Autorizzazione al trasferimento dei dati medianteBCR da parte di ING BANK N.V. Milan Branch e ING Lease (Italia) S.p.A.

AUTORIZZAZIONE DEL 4 DICEMBRE 2014

Registrodei provvedimenti
 n. 561 del 4 dicembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOl'art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo edel Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possonoessere trasferiti in un paese non appartenente all'Unione europea qualora ilpaese terzo garantisca un livello di protezione adeguato;

VISTOl'art. 26 della predetta direttiva il quale individua alcune deroghe almenzionato principio, prevedendo anche che uno Stato membro possa autorizzareun trasferimento o una categoria di trasferimenti di dati personali verso unpaese terzo che non garantisca un livello di protezione adeguato, qualora iltitolare del trattamento offra garanzie sufficienti per la tutela della vitaprivata e dei diritti e delle libertà fondamentali delle persone, nonché per l'eserciziodei diritti connessi;

VISTO ildecreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione deidati personali;

VISTO,in particolare, l'art. 44, comma 1, lett. a), del Codice, il quale stabilisceche il trasferimento di dati personali diretto verso un paese non appartenenteall'Unione europea è consentito quando è autorizzato dal Garante sulla base diadeguate garanzie per i diritti dell'interessato, individuate dall'Autoritàanche in relazione a regole di condotta esistenti nell'ambito di societàappartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia"Norme vincolanti di impresa" di seguito "Bcr");

VISTOche la citata disposizione garantisce all'interessato la possibilità di farvalere i propri diritti nel territorio dello Stato, secondo le regole fissatedal Codice, anche in caso di mancata osservanza delle garanzie individuatenelle Bcr;

CONSIDERATOche il Gruppo di lavoro istituito dall'art. 29 della direttiva 95/46/CE (diseguito "Gruppo ex art. 29"), che ha tra i propri compiti quello difornire interpretazioni e pareri per garantire una omogenea applicazione deiprincipi della direttiva all'interno dell'Unione europea,  ha ritenuto chele Bcr possano costituire uno strumento di trasferimento di dati personaliverso paesi terzi astrattamente idoneo ad assicurare un livello adeguato diprotezione dei diritti degli interessati e dunque compatibile con la disciplinacontenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTIgli specifici requisiti − individuati dal Gruppo ex art. 29  neidocumenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24giugno 2008 − che tali regole di condotta devono soddisfare al fine diconsentire ai gruppi multinazionali d'impresa, che intendano adottarle, diottenere le necessarie autorizzazioni nazionali al trasferimentotransfrontaliero dei dati all'interno del gruppo;

CONSIDERATOaltresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14aprile 2005, in cui si definisce la procedura di cooperazione che deve essereosservata ai fini del rilascio delle autorizzazioni nazionali in materia diBcr, prevedendo tra l'altro che essa sia coordinata da un'Autorità diprotezione dei dati personali di uno degli Stati membri dell'UE interessati daltrasferimento transfrontaliero dei dati, Autorità che agisce in qualità di"lead Authority" ("Autorità capofila");

TENUTOCONTO dell'adesione del Garante alla pratica di mutua collaborazione (c.d."Declaration on mutual recognition", ossia "Dichiarazione dimutuo riconoscimento") che consente una più rapida definizione dellaprocedura di cooperazione sopra citata, prevedendo che il parere positivo dellalead Authority sul c.d. "final draft" ("testo definitivo")delle Bcr possa costituire una base sufficiente al rilascio delle relativeautorizzazioni nazionali;

VISTA larichiesta (c.d. "Application form"), pervenuta al Garante in data 11dicembre 2012, presentata da ING Bank N.V. – società (con sede nei PaesiBassi) capogruppo del gruppo ING –, operante nel settore bancario eassicurativo, dinanzi all'Autorità olandese di protezione dei dati personali(College bescherming persoonsgegevens di seguito "CBP"), individuataquale lead Authority della relativa procedura;

RILEVATOche tale richiesta è stata presentata da ING Bank N.V. in nome e per conto ditutte le società controllate, direttamente o indirettamente, dalla medesima, edè volta a ottenere l'autorizzazione al trasferimento intra-gruppo verso paesiterzi dei dati personali relativi al personale dipendente, clienti, fornitori epartner commerciali per le finalità indicate nell'Application form (Parte I,sezione I e Parte II, Sezione VII), mediante l'adozione delle Norme vincolantidi impresa, c.d. "Bcr  ING";

VISTOche le Bcr ING consistono in specifiche regole di condotta (di seguito"Policy") contenute nella "Politica Globale sulla Protezione deiDati di Clienti, Fornitori e Partner commerciali" e nella "PoliticaGlobale sulla Protezione dei Dati dei Dipendenti", entrambe comprendenti l'Allegato1 in materia di "Definizioni e Interpretazioni";

CONSIDERATOche le suddette "Policy" contengono l'impegno della capogruppo INGBank N.V., e delle altre società del gruppo ING ad osservare i principicontenuti nelle Bcr ING,  ivi comprese le clausole di responsabilità e delterzo beneficiario (v. "Politica Globale sulla Protezione dei Dati diClienti, Fornitori e Partner commerciali", artt. 22 e 23; "PoliticaGlobale sulla Protezione dei Dati dei Dipendenti", artt. 21 e 22);

PRESOATTO che tale impegno acquista efficacia vincolante per le società e per ilpersonale dipendente del gruppo ING a seguito dell'approvazione delle suddette"Policy" da parte del Consiglio di Amministrazione della ING BankN.V. (v. "Politica Globale sulla Protezione dei Dati di Clienti, Fornitorie Partner commerciali" e "Politica Globale sulla Protezione dei Datidei Dipendenti", per entrambe "Nota informativa", pag. 2);

VISTO, inoltre, che le società, nell'ambito di un complesso sistema di gestione deirischi operativi del gruppo ING, incluso il rischio di protezione dei dati (v.Application form, Parte II, sezione IV), sono periodicamente tenute a porre inessere valutazioni di impatto in materia di protezione dei dati e ad effettuareopportune verifiche in ordine al rispetto delle Bcr ING (v. Application form,Parte II, Sezione V);

TENUTOCONTO,  in particolare, che la capogruppo ING Bank N.V., in virtù dellapropria posizione di controllo (v. definizione "Società del Gruppo",in "Definizioni e Interpretazioni", Allegato 1), ha il potere dirichiedere alle società del gruppo l'attuazione delle "Policy" (v.Application form, Parte II, sezione IV) e che, in caso di mancata osservanzadelle Bcr ING, le "Policy" stesse prevedono specifiche sanzionidisciplinari nei confronti del personale dipendente (v. "Politica Globalesulla Protezione dei Dati di Clienti, Fornitori e Partner commerciali",art. 24.1; "Politica Globale sulla Protezione dei Dati deiDipendenti", art. 23.1);

PRESOATTO che le "Policy" saranno pubblicate rispettivamente sullaintranet aziendale e sul sito internet del gruppo ING;

RILEVATOche il CBP in data 29 gennaio 2013, all'esito della procedura europeaconcernente le Bcr ING, attivata secondo le forme del mutuo riconoscimento, hainoltrato alle Autorità di protezione dei dati personali interessate ilrelativo final draft, attestandone la conformità ai requisiti individuati daidocumenti del Gruppo ex art. 29 sopra citati;

CONSIDERATOche il Garante in data 5 febbraio 2013 ha confermato di aver ricevuto il testodefinitivo delle Bcr ING, riservandosi di valutare, in sede di proceduranazionale, la conformità di tale final draft alla normativa italiana;  

VISTAl'istanza presentata, ai sensi dell'art. 44, comma 1, lett. a), il 20 novembre2013, da ING BANK N.V. Milan Branch (con sede in Milano) e ING Lease (Italia)S.p.A. (con sede in Brescia), volta a ottenere il rilascio dell'autorizzazionenazionale ai trasferimenti infragruppo da parte delle società del gruppo ING,mediante le Bcr ING, con riferimento ai dati personali relativi a: il personaledipendente (ivi compresi gli ex dipendenti, i candidati all'assunzione etirocinanti, nonché le c.d. "persone a carico") per le "finalitàdi gestione delle risorse umane" specificamente indicate nelle Bcr ING (v. art. 6.1, "Politica Globale sulla Protezione dei Dati deiDipendenti"); i clienti, fornitori e partner commerciali (ivi compresi idipendenti o altre persone che lavorano per tali clienti, fornitori o partnercommerciali e i soggetti i cui dati personali sono elaborati in virtù diimpegni legali o contrattuali verso terze parti) per le "finalitàaziendali" espressamente individuate nella "Politica Globale sullaProtezione dei Dati di Clienti, Fornitori e Partner commerciali" (art.6.1);

