Garante per la protezione
    dei dati personali


Autorizzazione al trasferimento dei dati mediante BCR da parte di Motorola Solutions Italia S.p.A. e PsionItalia S.r.l.

AUTORIZZAZIONE DEL 9 OTTOBRE 2014

 

Registrodei provvedimenti
 n. 449 del 9 ottobre 2014

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano,componente, e del dott. Giuseppe Busia, segretario generale;

VISTOl'art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo edel Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possonoessere trasferiti in un paese non appartenente all'Unione europea qualora ilpaese terzo garantisca un livello di protezione adeguato;

VISTOl'art. 26 della predetta direttiva, il quale individua alcune deroghe almenzionato principio, prevedendo che uno Stato membro possa autorizzare untrasferimento o una categoria di trasferimenti di dati personali verso un paeseterzo che non garantisca un livello di protezione adeguato, qualora il titolaredel trattamento offra garanzie sufficienti per la tutela della vita privata edei diritti e delle libertà fondamentali delle persone, nonché per l'eserciziodei diritti connessi;

VISTO ildecreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione deidati personali (di seguito "Codice");

VISTO,in particolare, l'art. 44, comma 1, lett. a) del Codice, il quale stabilisceche il trasferimento di dati personali diretto verso un paese non appartenenteall'Unione europea è consentito quando è autorizzato dal Garante sulla base diadeguate garanzie per i diritti dell'interessato, individuate dall'Autoritàanche in relazione a regole di condotta esistenti nell'ambito di societàappartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia"Norme vincolanti di impresa", di seguito "Bcr");

VISTOche la citata disposizione garantisce all'interessato la possibilità di farvalere i propri diritti nel territorio dello Stato, secondo le regole fissatedal Codice, anche in caso di mancata osservanza delle garanzie individuatenelle Bcr;

CONSIDERATOche il Gruppo di lavoro istituito dall'art. 29 della direttiva 95/46/CE (diseguito "Gruppo ex art. 29"), che ha tra i propri compiti quello difornire interpretazioni e pareri per garantire una omogenea applicazione deiprincipi della direttiva all'interno dell'Unione europea, ha ritenuto che leBcr possano costituire uno strumento di trasferimento di dati personali verso paesiterzi astrattamente idoneo ad assicurare un livello adeguato di protezione deidiritti degli interessati e, dunque, compatibile con la disciplina contenutanella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTIgli specifici requisiti − individuati dal Gruppo ex art. 29  neidocumenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24giugno 2008 − che tali regole di condotta devono soddisfare al fine diconsentire ai gruppi multinazionali d'impresa, che intendano adottarle, diottenere le necessarie autorizzazioni nazionali al trasferimentotransfrontaliero dei dati all'interno del gruppo;

CONSIDERATO,altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del14 aprile 2005, con cui è stata definita la procedura di cooperazione che deveessere osservata ai fini del rilascio delle autorizzazioni nazionali in materiadi Bcr, prevedendo, tra l'altro, che detta procedura debba essere coordinata daun'Autorità di protezione dei dati personali di uno degli Stati membri dell'UEinteressati dal trasferimento transfrontaliero dei dati, Autorità che agisce inqualità di "lead Authority" ("Autorità capofila");

TENUTOCONTO dell'adesione del Garante alla pratica di mutua collaborazione (c.d."Declaration on mutual recognition", ossia "Dichiarazione dimutuo riconoscimento") che consente una più rapida definizione dellaprocedura di cooperazione sopra citata, prevedendo che il parere positivo dellalead Authority sul c.d. "final draft" ("testo definitivo")delle Bcr possa costituire una base sufficiente al rilascio delle relativeautorizzazioni nazionali;

VISTA larichiesta, contenuta nell'Application form, di cui al WP 133 del 10 gennaio2007, presentata da Motorola Solutions UK Limited − società del gruppoMotorola Solutions operante in qualità di fornitore di soluzioni e servizi perimprese ed enti pubblici nel settore della pubblica sicurezza, delleinfrastrutture di telecomunicazione e dei dispositivi computerizzati portatili(la cui capogruppo, Motorola Solutions Inc., ha sede negli Stati Unitid'America) − dinanzi all'Autorità di protezione dei dati personali delRegno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner'sOffice, di seguito "ICO"), che è stata individuata quale leadAuthority della relativa procedura;

RILEVATOche tale richiesta, pervenuta al Garante in data 13 ottobre 2011, è statapresentata da Motorola Solutions UK Limited (società con sede nel Regno Unitodi Gran Bretagna e Irlanda del Nord), in nome e per conto della capogruppo e ditutte le società controllate, direttamente o indirettamente, dalla medesima, edè volta a ottenere l'autorizzazione al trasferimento intra-gruppo verso paesiterzi mediante l'adozione delle Norme vincolanti di impresa c.d. "Bcr MotorolaSolutions", dei dati personali relativi a clienti, dipendenti e fornitoriper finalità di carattere "commerciale" (v. application form - WP133, Parte 2, par. 7);

PRESOATTO che le Bcr Motorola Solutions consistono in un contratto infragruppo,"Intra-Group Agreement", sottoscritto da Motorola Solutions UKLimited e dalle altre entità del gruppo Motorola Solutions stabilite nell'areaSEE (di seguito "Entità SEE") e fuori dall'area SEE (di seguito"Entità non-SEE"), contenente l'Allegato 1 – "Entità SEE",l'Allegato 2 – "Entità non-SEE", l'Allegato 3 "Normevincolanti in materia di privacy" (di seguito "Norme") el'Allegato 4 – "Atto di adesione";

CONSIDERATOche, con l'"Intra-Group Agreement", Motorola Solutions UK Limited, le"Entità SEE" e le "Entità non-SEE" "accettano diessere vincolate da e di conformarsi pienamente a tutte le disposizioni delleBcr [Motorola Solutions] in riferimento a qualsivoglia informazione [personale](Š) trasferita da qualsivoglia Entità SEE a un'Entità non-SEE", ivi compresele clausole di responsabilità e del terzo beneficiario (v. "Intra-GroupAgreement", artt. 1, 4 e 5);

RILEVATOche l'"Atto di adesione" consente di vincolare negli stessi termini ealle stesse condizioni dell'"Intra-Group Agreement" le entità delgruppo Motorola Solutions  che volessero successivamente aderire alle BcrMotorola Solutions (v. application form - WP 133, Parte 2, par. 4);

PRESOATTO che Motorola Solutions UK Limited, le "Entità SEE" e le"Entità non-SEE" si sono impegnate, inoltre, a pubblicare sul sitointernet le "Bcr Motorola Solutions" (cfr. "Norme", par."Pubblicazione delle Norme");

RILEVATOche l'ICO, in data 12 ottobre 2012, all'esito della procedura concernente leBcr Motorola Solutions, attivata secondo le forme del mutuo riconoscimento, hainoltrato alle Autorità di protezione dei dati personali interessate ilrelativo final draft, attestandone la conformità ai requisiti individuati daidocumenti del Gruppo ex art. 29 sopra citati, e ha rilasciato la relativaautorizzazione il 2 maggio 2013;

CONSIDERATOche il Garante, in data 17 dicembre 2012, ha rappresentato all'ICO che, ai finidel rilascio della relativa autorizzazione nazionale, "saranno valutati iprofili di conformità del testo Bcr con la normativa italiana" (cfr. notadel 17 dicembre 2012);

VISTAl'istanza del 17 febbraio 2014, con cui Motorola Solutions Italia S.p.A.. ePsion Italia S.r.l., (con sede  in Milano), ai sensi dell'art. 44, comma1, lett. a) del Codice, hanno chiesto il rilascio dell'autorizzazione nazionaleal trasferimento infragruppo dei dati personali relativi a: il personaledipendente (ivi compresi gli ex dipendenti, i pensionati, i collaboratori, lepersone a carico ed altri familiari) per finalità di gestione dei contatti diemergenza, rispetto degli obblighi di segnalazione e di altri requisitinormativi, elenco interno globale dei contatti dei dipendenti, gestione dellasupply chain, amministrazione del personale, assunzione e valutazione delleprestazioni e del talent management; i fornitori (inclusi i dipendenti deifornitori) per le finalità di gestione e amministrazione della supply chain,controllo dei fornitori ed elenco interno dei contatti dei fornitori; i clienti(ivi compresi i dipendenti dei clienti) per finalità di gestione eamministrazione della clientela, controllo del credito, ricezione di ordini edevasioni, assistenza clienti, elenco interno dei contatti clienti, marketing,ricerche ed analisi;  i consulenti e i collaboratori nell'ambito dellarealizzazione di "progetti e attività di carattere temporaneo", dalterritorio dello Stato verso paesi terzi mediante le Bcr Motorola Solutions;

VISTE lerichieste di informazioni avanzate dal Garante in data 24 aprile e 19 giugno2014 nei confronti delle menzionate società, volte ad ottenere specificichiarimenti in particolare con riferimento ai seguenti aspetti:

-    le categorie di interessati e lerelative finalità oggetto delle operazioni di trasferimento di cui allapresente autorizzazione, con particolare riferimento ai c.d. "altrisoggetti" menzionati dalle "Norme", par. "Oggetto delleNorme") (v. note del Garante del 24 aprile 2014, punti (a) e (b) e del 19giugno 2014, punto (c));

-    il rispetto di alcuni principi inmateria di protezione dei dati personali, con particolare riferimento a:"modalità del trattamento e requisiti dei dati" (art. 11 del Codice),specialmente in merito al rispetto dei principi di liceità e finalità deltrattamento; "informativa" (art. 13 del Codice), soprattutto inordine ai casi in cui essa non è dovuta o può essere fornita con modalitàsemplificate; "diritto di accesso ai dati personali e altri diritti"(artt. 7 – 10 del Codice), con specifico riferimento al diritto diaccesso, ivi compresi eventuali limiti al suo esercizio, e alla previsione deidiritti di aggiornamento, integrazione, cancellazione, trasformazione in formaanonima, blocco e opposizione al trattamento (v. nota del Garante del 24 aprile2014, punto (c));

-    l'adempimento degli obblighi ditrasparenza nei confronti del personale dipendente (v. WP 153, par. 1.7),confermando che le Bcr Motorola Solutions saranno pubblicate sulla intranetaziendale (v. nota del Garante del 19 giugno 2014, punto (b));

CONSIDERATOche le società, nel rendere riscontro al Garante in ordine ai punti sopramenzionati, assumendo ogni responsabilità ai sensi dell'art. 168 del Codice,con note del 22 maggio e 29 luglio 2014 hanno espressamente dichiarato che:

- con il termine "altri soggetti" s'intendela categoria di "altri consulenti/collaboratori che supportano MotorolaSolutions in progetti e attività di carattere temporaneo" (v. nota dellesocietà del 29 luglio 2014, punto (c));

- procederanno al trattamento dei dati personali inconformità alle leggi locali vigenti (v. "Norme", par."Conformità alle leggi locali"), confermando al contempo il rispetto,da parte delle stesse, dei principi in materia di protezione dei dati personalisopra richiamati  (v. nota delle società del 22 maggio 2014, punto (c));

- con riferimento agli obblighi di trasparenza, "le Bcr sono pubblicate sul portale intranet aziendale di MotorolaSolutions dedicato alla privacy" (v. nota delle società del 29 luglio2014, punto (b));

RILEVATO,comunque, che le operazioni di trattamento dei dati personali, anche se postein essere a seguito del rilascio della presente autorizzazione, saranno lecitesolo ove conformi alla normativa nazionale vigente e alle sue successivemodificazioni, nonché alle specifiche disposizioni in materia di protezione deidati personali, con particolare riferimento ai presupposti di legittimità delleattività di raccolta dei dati oggetto del trasferimento e alla sussistenza deipresupposti di legittimità per la comunicazione dei dati medesimi;

VISTOl'art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati inviolazione della disciplina rilevante in materia di trattamento di datipersonali non possono essere utilizzati;

CONSIDERATOche il Garante, ai sensi dell'art. 154, comma 1, lett. da a) a d) del Codice,ha il compito di controllare la conformità dei trattamenti di dati alladisciplina applicabile e può, anche d'ufficio, adottare i provvedimentiprevisti dal Codice medesimo;

VISTIgli atti d'ufficio;

VISTE leosservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000;

Relatorela prof.ssa Licia Califano;

TUTTO CIO' PREMESSO IL GARANTE

a)     ai sensi dell'art. 44,comma 1, lett. a) del Codice, autorizza Motorola Solutions Italia S.p.A.. ePsion Italia S.r.l., a trasferire, nell'ambito del gruppo Motorola Solutions, idati personali relativi al personale dipendente (ivi compresi gli exdipendenti, i pensionati, i collaboratori, le persone a carico ed altrifamiliari), ai fornitori (inclusi i dipendenti dei fornitori), ai clienti (ivicompresi i dipendenti dei clienti), ai consulenti e ai collaboratori dalterritorio dello Stato verso i soggetti facenti parte del Gruppo MotorolaSolutions aventi la loro sede in paesi non appartenenti all'Unione europea, secondole modalità fissate nelle Bcr Motorola Solutions e per il perseguimento dellesole finalità ivi dichiarate;

b)     ai sensi dell'art. 154,comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasimomento i necessari controlli sulla liceità e correttezza del trasferimento deidati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché diadottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 9 ottobre 2014

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia