Autorizzazione al trasferimento dei dati mediante BCR daparte di Citibank N. A.,Citigroup Global Markets Limited e Citibank International Plc

AUTORIZZAZIONE DEL 26 GIUGNO 2014

Registro dei provvedimenti
 n. 325 del 26 giugno 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOl'art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo edel Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possonoessere trasferiti in un paese non appartenente all'Unione europea qualora ilpaese terzo garantisca un livello di protezione adeguato;

VISTOl'art. 26 della predetta direttiva, il quale individua alcune deroghe almenzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimentoo una categoria di trasferimenti di dati personali verso un paese terzo che nongarantisca un livello di protezione adeguato, qualora il titolare deltrattamento offra garanzie sufficienti per la tutela della vita privata e deidiritti e delle libertà fondamentali delle persone, nonché per l'esercizio deidiritti connessi;

VISTOil decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezionedei dati personali (di seguito "Codice");

VISTO,in particolare, l'art. 44, comma 1, lett. a) del Codice, il quale stabilisceche il trasferimento di dati personali diretto verso un paese non appartenenteall'Unione europea è consentito quando è autorizzato dal Garante sulla base diadeguate garanzie per i diritti dell'interessato, individuate dall'Autoritàanche in relazione a regole di condotta esistenti nell'ambito di societàappartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia"Norme vincolanti di impresa", di seguito "Bcr");

VISTOche la citata disposizione garantisce all'interessato la possibilità di farvalere i propri diritti nel territorio dello Stato, secondo le regole fissatedal Codice, anche in caso di mancata osservanza delle garanzie individuatenelle Bcr;

CONSIDERATOche il Gruppo di lavoro istituito dall'art. 29 della direttiva 95/46/CE (diseguito "Gruppo ex art. 29"), che ha tra i propri compiti quello difornire interpretazioni e pareri per garantire una omogenea applicazione deiprincipi della direttiva all'interno dell'Unione europea,  ha ritenuto chele Bcr possano costituire uno strumento di trasferimento di dati personaliverso paesi terzi astrattamente idoneo ad assicurare un livello adeguato diprotezione dei diritti degli interessati e, dunque, compatibile con ladisciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26,par. 2);

VISTIgli specifici requisiti − individuati dal Gruppo ex art. 29  neidocumenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24giugno 2008 − che tali regole di condotta devono soddisfare al fine diconsentire ai gruppi multinazionali d'impresa, che intendano adottarle, diottenere le necessarie autorizzazioni nazionali al trasferimentotransfrontaliero dei dati all'interno del gruppo;

CONSIDERATO,altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del14 aprile 2005, con cui è stata definita la procedura di cooperazione che deveessere osservata ai fini del rilascio delle autorizzazioni nazionali in materiadi Bcr, prevedendo, tra l'altro, che detta procedura debba essere coordinata daun'Autorità di protezione dei dati personali di uno degli Stati membri dell'UEinteressati dal trasferimento transfrontaliero dei dati, Autorità che agisce inqualità di "lead Authority" ("Autorità capofila");

TENUTOCONTO dell'adesione del Garante alla pratica di mutua collaborazione (c.d."Declaration on mutual recognition", ossia "Dichiarazione dimutuo riconoscimento") che consente una più rapida definizione dellaprocedura di cooperazione sopra citata, prevedendo che il parere positivo dellalead Authority sul c.d. "final draft" ("testo definitivo")delle Bcr possa costituire una base sufficiente al rilascio delle relativeautorizzazioni nazionali;

VISTAla richiesta, contenuta nell'Application form, di cui al WP 133 del 10 gennaio2007, presentata da Citigroup Global Markets Limited − società del GruppoCiti operante nel settore bancario e dei servizi finanziari (la cui capogruppo,Citigroup Inc., ha sede negli Stati Uniti d'America) − dinanziall'Autorità di protezione dei dati personali del Regno Unito di Gran Bretagnae Irlanda del Nord (Information Commissioner's Office, di seguito"ICO"), che è stata individuata quale lead Authority della relativaprocedura;

RILEVATOche tale richiesta, pervenuta al Garante in data 22 ottobre 2009, è statapresentata da Citigroup Global Markets Limited (società con sede nel RegnoUnito di Gran Bretagna e Irlanda del Nord), in nome e per conto dellacapogruppo e di tutte le società controllate, direttamente o indirettamente,dalla medesima, ed è volta a ottenere l'autorizzazione al trasferimentointra-gruppo verso paesi terzi mediante l'adozione delle Norme vincolanti diimpresa c.d. "Bcr Citi", dei dati personali relativi al"personale europeo" per finalità connesse "al loro rapporto dilavoro, (ä) per acquisire o erogare servizi (ä), per le attività ordinaried'impresa" (v. application form - WP 133, par. 7);

PRESOATTO che le Bcr Citi consistono in una "Policy" adottata dallacapogruppo Citigroup Inc. – contenente l'Allegato 1 –"Standard contrattuali per la stipula di contratti relativi ai datitrasferiti del personale europeo", l'Allegato 2 – "Dirittidelle Autorità di protezione dei dati" e l'Allegato 3"Contatti", nonché in un "Contratto a favore del terzo" (diseguito "Contratto") sottoscritto da Citigroup Global Markets Limitede dai soggetti del gruppo che trasferiscono dati "trattati da o per contodi un'entità Citi nello Spazio Economico Europeo o in Svizzera" (c.d."Entità Esportatrici" – v. "Contratto", art. 1);

CONSIDERATOche, con il "Contratto", Citigroup Global Markets Limited  e le"Entità Esportatrici" si impegnano al rispetto della clausola diresponsabilità e della clausola del terzo beneficiario (v."Contratto", artt. 2 e 4) garantendo all'interessato, in caso diinadempimento delle Bcr Citi, il diritto di "far valere le NormeVincolanti d'Impresa e avviare la propria pretesa nei confrontidell'Esportatrice interessata" (v. "Contratto", articoli 2.2 e2.2.2.) e ottenere "il risarcimento da parte dell'Esportatrice interessataper i danni subiti" (v. "Contratto", art. 2.2.4);

PRESOATTO che Citigroup Global Markets Limited  e le "EntitàEsportatrici" si sono impegnate, inoltre, a pubblicare sulla intranetaziendale le "Bcr Citi" (cfr. "Policy", paragrafi 14.4 e16.1);

RILEVATOche l'ICO, in data 23 maggio 2012, all'esito della procedura concernente le BcrCiti, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alleAutorità di protezione dei dati personali interessate il relativo final draft,attestandone la conformità ai requisiti individuati dai documenti del Gruppo exart. 29 sopra citati, e ha rilasciato la relativa autorizzazione il 14 giugno2012;

CONSIDERATOche il Garante, in data 7 giugno 2012, ha rappresentato all'ICO che, ai finidel rilascio della relativa autorizzazione nazionale, "saranno valutati iprofili di conformità del testo Bcr con la normativa italiana" (cfr. notadel 7 giugno 2012);

VISTAl'istanza del 31 luglio 2013, con cui Citibank N. A. (sede secondaria),Citigroup Global Markets Limited (sede secondaria) e Citibank International Plc(sede secondaria), (con sede  in Milano), ai sensi dell' art. 44, comma 1,lett. a), hanno chiesto il rilascio dell'autorizzazione nazionale altrasferimento infragruppo dei dati personali relativi ai c.d. "Lavoratorieuropei" per finalità di: gestione delle risorse umane eamministrativo-contabili, pianificazione e implementazione di serviziinformatici e tecnologici di gruppo integrati, gestione dell'infrastruttura ITe supporto tecnologico, marketing e per il perseguimento di "altre finalitàstatutarie", dal territorio dello Stato verso paesi terzi mediante le BcrCiti;

PRESOATTO che con il termine "Lavoratore europeo" si  ricomprendonoil  "personale dipendente" (come definito all'art. 1.1.1.(1) del"Contratto") e il "personale non dipendente" (come definitoall'art. 1.1.1.(2) del "Contratto" medesimo) che "sia o siastato incaricato da o impiegato presso Citi", ivi compresi i candidatiall'assunzione nonché ´qualsiasi persona a carico o altra persona  i cuidettagli siano stati forniti da un "Lavoratore" a Citi per questionidi gestione delle risorse umaneª  (cfr. "Contratto", art.1.1.11);

VISTEle richieste di informazioni avanzate dal Garante in data 14 novembre 2013, 23gennaio, 12 marzo e 16 aprile 2014 nei confronti delle menzionate società,volte ad ottenere specifici chiarimenti in particolare con riferimento aiseguenti aspetti:

- ilsistema di responsabilità, al fine di chiarire quale sia il soggettoall'interno del gruppo sul quale ricade la responsabilità in caso di"Inadempimento" (v. nota del Garante del 23 gennaio 2014, punto (d));

- la clausola del terzo beneficiario, la sussistenza di condizioni di esperibilità ela sua conformità a quanto previsto nei documenti WP 74 (punti 3.3.2 e 5.5.1),WP 108 (punti 5.12 ss.) ed in particolare al WP 155 (punto 9) dell'Article 29Data Protection Working Part (v. note del Garante del 14 novembre 2013, punto(b) e 23 gennaio 2014, punto (c));

- le modalitàdel trattamento, al fine di confermare che i principi esplicitati all'internodella "Policy" saranno interpretati e applicati in conformità con ilCodice, in particolare con riferimento al rilascio di idonea informativaall'interessato (art. 13) e ai trasferimenti all'estero di dati personali neiconfronti di soggetti esterni al gruppo (artt. 42 e ss.) (v. nota del Garantedel 14 novembre 2013, punto c));

