesta inoltrata da American Express Services Europe Limited –società (con sede nel Regno Unito di Gran Bretagna e Irlanda del Nord) cui èstata delegata dalla società capogruppo la responsabilità in materia diprotezione dei dati personali – è presentata in nome e per conto delleaffiliate (persone giuridiche – di seguito "soggetti del GruppoAmex") controllate, direttamente o indirettamente, dalla capogruppo e daAmerican Express Services Europe Limited, ed è volta a ottenerel'autorizzazione al trasferimento intra-gruppo verso paesi terzi dei datipersonali relativi ai clienti, fornitori e partner delle società del GruppoAmex per le finalità inerenti i servizi di pagamento, i servizi di emissione erete di esercizi commerciali, i servizi di viaggio e l'intermediazioneassicurativa, nonché al personale dipendente per le finalità inerenti lagestione del rapporto di lavoro, mediante l'adozione delle Norme vincolanti diimpresa c.d. "Bcr Amex"; PRESOATTO che le Bcr Amex consistono in un contratto infragruppo denominato"American express intra-group agreement" (di seguito"IGA"), comprensivo dell'Allegato 1 inerente i "Principi sullaprotezione dei dati e la privacy di American Express" (di seguito"Principi Amex") e dell'Allegato 2 contenente i "Principi perl'attuazione delle regole sulla protezione dei dati e la privacy di AmericanExpress nello Spazio economico europeo" (di seguito "Principi diattuazione europei"), contratto mediante il quale la società capogruppo ela società American Express Services Europe Limited s'impegnano, in nomeproprio e in nome e per conto dei soggetti del Gruppo Amex rispettivamentecontrollati, a garantire l'osservanza degli obblighi previsti dai Principi diattuazione europei e, in particolare, dalla clausola del terzo beneficiario (v.IGA, lett. (D)); PRESOATTO che American Express Services Europe Limited si impegna alla pubblicazionevia Internet delle Bcr Amex e della clausola del terzo beneficiario ivicontenuta (v. Principi di attuazione europei, p. 1); RILEVATOche l'ICO in data 8 giugno 2012, all'esito della procedura concernente le BcrAmex, attivata secondo le forme del mutuo riconoscimento e mediante ilcoinvolgimento del Garante per la protezione dei dati personali in qualità dico-lead Authority, ha inoltrato alle Autorità di protezione dei dati personaliinteressate il relativo final draft, attestandone la conformità ai requisitiindividuati dai documenti del Gruppo ex art. 29 sopra citati; CONSIDERATOche il Garante in data 23 maggio 2012, nel valutare la conformità di tale finaldraft alla normativa nazionale, ha richiesto all'ICO "l'integrazione deltesto delle Bcr Amex mediante l'inserimento di una clausola che preveda, incaso di modifiche sostanziali delle Bcr medesime, l'impegno della società acomunicare le suddette modifiche alla Autorità di volta in volta competente inmateria" e si è riservato di valutare, in sede di rilascio della relativaautorizzazione nazionale, "i profili di compatibilità della clausola delterzo beneficiario con l'ordinamento italiano ai fini del rispetto delprincipio di efficacia vincolante delle Bcr sancito dai documenti del Gruppo exart. 29" (cfr. nota del 23 maggio 2012); VISTAl'istanza del 25 febbraio 2013 presentata, ai sensi dell'art. 44, comma 1,lett. a), da American Express Locazioni Finanziarie S.r.l., Amex BrokerAssicurativo S.r.l., American Express Payment Services Limited – Branch -Italy, American Express Services Europe Limited – Branch - Italy (aventisede in Roma), volta a ottenere il rilascio dell'autorizzazione nazionale altrasferimento infragruppo dei dati personali relativi ai clienti, fornitori epartner delle società del Gruppo Amex per le finalità inerenti i servizi dipagamento, i servizi di emissione e rete di esercizi commerciali, i servizi diviaggio e l'intermediazione assicurativa, nonché al personale dipendente per lefinalità inerenti la gestione del rapporto di lavoro, mediante le Bcr Amex; VISTEle richieste di informazioni e integrazioni avanzate dal Garante in data 9aprile e 20 maggio 2013 nei confronti delle menzionate società, volte adottenere specifici chiarimenti in particolare in ordine a: -la tipologia delle informazioni oggetto di trasferimento e le specifichefinalità perseguite (v. nota del 20 maggio 2013 punto (a)); -la conformità della clausola del terzo beneficiario di cui alle Bcr Amex aidocumenti del Gruppo ex art. 29, in particolare con riferimento all'inclusionenella stessa degli specifici diritti ivi previsti (cfr. WP 155, par. 9) (v.nota del 20 maggio 2013 punto (b)); -l'efficacia vincolante dei Principi Amex (v. nota del 20 maggio 2013 punto(c)); -le misure di sicurezza dei dati personali (v. nota del 20 maggio 2013 punto(d)); -il sistema di aggiornamento e modifica delle Bcr Amex (v. nota del 20 maggio2013 punto (e)); CONSIDERATOche le società, nel rendere riscontro al Garante, ai sensi dell'art. 168 delCodice, in ordine ai punti sopra menzionati, con nota del 27 maggio 2013, hannoespressamente dichiarato: -con riferimento alla tipologia delle informazioni e alle relative finalità, chei dati personali oggetto dell'istanza di autorizzazione di cui in epigraferiguardano: a) i "clienti, fornitori e partner delle società delGruppo Amex" per le finalità inerenti i servizi di pagamento, i servizi diemissione e rete di esercizi commerciali, i servizi di viaggio el'intermediazione assicurativa; b) il "personale dipendente" per lefinalità inerenti la gestione del rapporto di lavoro, che, come specificatodalle società, comprende gli amministratori, i consulenti individuali e ilpersonale in staff "da intendersi come presenti, precedenti e futuri, [Š]sia temporanei che permanenti", nonché "altri lavoratori, anche temporanei,pensionati, aspiranti dipendenti [Š]" e "soggetti terzi individuati oindividuabili, ad esempio familiari a carico e beneficiari (quali quelli dipolizze assicurative e vita del dipendente)" (v. nota di riscontro dellesocietà del 27 maggio 2013); -in merito alla clausola del terzo beneficiario di cui alle Bcr Amex, che essa èconforme ai documenti del Gruppo ex art. 29, in particolare con riferimentoall'inclusione nella stessa degli specifici diritti ivi previsti (v. WP 155,par. 9) e all'efficacia vincolante della stessa tra i soggetti del Gruppo Amex(v. nota di riscontro delle società del 27 maggio 2013 ); -con riguardo all'efficacia dei Principi Amex, che gli stessi "debbonointendersi integralmente richiamati nei Principi di attuazione europei" eche, pertanto, i medesimi debbono "considerarsi giuridicamente vincolantiin virtù dell'avvenuta sottoscrizione dell'American Express intra-groupagreement" da parte dei soggetti del Gruppo Amex (v. nota di riscontrodelle società del 27 maggio 2013); -relativamente alle misure di sicurezza, che "l'espressione <ragionevolimisure amministrative, tecniche e di sicurezza fisica per proteggere i datipersonali> di cui alle Bcr Amex (v. Principi Amex, punto 5) va interpretataconformemente alla Direttiva 95/46/CE nel senso di <appropriate> misuredi sicurezza dei dati personali" (v. nota di riscontro delle società del27 maggio 2013); -con riferimento al sistema di modifica e aggiornamento delle Bcr Amex (cfr.Principi di attuazione europei, Allegato 3, punto 3), che esso è conforme aquanto previsto dai documenti del Gruppo ex art. 29 (v. WP 74 par. 4.2.; WP108, par. 9; WP 153, par. 5.1), soprattutto in merito all'obbligo dicomunicazione al Garante per la protezione dei dati personali di ogni modifica sostanzialealle Bcr suddette (v. nota di riscontro delle società del 27 maggio 2013); RILEVATOcomunque che le operazioni di trattamento dei dati personali, anche se poste inessere a seguito del rilascio della presente autorizzazione, saranno lecitesolo ove conformi alla normativa nazionale vigente e alle sue successivemodificazioni, nonché alle specifiche disposizioni in materia di protezione deidati personali, con particolare riferimento ai presupposti di legittimità delleattività di raccolta dei dati oggetto del trasferimento e alla sussistenza deipresupposti di legittimità per la comunicazione dei dati medesimi; VISTOl'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati inviolazione della disciplina rilevante in materia di trattamento di datipersonali non possono essere utilizzati; CONSIDERATOche il Garante, ai sensi dell'art. 154, comma 1, lett. a) e d) del Codice, hail compito di controllare la conformità dei trattamenti di dati alla disciplinaapplicabile e può, anche d'ufficio, vietare o disporre il blocco, nonchéadottare gli ulteriori provvedimenti previsti dalla medesima; VISTIgli atti d'ufficio; VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatoreil dott. Antonello Soro; TUTTO CIO' PREMESSO IL GARANTE a)ai sensi dell'art. 44, comma 1, lett. a) del Codice, autorizza American ExpressLocazioni Finanziarie S.r.l., Amex Broker Assicurativo S.r.l., American ExpressPayment Services Limited – Branch - Italy, American Express ServicesEurope Limited – Branch – Italy, a trasferire, nell'ambito delGruppo Amex, i dati personali relativi al "personale dipendente" e ai"clienti, fornitori e partner delle società del Gruppo Amex", dalterritorio dello Stato verso i soggetti del Gruppo Amex aventi la loro sede inpaesi non appartenenti all'Unione europea, secondo le modalità fissate nelleBcr Amex e per il perseguimento delle sole finalità ivi dichiarate; b)ai sensi dell'art. 154, comma 1, lettere a) e d) del Codice, si riserva disvolgere in qualsiasi momento i necessari controlli sulla liceità e correttezzadel trasferimento dei dati e, comunque, su ogni operazione di trattamento adessi inerente, nonché di adottare, se necessario, eventuali provvedimenti anchedi blocco o di divieto. Roma, 20 giugno 2013
|