Gazzetta n. 133 del 11 giugno 2018 (vai al sommario)
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERA 16 maggio 2018
Autorizzazione ai trasferimenti di dati personali mediante Binding Corporate Rules (Norme vincolanti di impresa) approvate prima del 25 maggio 2018. (Provvedimento n. 293/2018).


IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia, segretario generale;
Visto l'art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all'Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;
Visto l'art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un Paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle liberta' fondamentali delle persone, nonche' per l'esercizio dei diritti connessi;
Visto il decreto legislativo 30 giugno 2003, n. 196, codice in materia di protezione dei dati personali (di seguito «Codice») e in particolare l'art. 44, comma 1, lettera a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un Paese non appartenente all'Unione europea e' consentito quando e' autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato, individuate dall'Autorita' anche in relazione a regole di condotta esistenti nell'ambito di societa' appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia «Norme vincolanti di impresa», di seguito «Bcr»);
Considerato che il Gruppo di lavoro istituito dall'art. 29 della direttiva 95/46/CE (di seguito «Gruppo ex art. 29»), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all'interno dell'Unione europea, ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);
Visti gli specifici requisiti - individuati dal Gruppo ex art. 29 nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005, WP 153 del 24 giugno 2008, WP 204 del 22 maggio 2015 e WP 195 del 6 giugno 2012 - che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d'impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all'interno del gruppo;
Considerato, altresi', che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui e' stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l'altro, che detta procedura debba essere coordinata da un'Autorita' di protezione dei dati personali di uno degli Stati membri dell'UE interessati dal trasferimento transfrontaliero dei dati, Autorita' che agisce in qualita' di «lead Authority» («Autorita' capofila»);
Tenuto conto dell'adesione del Garante alla pratica di mutua collaborazione (c.d. «Declaration on mutual recognition», ossia «Dichiarazione di mutuo riconoscimento») che consente una piu' rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. «final draft» («testo definitivo») delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;
Visto il regolamento (UE) 2016/679 del Parlamento e del Consiglio del 27 aprile 2016, recante il «Regolamento generale sulla protezione dei dati» (di seguito «Regolamento UE 2016/679»), che si applica a decorrere dal 25 maggio 2018 (art. 99);
Considerato, in particolare, che il regolamento UE 2016/679 dispone che le autorizzazioni rilasciate dalle Autorita' di controllo in base all'art. 26, paragrafo 2 della direttiva 95/46/CE restano valide fino a quando non vengono modificate, sostituite o abrogate, se necessario, dalle medesime (v. art. 46, paragrafo 5);
Visti i pareri del Gruppo ex art. 29, WP 256 e WP 257, adottati il 6 febbraio 2018, i quali stabiliscono che le Bcr approvate alla data del 24 maggio 2018 all'esito delle relative procedure di cooperazione e di mutuo riconoscimento, devono essere oggetto delle necessarie modifiche volte a garantirne la conformita' con il Regolamento UE 2016/679 (v. WP 256, paragrafo 1.2 e WP 257, paragrafo 2);
Considerato altresi' che i gruppi di impresa interessati dalle suddette procedure sono tenuti, in base ai sopra menzionati WP 256, paragrafo 1.2, e WP 257, paragrafo 2, a notificare con cadenza annuale le menzionate modifiche a tutti i membri del gruppo nonche' alle autorita' di controllo nazionali per il tramite della lead Authority (WP 153, paragrafo 5.1; WP 195, paragrafo 5.1) e che tale comunicazione deve essere resa a far data dal 25 maggio 2018;
Rilevato inoltre che sono tuttora in corso di definizione diverse procedure di cooperazione e di mutuo riconoscimento, cui il Garante partecipa in qualita' di Autorita' di controllo interessata, e talvolta in veste di co-reviewer;
Rilevato altresi' che rispetto ad alcune procedure di cooperazione e di mutuo riconoscimento, gia' concluse a livello europeo, non e' stata ad oggi rilasciata dal Garante l'autorizzazione nazionale ai sensi dell'art. 44, comma 1, lettera a) del Codice;
Considerato che i trasferimenti di dati personali dal territorio nazionale verso paesi non appartenenti all'Unione europea oggetto delle Bcr di cui alle sopra menzionate procedure di cooperazione e di mutuo riconoscimento possono essere consentiti soltanto in virtu' di un'autorizzazione resa dall'Autorita' ai sensi dell'art. 44, comma 1, lettera a) del Codice;
Ravvisata la necessita' di definire anche a livello nazionale il procedimento volto all'adozione delle Bcr gia' approvate a livello europeo alla data del 24 maggio 2018, al fine di consentire i trasferimenti intragruppo di dati personali dal territorio nazionale verso paesi non appartenenti all'Unione europea oggetto delle predette Bcr;
Rilevato, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonche' alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimita' delle attivita' di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimita' per la comunicazione dei dati medesimi;
Visto l'art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;
Considerato che il Garante, ai sensi dell'art. 154, comma 1, lettera da a) a d) del Codice, ha il compito di controllare la conformita' dei trattamenti di dati alla disciplina applicabile e puo', anche d'ufficio, adottare i provvedimenti previsti dal Codice medesimo;
Ritenuta la necessita' di assicurare ulteriore pubblicita' al presente provvedimento disponendone la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana;
Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;

Tutto cio' premesso, il Garante:

a) ai sensi dell'art. 44, comma 1, lettera a) del Codice, autorizza i trasferimenti intragruppo di dati personali dal territorio dello Stato verso paesi non appartenenti all'Unione europea, oggetto delle Bcr approvate entro il 24 maggio 2018 nell'ambito delle procedure di cooperazione e di mutuo riconoscimento sopra menzionate, secondo le modalita' fissate nelle medesime Bcr e per il perseguimento delle sole finalita' ivi dichiarate;
b) ai sensi dell'art. 154, comma 1, lettera h), rappresenta che devono essere adottate le misure necessarie volte a rendere le Bcr di cui alla lettera a) del presente dispositivo, conformi al regolamento UE 2016/679 e che le modifiche apportate a tal fine devono essere notificate, entro il 25 maggio 2019, a tutti i membri del gruppo e alle Autorita' di controllo nazionali, per il tramite della lead Authority;
c) ai sensi dell'art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceita' e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonche' di adottare, se necessario, i provvedimenti previsti dal Codice;
d) dispone la trasmissione del presente provvedimento all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 16 maggio 2018

Il Presidente: Soro

Il relatore: Soro

Il segretario generale: Busia

 
Gazzetta Ufficiale Serie Generale per iPhone