- ilriferimento alle "altre finalità statutarie" (v. nota del Garante del16 aprile 2014), annoverate dalle società tra le finalità perseguite con itrasferimenti di dati personali di cui alla presente autorizzazione;

CONSIDERATOche le società, nel rendere riscontro al Garante in ordine ai punti sopramenzionati, assumendo ogni responsabilità ai sensi dell'art. 168 del Codice,con note del 6 dicembre 2013, 21 febbraio e 14 aprile 2014 hanno espressamentedichiarato che:

- conriferimento al sistema di responsabilità, "i soggetti esportatori sarannoresponsabili delle violazioni delle BCR secondo quanto previsto dal Contratto afavore di terzo" (v. nota delle società del 21 febbraio 2014, punto (d));

- conriguardo alla clausola del terzo beneficiario, essa è conforme a quantoprevisto dai sopra menzionati documenti; la previsione di cui al"Contratto" (v. Allegato 1 – "Inadempimento"), con laquale si condiziona l'esercizio della clausola del terzo beneficiario al previoesperimento della procedura interna di risoluzione delle controversie iviprevista (v. anche "Policy", par. 14), non è volta a limitare ildiritto dell'interessato medesimo di adire, in caso di violazione dellesuddette Bcr Citi, direttamente l'Autorità giudiziaria o quella amministrativacompetente (v. note delle società del 6 dicembre 2013, punto (b) e 21 febbraio2014, punto (c));

- inordine alle modalità del trattamento, le società si conformeranno al Codice,alla luce di quanto previsto dall'art. 17.1 della "Policy" in ordineall'applicazione del criterio prevalenza della legislazione locale rispettoalle Bcr Citi (v. nota della società del 6 dicembre 2013, punto ( c));

- inmerito alle "altre finalità statutarie", queste ultime ricomprendonoquelle volte a "provvedere a quanto necessario affinché membripredeterminati del personale ottengano le necessarie autorizzazioni ai sensi diquanto previsto dalla regolamentazione di settore dei servizi finanziari"nonché quelle volte a "garantire la conformità ai requisiti normatividelle attività di trading effettuate dal personale dipendente" (v. notadelle società del 15 maggio 2014, punto (b));

RILEVATOinfine che il "Contratto" risulta vincolante nei confronti diCitigroup Global Markets Limited (sede secondaria) e Citibank International Plc(sede secondaria), in forza della sottoscrizione dello stesso da parte diCitigroup Global Markets Limited e Citibank International Plc (v. nota dellesocietà del 14 aprile 2014, punto (e));

RILEVATO,comunque, che le operazioni di trattamento dei dati personali, anche se postein essere a seguito del rilascio della presente autorizzazione, saranno lecitesolo ove conformi alla normativa nazionale vigente e alle sue successivemodificazioni, nonché alle specifiche disposizioni in materia di protezione deidati personali, con particolare riferimento ai presupposti di legittimità delleattività di raccolta dei dati oggetto del trasferimento e alla sussistenza deipresupposti di legittimità per la comunicazione dei dati medesimi;

VISTOl'art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati inviolazione della disciplina rilevante in materia di trattamento di datipersonali non possono essere utilizzati;

CONSIDERATOche il Garante, ai sensi dell'art. 154, comma 1, lett. da a) a d) del Codice,ha il compito di controllare la conformità dei trattamenti di dati alladisciplina applicabile e può, anche d'ufficio, adottare i provvedimentiprevisti dal Codice medesimo;

VISTIgli atti d'ufficio;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATOREla dott.ssa Giovanna Bianchi Clerici;

TUTTO CIO' PREMESSO IL GARANTE

a)ai sensi dell'art. 44, comma 1, lett. a) del Codice, autorizza Citibank N. A.(sede secondaria), Citigroup Global Markets Limited (sede secondaria) eCitibank International Plc (sede secondaria) a trasferire, nell'ambito delGruppo Citi, i dati personali relativi ai "Lavoratori europei" dalterritorio dello Stato verso i soggetti facenti parte del Gruppo Citi aventi laloro sede in paesi non appartenenti all'Unione europea, secondo le modalitàfissate nelle Bcr Citi e per il perseguimento delle sole finalità ividichiarate;

b)ai sensi dell'art. 154, comma 1, lettere da a) a d) del Codice, si riserva disvolgere in qualsiasi momento i necessari controlli sulla liceità e correttezzadel trasferimento dei dati e, comunque, su ogni operazione di trattamento adessi inerente, nonché di adottare, se necessario, i provvedimenti previsti dalCodice.

Roma, 26 giugno 2014

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia