Autorizzazione al trasferimento dei dati mediante BCR da parte di Shell Italia Oil Products S.r.l., Shell Energy Italia S.r.l. e Shell Italia E&P S.p.A.

Autorizzazione al trasferimento dei dati medianteBCR da parte di Shell Italia Oil Products S.r.l., Shell Energy Italia S.r.l. eShell Italia E&P S.p.A.

AUTORIZZAZIONE DEL 4 DICEMBRE 2014

Registrodei provvedimenti  n. 560 del 4 dicembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOl'art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo edel Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possonoessere trasferiti in un paese non appartenente all'Unione europea qualora ilpaese terzo garantisca un livello di protezione adeguato;

VISTOl'art. 26 della predetta direttiva il quale individua alcune deroghe almenzionato principio, prevedendo anche che uno Stato membro possa autorizzareun trasferimento o una categoria di trasferimenti di dati personali verso unpaese terzo che non garantisca un livello di protezione adeguato, qualora iltitolare del trattamento offra garanzie sufficienti per la tutela della vitaprivata e dei diritti e delle libertà fondamentali delle persone, nonché perl'esercizio dei diritti connessi;

VISTO ildecreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione deidati personali;

VISTO,in particolare, l'art. 44, comma 1, lett. a), del Codice, il quale stabilisceche il trasferimento di dati personali diretto verso un paese non appartenenteall'Unione europea è consentito quando è autorizzato dal Garante sulla base diadeguate garanzie per i diritti dell'interessato, individuate dall'Autoritàanche in relazione a regole di condotta esistenti nell'ambito di societàappartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia"Norme vincolanti di impresa" di seguito "Bcr");

VISTOche la citata disposizione garantisce all'interessato la possibilità di farvalere i propri diritti nel territorio dello Stato, secondo le regole fissatedal Codice, anche in caso di mancata osservanza delle garanzie individuatenelle Bcr;  CONSIDERATO che il Gruppo di lavoro istituito dall'art.29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che hatra i propri compiti quello di fornire interpretazioni e pareri per garantireuna omogenea applicazione dei principi della direttiva all'interno dell'Unioneeuropea, ha ritenuto che le Bcr possano costituire uno strumento ditrasferimento di dati personali verso paesi terzi astrattamente idoneo adassicurare un livello adeguato di protezione dei diritti degli interessati edunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr.,in particolare, art. 26, par. 2);

VISTIgli specifici requisiti − individuati dal Gruppo ex art. 29 neidocumenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24giugno 2008 − che tali regole di condotta devono soddisfare al fine diconsentire ai gruppi multinazionali d'impresa, che intendano adottarle, diottenere le necessarie autorizzazioni nazionali al trasferimentotransfrontaliero dei dati all'interno del gruppo;

CONSIDERATOaltresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14aprile 2005, in cui si definisce la procedura di cooperazione che deve essereosservata ai fini del rilascio delle autorizzazioni nazionali in materia diBcr, prevedendo tra l'altro che essa sia coordinata da un'Autorità diprotezione dei dati personali di uno degli Stati membri dell'UE interessati daltrasferimento transfrontaliero dei dati, Autorità che agisce in qualità di"lead Authority" ("Autorità capofila");

TENUTOCONTO dell'adesione del Garante alla pratica di mutua collaborazione (c.d."Declaration on mutual recognition", ossia "Dichiarazione dimutuo riconoscimento") che consente una più rapida definizione dellaprocedura di cooperazione sopra citata, prevedendo che il parere positivo dellalead Authority sul c.d. "final draft" ("testo definitivo")delle Bcr possa costituire una base sufficiente al rilascio delle relativeautorizzazioni nazionali;

VISTA larichiesta (c.d. "Application form"), pervenuta al Garante in data 2agosto 2010, presentata da Shell International B.V. – società (con sedenei Paesi Bassi) del gruppo Shell, operante nel settore dell'energia–,dinanzi all'Autorità olandese di protezione dei dati personali (Collegebescherming persoonsgegevens di seguito "CBP"), individuata qualelead Authority della relativa procedura;

RILEVATOche tale richiesta è stata presentata da Shell International B.V., in nome eper conto di tutte le società controllate, direttamente o indirettamente (c.d."Società Shell"), dalla capogruppo Royal Dutch Shell plc. (con sedenei Paesi Bassi), ed è volta a ottenere l'autorizzazione al trasferimentointra-gruppo verso paesi terzi dei dati personali relativi al personaledipendente, ai clienti, ai fornitori e ai partner commerciali per le finalitàindicate nel dettaglio nell'Application form (Parte II, Sezione VII), mediantel'adozione delle Norme vincolanti di impresa, c.d. "Bcr Shell";

VISTOche le Bcr Shell consistono in specifiche regole di condotta (di seguito"Norme") contenute nel "Regolamento sulla privacy dei dipendentiShell" e nelle "Norme sulla protezione dei dati personali deiclienti, fornitori e soci", entrambe comprendenti un'appendice,"Appendice 1 – Definizioni";

CONSIDERATOche le suddette "Norme" contengono l'impegno della capogruppo RoyalDutch Shell plc. e delle "Società Shell" ad osservare i principicontenuti nelle Bcr Shell, ivi comprese le clausole di responsabilità edel terzo beneficiario (v. "Norme", artt. 14 e 15);

PRESOATTO che tale impegno acquista efficacia vincolante per le "SocietàShell" e per il relativo personale dipendente a seguito dell'approvazioneda parte del Consiglio di Amministrazione della Royal Dutch Shell plc. del"Codice di condotta Shell", contenente al suo interno le"Norme" (v. Application form, Parte II, sezione IV);

VISTO, inoltre,che le società si sono impegnate ad effettuare periodicamente delle valutazionidi impatto in materia di protezione dei dati (v. Application form, Parte II,sezione V) e ad attuare, nell'ambito di un più ampio programma di controllo(c.d. "Quadro di Controllo Shell"), opportune verifiche in ordine alrispetto delle Bcr Shell (v. Application form, Parte II, sezione IV);

TENUTOCONTO, in particolare, che la capogruppo Royal Dutch Shell plc., in virtùdella propria posizione di controllo (v. definizione "Società Shell",in "Norme", Appendice 1), ha il potere di richiedere alle società delgruppo l'attuazione delle "Norme" (v. Application form, Parte II,sezione IV) e che, in caso di mancata osservanza delle Bcr Shell, le"Norme" stesse prevedono specifiche sanzioni disciplinari neiconfronti del personale dipendente (v. "Norme", art. 16);

PRESOATTO che le "Norme" saranno pubblicate rispettivamente sulla intranetaziendale e sul sito internet del gruppo Shell;

RILEVATOche il CBP in data 1 luglio 2011, all'esito della procedura europea concernentele Bcr Shell, attivata secondo le forme del mutuo riconoscimento, ha inoltratoalle Autorità di protezione dei dati personali interessate il relativo finaldraft, attestandone la conformità ai requisiti individuati dai documenti del Gruppoex art. 29 sopra citati;

CONSIDERATOche il Garante in data 10 maggio 2012 ha confermato di aver ricevuto il testodefinitivo delle Bcr Shell, riservandosi di valutare, in sede di proceduranazionale, la conformità di tale final draft alla normativa italiana;

VISTAl'istanza dell'8 aprile 2013 presentata, ai sensi dell'art. 44, comma 1, lett.a), da Shell Italia Oil Products S.r.l. (con sede in Milano) in proprio e innome e per conto di Shell Energy Italia S.r.l. (con sede in Milano) e ShellItalia E&P S.p.A. (con sede in Roma), volta a ottenere il rilasciodell'autorizzazione nazionale ai trasferimenti infragruppo da parte dellesocietà del gruppo Shell, mediante le Bcr Shell, con riferimento ai datipersonali relativi a: il personale dipendente (ivi compresi gli ex dipendenti ei candidati all'assunzione) per le "finalitàamministrativo-contabili" specificamente indicate nelle Bcr Shell (v."Regolamento sulla privacy dei dipendenti Shell", artt. 2 e 3); iclienti, fornitori e partner commerciali (ivi compresi i dipendenti o altrepersone che lavorano per tali clienti, fornitori o partner commerciali e gliappaltatori che lavorano sotto la supervisione di Shell) per le "finalitàaziendali" espressamente individuate nelle "Norme sulla protezionedei dati personali dei clienti, fornitori e soci" (v. artt. 2 e 3);

VISTE lerichieste di informazioni e di integrazione documentale avanzate dal Garante indata 6 marzo, 5 giugno, 11 agosto e 30 ottobre 2014 nei confronti dellemenzionate società, volte ad ottenere specifici chiarimenti in merito a:

- i dati sensibili e, in particolarele finalità relative alla "gestione dell'appartenenza dei Dipendenti"di cui all'art. 3 del "Regolamento sulla privacy dei dipendentiShell" (v. nota del 6 marzo 2014, punto (b));

- il rispetto di alcuni principi inmateria di protezione dei dati personali (v. nota del 6 marzo 2014, punto (d));

- i presupposti dell'applicabilitàdella "regola degli interessi prevalenti" di cui all'art. 12 delle"Norme" (v. nota del 6 marzo 2014, punto (e));

- la conformità delle Bcr Shell conalcuni dei requisiti di cui al WP 153 del Gruppo ex art. 29 (v. note del 6marzo 2014, punto (f) e del 5 giugno 2014, punto (b));

- il sistema di responsabilitàscelto dal gruppo Shell con riferimento all'obbligatorietà del preventivoesperimento della procedura interna di risoluzione delle controversie (v. notadell'11 agosto 2014);

- l'avvenuta approvazione del"Codice di Condotta" del gruppo Shell da parte di tutte le società(v. nota del 30 ottobre 2014);

- la conformità della clausola delterzo beneficiario, anche con riferimento al criterio di alternatività dellagiurisdizione di cui al WP 155, punto 9 (v. nota del 6 marzo 2014, punto (g));

CONSIDERATOche le società, nel rendere riscontro al Garante in ordine ai punti sopramenzionati, assumendo ogni responsabilità ai sensi dell'art. 168 del Codice,con note del 15 gennaio, del 2 maggio, dell'8 settembre e del 31 ottobre 2014,hanno espressamente dichiarato che:

- in merito al trattamento di datisensibili per finalità relative alla "gestione dell'appartenenza deiDipendenti" di cui all'art. 3 del "Regolamento sulla privacy deidipendenti Shell", tale trattamento si riferisce ai "casi in cui idipendenti di propria iniziativa si uniscano a gruppi individuati all'internodi Shell (connotati dal dato razziale, etnico, di salute fisica o mentale,sessuale)" (v. nota delle società del 2 maggio 2014, punto (b));

- in merito ai principi in materiadi protezione dei dati personali, le Bcr Shell saranno interpretate e applicatein conformità con il Codice, ciò con particolare riferimento a: ilriconoscimento del diritto di opposizione al trattamento per finalità dicarattere promozionale (art. 7, comma 4, lett. b), le modalità di riscontroall'esercizio dei diritti da parte dell'interessato (art. 8), le modalità deltrattamento e i requisiti dei dati (art. 11), le misure di sicurezza (artt. 31e ss.), i trasferimenti di dati verso Paesi terzi (artt. 43 e ss.) (v. notadelle società del 2 maggio 2014, punto (d));

- in ordine alla "regola degliinteressi prevalenti", la normativa italiana sarà osservata anche ove nonconsenta le deroghe espressamente previste nell'art. 12 delle "Norme"(v. nota delle società del 2 maggio 2014, punto (e));

- relativamente ad alcune previsionidel WP 153, che non è stato possibile rinvenire in maniera esplicita nel testodi Bcr Shell, (si tratta nello specifico di quelle in materia di: inversionedell'onere della prova (WP 153, punto 1.6), predisposizione di un programma ditraining in materia di protezione dei dati personali (WP 153, punto 2.1),conduzione periodica di audit (WP 153, punto 2.3), creazione di un network diprivacy officers o di uno staff che si occupi di monitorare il rispetto delleBcr e di gestire le segnalazioni degli interessati (WP 153, punto 2.4)), questesaranno poste in essere dalle società cui è rilasciata la presenteautorizzazione prima di effettuare i relativi trasferimenti di dati personali(v. nota della società dell'11 giugno 2014);

- in ordine al sistema diresponsabilità, "la previsione di cui al "Regolamento sulla privacydei dipendenti" e al "Regolamento sulla protezione dei dati personalidei clienti, fornitori e soci" (v., per entrambi i documenti, art. 15.3),con la quale si condiziona l'esercizio della clausola del terzo beneficiario alprevio esperimento della procedura interna di risoluzione delle controversieprevista da Shell (art. 14), non è volta a limitare il diritto dell'interessatomedesimo di adire, in caso di violazione delle suddette Bcr Shell, direttamentel'Autorità giudiziaria o amministrativa competente" (v. nota delle societàdell'8 settembre 2014);

- con riferimento al "Codice diCondotta" e alle Bcr Shell ivi contenute, lo stesso "è statoapprovato dal Consiglio di Amministrazione della società Royal Dutch Shell plc.e (ä) da tutte le società Shell in Italia" (v. nota delle società del 31ottobre 2014);

CONSIDERATOche l'art. 44, comma 1, lett. a) del Codice riconosce espressamente il poteredel Garante di autorizzare un trasferimento di dati personali verso paesi terzianche nel caso in cui tale trasferimento sia posto in essere tramite regole dicondotta, esistenti nell'ambito di società appartenenti ad un medesimo gruppo,che presentino adeguate garanzie per i diritti dell'interessato, quali le BcrShell;

VISTO altresì che, in virtù di tale previsione normativa, le predette regole dicondotta costituiscono un fatto astrattamente idoneo a produrre effettigiuridicamente vincolanti nell'ordinamento giuridico nazionale, ai sensi dell'art.1173 cod. civ.;

TENUTOCONTO inoltre che, nonostante quanto stabilito in materia di"giurisdizione supplementare" delle autorità olandesi (v."Norme", art. 15.4) e confermato dalle stesse società (v. nota dellesocietà del 2 maggio, punti (g) e (h)), l'interessato, in base al dirittonazionale applicabile, può, in ogni caso, far valere i propri diritti nelterritorio dello Stato anche in ordine all'inosservanza delle garanziecontenute nelle regole di condotta di cui alle Bcr Shell (art. 44, comma 1, lett.a) del Codice);

RITENUTA,altresì, la necessità di formulare alcune prescrizioni concernenti l'obbligo dicomunicare a questa Autorità eventuali modifiche di carattere sostanzialeapportate al testo delle Bcr Shell, in considerazione del fatto che le "Norme"(art. 17.7) prevedono l'adempimento di tale obbligo esclusivamente neiconfronti del CBP;

RILEVATOcomunque che le operazioni di trattamento dei dati personali, anche se poste inessere a seguito del rilascio della presente autorizzazione, saranno lecitesolo ove conformi alla normativa nazionale vigente e alle sue successivemodificazioni, nonché alle specifiche disposizioni in materia di protezione deidati personali, con particolare riferimento ai presupposti di legittimità delleattività di raccolta dei dati oggetto del trasferimento e alla sussistenza deipresupposti di legittimità per la comunicazione dei dati medesimi;

VISTOl'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati inviolazione della disciplina rilevante in materia di trattamento di datipersonali non possono essere utilizzati;

CONSIDERATOche il Garante, ai sensi dell'art. 154, comma 1, lett. da a) a d) del Codice,ha il compito di controllare la conformità dei trattamenti di dati alladisciplina applicabile e può, anche d'ufficio, adottare i provvedimentiprevisti dal Codice medesimo;

VISTIgli atti d'ufficio;

VISTE leosservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000;

RELATOREil dott. Antonello Soro;

TUTTO CIO' PREMESSO IL GARANTE

a) ai sensi dell'art. 44,comma 1, lett. a) del Codice, autorizza Shell Italia Oil Products S.r.l., ShellEnergy Italia S.r.l. e Shell Italia E&P S.p.A. a trasferire, nell'ambitodel Gruppo Shell, i dati personali relativi al personale dipendente (ivicompresi gli ex dipendenti e i candidati all'assunzione), ai clienti, aifornitori e ai partner commerciali (ivi compresi i dipendenti o altre personeche lavorano per tali clienti, fornitori o partner commerciali e gliappaltatori che lavorano sotto la supervisione di Shell) dal territorio delloStato verso i soggetti facenti parte del Gruppo Shell aventi la loro sede inpaesi non appartenenti all'Unione europea, secondo le modalità fissate nelleBcr Shell e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell'art. 157 delCodice, dispone che Shell Italia Oil Products S.r.l., Shell Energy ItaliaS.r.l. e Shell Italia E&P S.p.A. comunichi al Garante entro 90 giornidall'approvazione di eventuali modifiche di carattere sostanziale apportate altesto delle Bcr Shell;

c) ai sensi dell'art. 154,comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasimomento i necessari controlli sulla liceità e correttezza del trasferimento deidati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché diadottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 4 dicembre 2014

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia