HomeSentenzeArticoliLegislazionePrivacyRicercaChi siamo
Garante Privacy, 16/5/2018 n. 293
Autorizzazione ai trasferimenti di dati personali mediante Binding Corporate Rules (Norme vincolanti di impresa) approvate prima del 25 maggio 2018.

GU n.133 del 11-6-2018

Materia: privacy / tutela dati personali

 

 

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERA 16 maggio 2018

Autorizzazione ai trasferimenti di dati  personali  mediante  Binding Corporate Rules (Norme vincolanti di impresa) approvate prima del  25 maggio 2018. (Provvedimento n. 293/2018).

 

(GU n.133 del 11-6-2018)

 

IL GARANTE PER LA PROTEZIONE

DEI DATI PERSONALI

 

  Nella riunione odierna,  in  presenza  del  dott.  Antonello  Soro, presidente, della dott.ssa Augusta Iannini,  vice  presidente,  della prof.ssa Licia Califano, componente,  e  del  dott.  Giuseppe  Busia, segretario generale;

  Visto l'art. 25, paragrafi 1  e  2  della  direttiva  95/46/CE  del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi  del quale i dati personali possono essere  trasferiti  in  un  paese  non appartenente all'Unione europea qualora il paese terzo garantisca  un livello di protezione adeguato;

  Visto l'art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio,  prevedendo  che  uno  Stato  membro possa autorizzare un trasferimento o una categoria  di  trasferimenti di dati personali verso un Paese terzo che non garantisca un  livello di protezione adeguato, qualora il  titolare  del  trattamento  offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle liberta' fondamentali delle persone,  nonche'  per  l'esercizio dei diritti connessi;

  Visto il decreto legislativo 30 giugno  2003,  n.  196,  codice  in materia di protezione dei dati personali (di seguito «Codice»)  e  in particolare l'art. 44, comma 1,  lettera  a)  del  Codice,  il  quale stabilisce che il trasferimento di dati personali  diretto  verso  un Paese non appartenente all'Unione europea  e'  consentito  quando  e' autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato, individuate dall'Autorita'  anche  in  relazione  a regole di condotta esistenti nell'ambito di societa'  appartenenti  a un medesimo gruppo e denominate Binding Corporate Rules (ossia «Norme vincolanti di impresa», di seguito «Bcr»);

  Considerato che il Gruppo di lavoro istituito  dall'art.  29  della direttiva 95/46/CE (di seguito «Gruppo ex art. 29»),  che  ha  tra  i propri  compiti  quello  di  fornire  interpretazioni  e  pareri  per garantire una omogenea  applicazione  dei  principi  della  direttiva all'interno dell'Unione europea,  ha  ritenuto  che  le  Bcr  possano costituire uno strumento di trasferimento  di  dati  personali  verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque,  compatibile  con la  disciplina  contenuta  nella   direttiva   95/46/CE   (cfr.,   in particolare, art. 26, par. 2);

  Visti gli specifici requisiti - individuati dal Gruppo ex  art.  29 nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005,  WP 153 del 24 giugno 2008, WP 204 del 22 maggio 2015  e  WP  195  del  6 giugno 2012 - che tali regole di condotta devono soddisfare  al  fine di consentire  ai  gruppi  multinazionali  d'impresa,  che  intendano adottarle, di ottenere  le  necessarie  autorizzazioni  nazionali  al trasferimento transfrontaliero dei dati all'interno del gruppo;

  Considerato, altresi', che il Gruppo ex  art.  29  ha  adottato  un ulteriore parere, WP 107  del  14  aprile  2005,  con  cui  e'  stata definita la procedura di cooperazione che deve  essere  osservata  ai fini del rilascio delle autorizzazioni nazionali in materia  di  Bcr, prevedendo, tra l'altro, che detta procedura debba essere  coordinata da un'Autorita' di protezione dei dati personali di uno  degli  Stati membri dell'UE interessati  dal  trasferimento  transfrontaliero  dei dati,  Autorita'  che  agisce  in  qualita'   di   «lead   Authority» («Autorita' capofila»);

  Tenuto conto  dell'adesione  del  Garante  alla  pratica  di  mutua collaborazione  (c.d.  «Declaration  on  mutual  recognition»,  ossia «Dichiarazione di mutuo riconoscimento») che consente una piu' rapida definizione della procedura di cooperazione sopra citata,  prevedendo che il parere positivo della lead Authority sul  c.d.  «final  draft» («testo definitivo») delle Bcr possa costituire una base  sufficiente al rilascio delle relative autorizzazioni nazionali;

  Visto il regolamento (UE) 2016/679 del Parlamento e  del  Consiglio del 27 aprile 2016, recante il «Regolamento generale sulla protezione dei dati» (di seguito «Regolamento UE 2016/679»), che  si  applica  a decorrere dal 25 maggio 2018 (art. 99);

  Considerato, in particolare, che il regolamento UE 2016/679 dispone che le autorizzazioni rilasciate dalle Autorita' di controllo in base all'art. 26, paragrafo 2 della direttiva 95/46/CE restano valide fino a  quando  non  vengono  modificate,  sostituite   o   abrogate,   se necessario, dalle medesime (v. art. 46, paragrafo 5);    Visti i pareri del Gruppo ex art. 29, WP 256 e WP 257, adottati  il 6 febbraio 2018, i quali stabiliscono che le Bcr approvate alla  data del 24 maggio 2018 all'esito delle relative procedure di cooperazione e di mutuo riconoscimento, devono  essere  oggetto  delle  necessarie modifiche volte a garantirne la conformita'  con  il  Regolamento  UE 2016/679 (v. WP 256, paragrafo 1.2 e WP 257, paragrafo 2);

  Considerato altresi' che i  gruppi  di  impresa  interessati  dalle suddette procedure sono tenuti, in base ai sopra menzionati  WP  256, paragrafo 1.2, e WP  257,  paragrafo  2,  a  notificare  con  cadenza annuale le menzionate modifiche a tutti i membri del  gruppo  nonche' alle autorita' di controllo  nazionali  per  il  tramite  della  lead Authority (WP 153, paragrafo 5.1; WP 195, paragrafo 5.1) e  che  tale comunicazione deve essere resa a far data dal 25 maggio 2018;

  Rilevato inoltre che sono tuttora in corso di  definizione  diverse procedure di cooperazione e di mutuo riconoscimento, cui  il  Garante partecipa in  qualita'  di  Autorita'  di  controllo  interessata,  e talvolta in veste di co-reviewer;

  Rilevato altresi' che rispetto ad alcune procedure di  cooperazione e di mutuo riconoscimento, gia' concluse a livello  europeo,  non  e' stata ad oggi rilasciata dal Garante  l'autorizzazione  nazionale  ai sensi dell'art. 44, comma 1, lettera a) del Codice;

  Considerato che i trasferimenti di dati  personali  dal  territorio nazionale verso paesi non  appartenenti  all'Unione  europea  oggetto delle Bcr di cui alle sopra menzionate procedure di cooperazione e di mutuo riconoscimento possono essere consentiti soltanto in virtu'  di un'autorizzazione resa dall'Autorita' ai sensi dell'art. 44, comma 1, lettera a) del Codice;

  Ravvisata la necessita' di definire anche a  livello  nazionale  il procedimento volto all'adozione delle Bcr gia'  approvate  a  livello europeo alla data del  24  maggio  2018,  al  fine  di  consentire  i trasferimenti intragruppo di dati personali dal territorio  nazionale verso  paesi  non  appartenenti  all'Unione  europea  oggetto   delle predette Bcr;

  Rilevato, comunque, che  le  operazioni  di  trattamento  dei  dati personali, anche se poste in essere  a  seguito  del  rilascio  della presente  autorizzazione,  saranno  lecite  solo  ove  conformi  alla normativa nazionale vigente  e  alle  sue  successive  modificazioni, nonche' alle specifiche disposizioni in  materia  di  protezione  dei dati  personali,  con  particolare  riferimento  ai  presupposti   di legittimita'  delle  attivita'  di  raccolta  dei  dati  oggetto  del trasferimento e alla sussistenza dei presupposti di legittimita'  per la comunicazione dei dati medesimi;

  Visto l'art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione  della  disciplina  rilevante  in  materia  di trattamento di dati personali non possono essere utilizzati;

  Considerato che il  Garante,  ai  sensi  dell'art.  154,  comma  1, lettera da a) a d) del  Codice,  ha  il  compito  di  controllare  la conformita' dei trattamenti di dati  alla  disciplina  applicabile  e puo', anche d'ufficio, adottare i provvedimenti previsti  dal  Codice medesimo;

  Ritenuta la  necessita'  di  assicurare  ulteriore  pubblicita'  al presente provvedimento disponendone la pubblicazione  nella  Gazzetta Ufficiale della Repubblica italiana;

  Visti gli atti d'ufficio;

  Viste  le  osservazioni  dell'Ufficio  formulate   dal   segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

  Relatore il dott. Antonello Soro;

 

Tutto cio' premesso, il Garante:

 

    a) ai sensi  dell'art.  44,  comma  1,  lettera  a)  del  Codice, autorizza  i  trasferimenti  intragruppo  di   dati   personali   dal territorio  dello  Stato  verso  paesi  non  appartenenti  all'Unione europea,  oggetto  delle  Bcr  approvate  entro  il  24  maggio  2018 nell'ambito delle procedure di cooperazione e di mutuo riconoscimento sopra menzionate, secondo le modalita' fissate nelle medesime  Bcr  e per il perseguimento delle sole finalita' ivi dichiarate;

    b) ai sensi dell'art. 154, comma 1, lettera h),  rappresenta  che devono essere adottate le misure necessarie volte a rendere le Bcr di cui alla lettera a) del presente dispositivo, conformi al regolamento UE 2016/679 e che le modifiche apportate a  tal  fine  devono  essere notificate, entro il 25 maggio 2019, a tutti i membri  del  gruppo  e alle Autorita' di controllo nazionali,  per  il  tramite  della  lead Authority;

    c) ai sensi dell'art. 154, comma  1,  lettere  da  a)  a  d)  del Codice, si riserva di  svolgere  in  qualsiasi  momento  i  necessari controlli sulla liceita' e correttezza del trasferimento dei dati  e, comunque, su ogni operazione di trattamento ad essi inerente, nonche' di adottare, se necessario, i provvedimenti previsti dal Codice;

    d) dispone la trasmissione del presente provvedimento all'Ufficio pubblicazione leggi e decreti del Ministero della  giustizia  per  la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

      Roma, 16 maggio 2018

 

                         Il Presidente: Soro

 

                          Il relatore: Soro

 

                    Il segretario generale: Busia

 

HomeSentenzeArticoliLegislazioneLinksRicercaScrivici