VISTE lerichieste di informazioni e di integrazione documentale avanzate dal Garante indata 21 marzo, 5 giugno e 11 agosto nei confronti delle menzionate società,volte ad ottenere specifici chiarimenti in merito a:

-    il rispetto di alcuni principi inmateria di protezione dei dati personali (v. nota dell'11 agosto 2014, punto(c));

-    i presupposti dell'applicabilitàdella "regola degli interessi prevalenti" di cui all'art. 16 della"Politica Globale sulla Protezione dei Dati di Clienti, Fornitori ePartner commerciali" e art. 15 della  "Politica Globale sullaProtezione dei Dati dei Dipendenti" (v. nota del 5 giugno 2014 2014, punto(e));

- il significato dell'espressione "reasonable"in ordine alle misure di sicurezza da adottare, come indicato nell'art. 12.1della "Politica Globale sulla Protezione dei dati dei Clienti, Fornitori ePartner commerciali" e della  "Politica Globale sulla Protezionedei dati dei Dipendenti (v. nota del 5 giugno 2014, punto (b));

- il sistema di responsabilità scelto dal gruppo INGcon riferimento all'obbligatorietà del preventivo esperimento della procedurainterna di risoluzione delle controversie (v. note del 21 marzo 2014 punto (d)e del 5 giugno 2014, punto (a));

- la conformità della clausola del terzo beneficiario,anche con riferimento al criterio di alternatività della giurisdizione di cuial WP 155, punto 9 (v. nota del 21 marzo 2014, punto (b));

CONSIDERATOche le società, nel rendere riscontro al Garante in ordine ai punti sopramenzionati, assumendo ogni responsabilità ai sensi dell'art. 168 del Codice,con note del 22 aprile, 15 luglio e 7 novembre 2014, hanno espressamentedichiarato che:

-    in merito ai principi in materiadi protezione dei dati personali, le Bcr ING saranno interpretate e applicatein conformità con il Codice, ciò con particolare riferimento a: il diritto diaccesso ai dati personali e altri diritti (artt. 7–10), le modalità deltrattamento e requisiti dei dati (art. 11), l'informativa (art. 13), iltrattamento dei dati sensibili (art. 26) e di quelli a carattere giudiziario(art. 27), le misure di sicurezza (artt. 31 e ss.) e i trasferimenti di dativerso Paesi terzi (artt. 43 e ss.) (v. nota delle società del 7 novembre 2014,punto (c));

-    in ordine alla "regola degliinteressi prevalenti", la normativa italiana sarà osservata anche ove nonconsenta le deroghe espressamente previste nell'all'art. 16 della"Politica Globale sulla Protezione dei Dati di Clienti, Fornitori ePartner commerciali" e nell'art. 15 della  "Politica Globalesulla Protezione dei Dati dei Dipendenti" (v. nota delle società del 15luglio 2014);

-    quanto all'utilizzodell'espressione "reasonable" con riguardo alle misure di sicurezzada adottare (v. art. 12.1 della "Politica Globale sulla Protezione deidati dei Clienti, Fornitori e Partner commerciali" e art. 12.1 della "Politica Globale sulla Protezione dei dati dei Dipendenti"), taleespressione sarà interpretata conformemente alla Direttiva 95/46/CE (ossia nelsenso di  "appropriate", v. art. 17) (v. nota delle società del15 luglio 2014);

-    con riferimento al sistema diresponsabilità, la previsione di cui alla "Politica Globale sullaProtezione dei dati dei Dipendenti" (v. art. 22.4) e alla "PoliticaGlobale sulla Protezione dei dati dei Clienti, Fornitori e Partnercommerciali" (v. art. 23.4), con la quale si condiziona l'esercizio dellaclausola del terzo beneficiario al previo esperimento della procedura internadi risoluzione delle controversie prevista da ING (rispettivamente contenutenegli artt. 21 e 22), non è volta a limitare il diritto dell'interessatomedesimo di adire, in caso di violazione delle suddette Bcr ING, direttamentel'Autorità giudiziaria o amministrativa competente (v. nota delle società del15 luglio 2014);

CONSIDERATOche l'art. 44, comma 1, lett. a) del Codice riconosce espressamente il poteredel Garante di autorizzare un trasferimento di dati personali verso paesi terzianche nel caso in cui tale trasferimento sia posto in essere tramite regole dicondotta, esistenti nell'ambito di società appartenenti ad un medesimo gruppo,che presentino adeguate garanzie per i diritti dell'interessato, quali le BcrING;

VISTO altresì che, in virtù di tale previsione normativa, le predette regole dicondotta costituiscono un fatto astrattamente idoneo a produrre effettigiuridicamente vincolanti nell'ordinamento giuridico nazionale, ai sensidell'art. 1173 cod. civ.;

TENUTOCONTO inoltre che, nonostante quanto stabilito in materia di"giurisdizione esclusiva" delle autorità olandesi (v. "PoliticaGlobale sulla Protezione dei Dati di Clienti, Fornitori e Partnercommerciali", art. 23.4; "Politica Globale sulla Protezione dei Datidei Dipendenti", art. 22.4) e confermato dalle stesse società (v. notadelle società del 22 aprile 2014 punto (d)), l'interessato, in base al dirittonazionale applicabile, può, in ogni caso, far valere i propri diritti nelterritorio dello Stato anche in ordine all'inosservanza delle garanziecontenute nelle regole di condotta di cui alle Bcr ING (art. 44, comma 1, lett.a) del Codice);

RITENUTA,altresì, la necessità di formulare alcune prescrizioni concernenti l'obbligo dicomunicare a questa Autorità eventuali modifiche di carattere sostanzialeapportate al testo delle Bcr ING, in considerazione del fatto che le"Policy" ("Politica Globale sulla Protezione dei Dati diClienti, Fornitori e Partner commerciali", art. 26.1; "PoliticaGlobale sulla Protezione dei Dati dei Dipendenti", art. 25.1) prevedonol'adempimento di tale obbligo esclusivamente nei confronti del CBP;

RILEVATOcomunque che le operazioni di trattamento dei dati personali, anche se poste inessere a seguito del rilascio della presente autorizzazione, saranno lecitesolo ove conformi alla normativa nazionale vigente e alle sue successivemodificazioni, nonché alle specifiche disposizioni in materia di protezione deidati personali, con particolare riferimento ai presupposti di legittimità delleattività di raccolta dei dati oggetto del trasferimento e alla sussistenza deipresupposti di legittimità per la comunicazione dei dati medesimi;

VISTOl'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati inviolazione della disciplina rilevante in materia di trattamento di dati personalinon possono essere utilizzati;

CONSIDERATOche il Garante, ai sensi dell'art. 154, comma 1, lett. da a) a d) del Codice,ha il compito di controllare la conformità dei trattamenti di dati alladisciplina applicabile e può, anche d'ufficio, adottare i provvedimentiprevisti dal Codice medesimo;

VISTIgli atti d'ufficio;

VISTE leosservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000;

RELATOREil dott. Antonello Soro;

TUTTO CIO' PREMESSO IL GARANTE

a)     ai sensi dell'art. 44,comma 1, lett. a) del Codice, autorizza ING BANK N.V. Milan Branch e ING Lease(Italia) S.p.A. a trasferire, nell'ambito del Gruppo ING,  i datipersonali relativi al personale dipendente (ivi compresi gli ex dipendenti e icandidati all'assunzione), ai clienti, fornitori e partner commerciali (ivicompresi i dipendenti o altre persone che lavorano per tali clienti, fornitorio partner commerciali e i soggetti i cui dati personali sono elaborati in virtùdi impegni legali o contrattuali verso terze parti) dal territorio dello Statoverso i soggetti facenti parte del Gruppo ING aventi la loro sede in paesi nonappartenenti all'Unione europea, secondo le modalità fissate nelle Bcr ING eper il perseguimento delle sole finalità ivi dichiarate;

b)     ai sensi dell'art. 157 delCodice, dispone che ING BANK N.V. Milan Branch e ING Lease (Italia) S.p.A,comunichino al Garante entro 90 giorni dall'approvazione di eventuali modifichedi carattere sostanziale apportate al testo delle Bcr ING;

c)     ai sensi dell'art. 154,comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasimomento i necessari controlli sulla liceità e correttezza del trasferimento deidati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché diadottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 4 dicembre 2014

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia