Autorizzazione al trasferimento deidati mediante BCR da parte del network Ernst & Young

PROVVEDIMENTO DEL 23 GENNAIO 2014

Registro dei provvedimenti
 n. 27 del 23 gennaio 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOl'art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo edel Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possonoessere trasferiti in un paese non appartenente all'Unione europea qualora ilpaese terzo garantisca un livello di protezione adeguato;

VISTOl'art. 26 della predetta direttiva il quale individua alcune deroghe almenzionato principio, prevedendo anche che uno Stato membro possa autorizzareun trasferimento o una categoria di trasferimenti di dati personali verso unpaese terzo che non garantisca un livello di protezione adeguato, qualora iltitolare del trattamento offra garanzie sufficienti per la tutela della vitaprivata e dei diritti e delle libertà fondamentali delle persone, nonché perl'esercizio dei diritti connessi;

VISTOil decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezionedei dati personali (di seguito "Codice");

VISTO,in particolare, l'art. 44, comma 1, lett. a), del Codice, il quale stabilisceche il trasferimento di dati personali diretto verso un paese non appartenenteall'Unione europea è consentito quando è autorizzato dal Garante sulla base diadeguate garanzie per i diritti dell'interessato, individuate dall'Autoritàanche in relazione a regole di condotta esistenti nell'ambito di societàappartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia"Norme vincolanti di impresa" di seguito "Bcr");

VISTOche la citata disposizione garantisce all'interessato la possibilità di farvalere i propri diritti nel territorio dello Stato, secondo le regole fissatedal Codice, anche in caso di mancata osservanza delle garanzie individuatenelle Bcr;

CONSIDERATOche il Gruppo di lavoro istituito dall'art. 29 della direttiva 95/46/CE (diseguito "Gruppo ex art. 29"), che ha tra i propri compiti quello difornire interpretazioni e pareri per garantire una omogenea applicazione deiprincipi della direttiva all'interno dell'Unione europea,  ha ritenuto chele Bcr possano costituire uno strumento di trasferimento di dati personaliverso paesi terzi astrattamente idoneo ad assicurare un livello adeguato diprotezione dei diritti degli interessati e dunque compatibile con la disciplinacontenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTIgli specifici requisiti − individuati dal Gruppo ex art. 29  neidocumenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24giugno 2008 − che tali regole di condotta devono soddisfare al fine diconsentire ai gruppi multinazionali d'impresa, che intendano adottarle, diottenere le necessarie autorizzazioni nazionali al trasferimentotransfrontaliero dei dati all'interno del gruppo;

CONSIDERATOaltresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14aprile 2005, in cui si definisce la procedura di cooperazione che deve essereosservata ai fini del rilascio delle autorizzazioni nazionali in materia diBcr, prevedendo tra l'altro che essa sia coordinata da un'Autorità diprotezione dei dati personali di uno degli Stati membri dell'UE interessati daltrasferimento transfrontaliero dei dati, Autorità che agisce in qualità di"lead Authority" ("Autorità capofila");

TENUTOCONTO dell'adesione del Garante alla pratica di mutua collaborazione (c.d."Declaration on mutual recognition", ossia "Dichiarazione dimutuo riconoscimento") che consente una piò rapida definizione dellaprocedura di cooperazione sopra citata, prevedendo che il parere positivo dellalead Authority sul c.d. "final draft" ("testo definitivo")delle Bcr possa costituire una base sufficiente al rilascio delle relativeautorizzazioni nazionali;

VISTAla richiesta, contenuta nelle Application form, di cui al WP 133 del 10 gennaio2007, pervenuta al Garante in data 9 gennaio 2012, presentata da Ernst &Young Global Limited – società facente parte della rete di imprese diErnst & Young (di seguito "network Ernst & Young") operantenel settore di servizi professionali di revisione e organizzazione contabile,fiscalità, transaction e advisory, dinanzi all'Autorità di protezione dei datipersonali del Regno Unito di Gran Bretagna e Irlanda del Nord (InformationCommissioner's Office, di seguito "ICO"), individuata quale leadAuthority della relativa procedura;

RILEVATOche tale richiesta è inoltrata da Ernst & Young Global Limited –società (con sede nel Regno Unito di Gran Bretagna e Irlanda del Nord) cui èstata attribuita la responsabilità in materia di protezione dei dati personalinell'ambito del network Ernst & Young ed è volta a ottenerel'autorizzazione al trasferimento intra-gruppo verso paesi terzi dei datipersonali relativi ai "dipendenti, partner, committenti, direttori, exdipendenti, ex partner, ex committenti, ex direttori, familiari,appaltatori/sub-appaltatori, clienti, fornitori" per le finalità c.d.commerciali, da intendersi nei termini indicati nel dettaglio nell'ApplicationForm (Sezione 7), mediante l'adozione delle Norme vincolanti di impresa c.d."Bcr Ernst & Young";

PRESOATTO che le Bcr Ernst & Young consistono in una policy aziendale, definita"Programma di Norme Vincolanti d'Impresa per la protezione dei dati Ernst& Young" (di seguito "Policy Bcr") e  da  6allegati: "Appendice 1 – Ruoli e responsabilità in materia diprotezione dei dati"; "Appendice 2 – Procedura per la richiestadi accesso dell'interessato"; "Appendice 3 – Valutazione delprotocollo di conformità"; "Appendice 4 – Procedura di gestionedei reclami"; "Appendice 5 – Procedura di cooperazione";"Appendice 6 – Procedura di aggiornamento";

CONSIDERATOche il network Ernst & Young è costituito da una rete globale di entitàgiuridiche indipendenti ("Member Firms") vincolate, in virtò di un"Contratto di associazione", al rispetto di una serie di regole, c.d."Norme di Ernst & Young";

PRESOATTO che il menzionato "Contratto di associazione" è sottoscritto daciascuna Member Firm e da Ernst & Young Global Limited, società cui, inqualità di entità centrale di governance del network, è stato attribuito ilruolo di promuovere il coordinamento e la cooperazione tra le Member Firms;

TENUTOCONTO che le suddette "Norme di Ernst & Young" stabiliscono chele Member Firms sono tenute ad attuare  e mantenere standard, metodologiee politiche comuni, ivi compresi quelli relativi alla protezione dei dati, eche la "Policy Bcr" costituisce una delle politiche comuni delnetwork Ernst & Young;

RILEVATO,inoltre, che ai sensi del "Contratto di associazione" e delle"Norme di Ernst & Young"  tutte le Members Firms sonosoggette a controlli volti a valutare il rispetto delle regole e dellepolitiche comuni, pena la comminazione di sanzioni tra cui la risoluzione del"Contratto di associazione" medesimo;

PRESOATTO che la "Policy Bcr" è pubblicata sul sito Internet del networkErnst & Young (v. "Policy Bcr", pag. 1);

RILEVATOche l'ICO in data 21 dicembre 2012, all'esito della procedura europeaconcernente le Bcr Ernst & Young, attivata secondo le forme del mutuoriconoscimento, ha inoltrato alle Autorità di protezione dei dati personaliinteressate il relativo final draft, attestandone la conformità ai requisitiindividuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATOche il Garante in data 14 febbraio 2013 ha confermato di aver ricevuto il testodefinitivo delle Bcr Ernst & Young, riservandosi di valutare, in sede diprocedura nazionale, la conformità di tale final draft alla normativa italiana;

VISTAl'istanza del 12 luglio 2013 presentata, ai sensi dell'art. 44, comma 1, lett.a), da Studio Legale Tributario in association with Ernst & Young, GlobalShares Services S.r.l., Ernst & Young Financial-Business Advisors S.p.A.(con sede in Milano), Reconta Ernst & Young e Ernst & Young BusinessSchool S.r.l. (entrambe con sede in Roma), volta a ottenere il rilasciodell'autorizzazione nazionale ai trasferimenti infragruppo da parte delleMember Firms del network Ernst & Young, mediante le Bcr Ernst & Young,con riferimento ai dati personali relativi al "personale dipendente"(ivi compresi gli ex dipendenti, partner, direttori e personale dirigenziale)per finalità amministrativo contabili e per "l'adempimento di obblighi dilegge e regolamentari"; i candidati all'assunzione e i potenziali partner,direttori e personale dirigenziale per attività collegate all'assunzione dipersonale ed all'instaurazione di un rapporto di lavoro o di collaborazione; i"clienti", "fornitori", "appaltatori","subappaltatori" e "altri terzi" per "operazioni relativeall'attività d'impresa" e per "l'adempimento di obblighi di legge eregolamentari"; i familiari, coniugi o equivalenti a carico di attuali edex dipendenti, direttori, personale dirigenziale e partner, nonché i contattidi emergenza di attuali ed ex dipendenti, direttori, personale dirigenziale epartner, per finalità di "gestione del personale", di"comunicazioni ed emergenze" e per "l'adempimento di obblighi dilegge e regolamentari" (come specificato in dettaglio nella Tabellaallegata alla presente autorizzazione e costituente parte integrante della stessa– "Allegato 1");

VISTEle richieste di informazioni avanzate dal Garante in data 4 novembre, 16dicembre 2013 e 8 gennaio 2014 nei confronti delle menzionate società, volte adottenere specifici chiarimenti in merito a:

- latipologia delle informazioni oggetto di trasferimento, le specifiche finalitàperseguite e i soggetti che, in qualità di interessati, sono coinvolti neltrasferimento dei dati (v. nota del 4 novembre 2013, punto (a), nota del 16dicembre 2013, punti (a) e (b) e nota dell'8 gennaio 2014, punti (a), (b) e(c));

- ilsistema di responsabilità prescelto dal network Ernst & Young (v. nota del4 novembre 2013, punto (b));

- laconformità al Codice in materia di protezione dei dati personali della Parte II(contenente "Le Norme") della "Policy Bcr" (v. nota del 4novembre 2013, punto (c));

CONSIDERATOche la società, nel rendere riscontro al Garante in ordine ai punti sopramenzionati, assumendo ogni responsabilità ai sensi dell'art. 168 del Codice,con note del 18 novembre 2013, del 7 e del 9 gennaio 2014, ha espressamentedichiarato quanto segue:

- conriferimento alle categorie di interessati e alla tipologia di informazionipersonali oggetto di trasferimento, l'istanza di autorizzazione si riferisce a:il ´"personale dipendente" (ivi compresi gli attuali ed exdipendenti, partner, direttori e personale dirigenziale) per finalitàamministrativo contabili e per "l'adempimento di obblighi di legge eregolamentari"; i candidati all'assunzione e i potenziali partner,direttori e personale dirigenziale per attività collegate all'assunzione dipersonale ed all'instaurazione di un rapporto di lavoro o di collaborazione; i"clienti", "fornitori", "appaltatori", "subappaltatori"e "altri terzi" per "operazioni relative all'attivitàd'impresa" e per "l'adempimento di obblighi di legge eregolamentari"; i familiari, coniugi o equivalenti a carico di attuali edex dipendenti, direttori, personale dirigenziale e partner, nonché i contattidi emergenza di attuali ed ex dipendenti, direttori, personale dirigenziale epartner, per finalità di "gestione del personale", di"comunicazioni ed emergenze" e per "l'adempimento di obblighi dilegge e regolamentari"ª. In particolare, ´le categorie di interessatirelative ai "clienti", "fornitori", "appaltatori"e "sub-appaltatori" ricomprendono anche i potenziali, attuali ed exclienti, fornitori, appaltatori e subappaltatori; la categoria relativa al"personale dirigenziale" ricomprende anche i "dirigenti"ª(v. nota del 9 gennaio 2014);

- inordine alle finalità dei trasferimenti oggetto della richiesta diautorizzazione, che queste sono specificatamente individuate nella Tabellaallegata alle note del 7 e 9 gennaio 2014 (costituente l'Allegato 1 dellapresente autorizzazione);

- conriferimento alla clausola di responsabilità, che il network Ernst & Young,in ragione delle peculiarità della propria struttura, "ha adottato unsistema di responsabilità all'interno delle NVI [Bcr Ernst & Young] nelquale l'esportatore dei dati personali è (interamente) responsabile perqualunque azione intentata a seguito di una violazione delle NVI", comerappresentato "agli interessati nelle NVI all'interno della Sezione ´Qualisono le conseguenze pratiche per la raccolta e l'uso dei dati personali nel SEEª"(v. nota della società del 18 novembre 2013, punto 2);

- inordine alla Parte II della "Policy Bcr", il network Ernst & Younggarantisce la piena conformità dei principi ivi menzionati alle disposizionicontenute nel Codice in materia di protezione dei dati personali, ciò conparticolare riferimento a quelle in materia di modalità di trattamento (art.11), informativa da rendere agli interessati (art. 13),  rispetto deicriteri di legittimità del trattamento di cui agli artt. 23 e 24 del Codice,misure di sicurezza (artt. 31 e ss.), nonché trasferimenti dei dati personalinei confronti di soggetti esterni al network  (artt. 42 e ss.) (v. notadel 18 novembre 2013, punto 3);

RILEVATOcomunque che le operazioni di trattamento dei dati personali, anche se poste inessere a seguito del rilascio della presente autorizzazione, saranno lecitesolo ove conformi alla normativa nazionale vigente e alle sue successivemodificazioni, nonché alle specifiche disposizioni in materia di protezione deidati personali, con particolare riferimento ai presupposti di legittimità delleattività di raccolta dei dati oggetto del trasferimento e alla sussistenza deipresupposti di legittimità per la comunicazione dei dati medesimi;

VISTOl'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati inviolazione della disciplina rilevante in materia di trattamento di datipersonali non possono essere utilizzati;

CONSIDERATOche il Garante, ai sensi dell'art. 154, comma 1, lett. da a) a d) del Codice,ha il compito di controllare la conformità dei trattamenti di dati alladisciplina applicabile e può, anche d'ufficio, adottare i provvedimentiprevisti dal Codice medesimo;

VISTIgli atti d'ufficio;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatorela dott.ssa Augusta Iannini;

TUTTO CIO' PREMESSO IL GARANTE

a) aisensi dell'art. 44, comma 1, lett. a) del Codice, autorizza Studio LegaleTributario in association with Ernst & Young, Global Shares ServicesS.r.l., Ernst & Young Financial-Business Advisors S.p.A., Reconta Ernst& Young e Ernst & Young Business School S.r.l. a trasferire,nell'ambito del network Ernst & Young, i dati personali relativi al"personale dipendente" (ivi compresi gli ex dipendenti, partner,direttori e personale dirigenziale), ai candidati all'assunzione, ai potenzialipartner, direttori e personale dirigenziale, ai "clienti", ai"fornitori", agli "appaltatori", ai"subappaltatori", ad "altri terzi", ai familiari, coniugi oequivalenti a carico di attuali ed ex dipendenti, direttori, personale dirigenzialee partner, nonché ai contatti di emergenza di attuali ed ex dipendenti,direttori, personale dirigenziale e partner, dal territorio dello Stato verso isoggetti facenti parte del network Ernst & Young aventi la loro sede inpaesi non appartenenti all'Unione europea, secondo le modalità fissate nelle BcrErnst & Young e per il perseguimento delle sole finalità ivi dichiarate,così come specificatamente indicate nell'Allegato 1 alla presenteautorizzazione;

b) aisensi dell'art. 154, comma 1, lettere da a) a d) del Codice, si riserva disvolgere in qualsiasi momento i necessari controlli sulla liceità e correttezzadel trasferimento dei dati e, comunque, su ogni operazione di trattamento adessi inerente, nonché di adottare, se necessario, i provvedimenti previsti dalCodice.

Roma, 23 gennaio 2014

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia