Trasferimento di dati personaliall'estero. Autorizzazione a Novo Norsdisk S.p.A.

AUTORIZZAZIONE DEL 11 LUGLIO 2013

Registro dei provvedimenti
n.  348 dell'11 luglio2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOl'art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo edel Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possonoessere trasferiti in un paese non appartenente all'Unione europea qualora ilpaese terzo garantisca un livello di protezione adeguato;

VISTOl'art. 26 della predetta direttiva, il quale individua alcune deroghe almenzionato principio, prevedendo che uno Stato membro possa autorizzare untrasferimento o una categoria di trasferimenti di dati personali verso un paeseterzo che non garantisca un livello di protezione adeguato, qualora il titolaredel trattamento offra garanzie sufficienti per la tutela della vita privata edei diritti e delle libertà fondamentali delle persone, nonché per l'eserciziodei diritti connessi;

VISTOil decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezionedei dati personali (di seguito "Codice");

VISTO,in particolare, l'art. 44, comma 1, lett. a) del Codice, il quale stabilisceche il trasferimento di dati personali diretto verso un paese non appartenenteall'Unione europea è consentito quando è autorizzato dal Garante sulla base diadeguate garanzie per i diritti dell'interessato, individuate dall'Autoritàanche in relazione a regole di condotta esistenti nell'ambito di societàappartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia"Norme vincolanti di impresa", di seguito "Bcr");

VISTOche la citata disposizione garantisce all'interessato la possibilità di farvalere i propri diritti nel territorio dello Stato, secondo le regole fissatedal Codice, anche in caso di mancata osservanza delle garanzie individuatenelle Bcr;

CONSIDERATOche il Gruppo di lavoro istituito dall'art. 29 della direttiva 95/46/CE (diseguito "Gruppo ex art. 29"), che ha tra i propri compiti quello difornire interpretazioni e pareri per garantire una omogenea applicazione deiprincipi della direttiva all'interno dell'Unione europea,  ha ritenuto chele Bcr possano costituire uno strumento di trasferimento di dati personali versopaesi terzi astrattamente idoneo ad assicurare un livello adeguato diprotezione dei diritti degli interessati e, dunque, compatibile con ladisciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26,par. 2);

VISTIgli specifici requisiti − individuati dal Gruppo ex art. 29  neidocumenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24giugno 2008 − che tali regole di condotta devono soddisfare al fine diconsentire ai gruppi multinazionali d'impresa, che intendano adottarle, diottenere le necessarie autorizzazioni nazionali al trasferimentotransfrontaliero dei dati all'interno del gruppo;

CONSIDERATO,altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del14 aprile 2005, con cui è stata definita la procedura di cooperazione che deveessere osservata ai fini del rilascio delle autorizzazioni nazionali in materiadi Bcr, prevedendo, tra l'altro, che detta procedura debba essere coordinata daun'Autorità di protezione dei dati personali di uno degli Stati membri dell'UEinteressati dal trasferimento transfrontaliero dei dati, Autorità che agisce inqualità di "lead Authority" ("Autorità capofila");

TENUTOCONTO dell'adesione del Garante alla pratica di mutua collaborazione (c.d."Declaration on mutual recognition", ossia "Dichiarazione dimutuo riconoscimento") che consente una più rapida definizione dellaprocedura di cooperazione sopra citata, prevedendo che il parere positivo dellalead Authority sul c.d. "final draft" ("testo definitivo")delle Bcr possa costituire una base sufficiente al rilascio delle relativeautorizzazioni nazionali;

VISTAla richiesta, contenuta nell'Application form di cui al WP 133 del 10 gennaio2007, presentata da Novo Nordisk A/S Novo Allé − società capogruppo delNovo Nordisk Group (di seguito "Novo Nordisk A/S") operante nelsettore della produzione e commercializzazione di prodotti farmaceutici (consede in Danimarca) − dinanzi all'Autorità di protezione dei datipersonali della Danimarca (Datatilsynet), che è stata individuata quale leadAuthority della relativa procedura;

RILEVATOche tale richiesta, pervenuta al Garante in data 26 marzo 2010, è statapresentata da Novo Nordisk A/S in nome e per conto di tutte le società (c.d."Enti Novo Nordisk") controllate, direttamente o indirettamente,dalla medesima, ed è volta a ottenere l'autorizzazione al trasferimentointra-gruppo verso paesi terzi mediante l'adozione delle Norme vincolanti diimpresa c.d. "Bcr Novo Nordisk", dei dati personali relativi a: ipazienti coinvolti e il personale (sanitario e non) impiegato negli studiclinici per le finalità connesse allo sviluppo di nuovi prodotti farmaceutici;il personale dipendente, per le finalità inerenti la gestione del rapporto dilavoro; i clienti, i fornitori, i consulenti, i laboratori, le agenzie dimarketing e i relativi dipendenti per finalità connesse alla gestioneamministrativa controllata e al monitoraggio dell'andamento del mercatofarmaceutico a scopo commerciale;

PRESOATTO che le Bcr Novo Nordisk consistono in una "DichiarazioneUnilaterale" sottoscritta dalla Novo Nordisk A/S  - comprensivadell'Allegato 1, contenente la lista degli Enti Novo Nordisk vincolati dalleBcr (di seguito "Allegato 1"); dell'Allegato 2, inerente la"Policy delle norme vincolanti in materia di protezione dei dati" (diseguito "Policy Novo Nordisk" che include 5 Appendici); dell'Allegato3, relativo ai diritti del terzo beneficiario (di seguito "Allegato3")  - nonché nelle Binding Corporate Rules Confirmation Letters (diseguito "Lettere di conferma"), documento sottoscritto da ciascunasocietà del gruppo stabilita nell'Unione Europea (di seguito "EuropeanAffiliates");

CONSIDERATOche, con la suddetta "Dichiarazione Unilaterale", la Novo Nordisk A/Ssi è impegnata, anche in nome e per conto degli Enti Novo Nordisk, ad agire inconformità alla Policy Novo Nordisk e a garantire l'osservanza delle clausoledi responsabilità e del terzo beneficiario con riferimento ai trasferimentiintra-gruppo verso paesi terzi dei dati personali di cui alla presenteautorizzazione (v. "Dichiarazione Unilaterale", in particolare ipunti 1, 7 e 8);

VISTOche, con le citate "Lettere di conferma", ciascuna European Affiliatesi è impegnata ad osservare "le norme [...] contenute nella DichiarazioneUnilaterale sulle Norme Aziendali Vincolanti ("Dichiarazione")relativa alla Politica delle Norme Aziendali Vincolanti in materia diProtezione dei Dati ("Policy") [ovvero Policy Novo Nordisk], e lerelative politiche e procedure pubblicate di volta in volta da Novo Nordisk A/Sper l'implementazione della Policy in tutta la Novo Nordisk" e arispettare, "in particolare, [ä] gli obblighi sanciti dalla Policy comedescritto nella Clausola 7 della Dichiarazione";

RILEVATOche, in virtù dell'avvenuta sottoscrizione della "DichiarazioneUnilaterale" e delle "Lettere di conferma", gli Enti NovoNordisk, compresa la capogruppo Novo Nordisk A/S, si sono reciprocamenteobbligati in via contrattuale ad agire in conformità alle Bcr Novo Nordisk e adosservare le clausole in esse contenute;

RILEVATO,inoltre, che, ai sensi della succitata "Dichiarazione Unilaterale",la Novo Nordisk A/S ha dichiarato di disporre dell'autorità necessaria pergarantire delle Bcr Novo Nordisk l'osservanza da parte degli Enti Novo Nordisk(v. "Dichiarazione Unilaterale", punto 2), facendo presente che:

-"gli Enti Novo Nordisk hanno messo in atto misure contrattuali o di altrotipo che vincolano  i (..) dipendenti e /o i singoli appaltatori atrattare le informazioni personali in conformità alle Bcr" pena lacomminazione di specifiche sanzioni (v. "Dichiarazione Unilaterale",punti 3 e 6);

-ciascun Ente Novo Nordisk dispone di un'unità locale giuridica e di complianceche si occupa del rispetto delle Bcr" (v. "DichiarazioneUnilaterale", punto 5);

-"gli Enti Novo Nordisk implementeranno procedure formative per garantirela conoscenza e il rispetto da parte dei propri dipendenti degli obblighiderivanti dalle Bcr" (v. "Dichiarazione Unilaterale", punto 4);

PRESOATTO che Novo Nordisk A/S si è impegnata, inoltre, a pubblicare su Internet lapredetta Policy Novo Nordisk, comprensiva al suo interno della clausola delterzo beneficiario (cfr. Policy Novo Nordisk, parte I);

RILEVATOche il Datatilsynet, in data 15 aprile 2011, all'esito della proceduraconcernente le Bcr Novo Nordisk, attivata secondo le forme del mutuoriconoscimento, ha inoltrato alle Autorità di protezione dei dati personaliinteressate il relativo final draft, attestandone la conformità ai requisitiindividuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATOche il Garante, in data 25 maggio 2011, nel valutare la conformità del finaldraft alla normativa nazionale, ha rappresentato al Datatilsynet che, ai finidel rilascio della relativa autorizzazione nazionale, sarebbero stati"valutati i profili di conformità del testo Bcr con la normativaitaliana", riservandosi di chiedere in tale sede "ulterioriinformazioni e chiarimenti in particolare con riferimento all'efficaciavincolante delle Bcr, alle categorie di dati trasferiti, ivi compresi quelli dinatura sensibile, e alle specifiche finalità dei trasferimenti coperti dalleBcr" (cfr. nota del 25 maggio 2011);

VISTAl'istanza del 9 luglio 2012, con cui Novo Nordisk S.p.A. (con sede in Roma), aisensi degli artt. 44, comma 1, lett. a), ha chiesto il rilasciodell'autorizzazione nazionale al trasferimento infragruppo dei dati personalirelativi ai pazienti, al personale (sanitario e non) impiegato negli studiclinici, al personale dipendente, ai clienti, ai fornitori, ai consulenti, ailaboratori e alle agenzie di marketing e ai relativi dipendenti, dal territoriodello Stato verso paesi terzi mediante le Bcr Novo Nordisk;

CONSIDERATOche anche Novo Nordisk S.p.A., con dichiarazione del 12 luglio 2011, hasottoscritto la "Lettera di conferma", impegnandosi ad osservare leBcr Novo Nordisk e ad adempiere agli obblighi di cui alle  clausole delterzo beneficiario e di responsabilità;

VISTEle richieste di informazioni avanzate dal Garante in data 18 luglio 2012, 9novembre 2012, 5 febbraio e 6 maggio 2013 nei confronti della menzionata società,volte ad ottenere specifici chiarimenti in particolare in ordine a:

- lanatura (sensibile e non) e la tipologia delle informazioni oggetto di trasferimento(v. nota del Garante del 18 luglio 2012 punto (a)), le specifiche finalitàperseguite (v. nota del Garante del 18 luglio 2012 punto (b)) e i soggetti che,in qualità di interessati, sono coinvolti nel trasferimento dei dati (v. notadel Garante del 18 luglio 2012 punto (c));

- la conformità della clausola del terzo beneficiario ai documenti del Gruppo exart. 29 (in particolare WP 153, paragrafo 1.4) (v. nota del Garante del 6giugno 2013 punto (b));

- ilsistema di responsabilità scelto dal Gruppo (v. nota del Garante del 9 novembre2012 punto (d));

CONSIDERATOche la società, nel rendere riscontro al Garante in ordine ai punti sopramenzionati, assumendo ogni responsabilità ai sensi dell'art. 168 del Codice,con note del 20 settembre 2012, 21 dicembre 2012, 20 marzo e 6 giugno 2013 haespressamente dichiarato che:

- conriferimento alla natura e alla tipologia delle informazioni oggetto ditrasferimento e alle relative finalità, i dati oggetto della richiesta ditrasferimento intra-gruppo verso paesi terzi mediante le Bcr Novo Nordisk siriferiscono a: i pazienti coinvolti e il personale (sanitario e non) impiegatonegli studi clinici per le finalità connesse allo sviluppo di nuovi prodottifarmaceutici; il personale dipendente per le finalità inerenti la gestione delrapporto di lavoro; i clienti, i fornitori, i consulenti, i laboratori, leagenzie di marketing e i loro dipendenti per finalità connesse alla gestioneamministrativa controllata e al monitoraggio dell'andamento del mercatofarmaceutico a scopo commerciale (v. note della società del 20 settembre 2012 edel 6 giugno 2013);

- inmerito alla clausola del terzo beneficiario, "le disposizioni di cui allaDichiarazione unilaterale (v. punti 1, 7 e 8 e Allegato 3) e alle Policy NovoNordisk (v., in particolare, parte I) sono pienamente conformi a quantoprevisto dai documenti del Gruppo ex art. 29 WP 74 (punti 3.3.2 e 5.5.1) e WP153 (punto 1.4)" (v. nota della società del 6 giugno 2013);

- conriferimento al regime di responsabilità prescelto, il Gruppo Novo Nordisk ha adottato un "sistema in cui chi trasferisce i dati personali èresponsabile di eventuali pretese avanzate per violazione delle Bcr",sistema al quale la Novo Nordisk S.p.A. ha espressamente aderito mediantesottoscrizione della Lettera di conferma datata 12 luglio 2011 (v. nota dellasocietà del 21 dicembre 2012, punto (2));

RILEVATO,comunque, che le operazioni di trattamento dei dati personali, anche se postein essere a seguito del rilascio della presente autorizzazione, saranno lecitesolo ove conformi alla normativa nazionale vigente e alle sue successivemodificazioni, nonché alle specifiche disposizioni in materia di protezione deidati personali, con particolare riferimento ai presupposti di legittimità delleattività di raccolta dei dati oggetto del trasferimento e alla sussistenza deipresupposti di legittimità per la comunicazione dei dati medesimi;

VISTOl'art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati inviolazione della disciplina rilevante in materia di trattamento di datipersonali non possono essere utilizzati;

CONSIDERATOche il Garante, ai sensi dell'art. 154, comma 1, lett. a) e d) del Codice, hail compito di controllare la conformità dei trattamenti di dati alla disciplinaapplicabile e può, anche d'ufficio, vietare o disporre il blocco, nonchéadottare gli ulteriori provvedimenti previsti dalla medesima;

VISTIgli atti d'ufficio;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIO' PREMESSO IL GARANTE

a)ai sensi dell'art. 44, comma 1, lett. a) del Codice, autorizza Novo NorsdiskS.p.A. a trasferire, nell'ambito del Gruppo Novo Nordisk, i dati personalirelativi al personale dipendente, ai pazienti coinvolti e al personale(sanitario e non) impiegato negli studi clinici, ai clienti, ai fornitori, aiconsulenti, ai laboratori, alle agenzie di marketing e ai relativi dipendentidal territorio dello Stato, verso gli Enti Novo Nordisk aventi la loro sede inpaesi non appartenenti all'Unione europea, secondo le modalità fissate nelleBcr Novo Nordisk e per il perseguimento delle sole finalità ivi dichiarate;

b)ai sensi dell'art. 154, comma 1, lettere a) e d) del Codice, si riserva disvolgere in qualsiasi momento i necessari controlli sulla liceità e correttezzadel trasferimento dei dati e, comunque, su ogni operazione di trattamento adessi inerente, nonché di adottare, se necessario, eventuali provvedimenti anchedi blocco o di divieto.

Roma, 11 luglio 2013

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia