Condividi[doc. web n. 3668394]
Autorizzazione al trasferimento dei dati mediante BCR da parte di Shell Italia Oil Products S.r.l., Shell Energy Italia S.r.l. e Shell Italia E&P S.p.A. - 4 dicembre 2014
Registro dei provvedimenti
n. 560 del 4 dicembre 2014
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO l´art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;
VISTO l´art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;
VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali;
VISTO, in particolare, l´art. 44, comma 1, lett. a), del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa" di seguito "Bcr");
VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;
CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea, ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e dunque compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);
VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29 nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;
CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");
TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;
VISTA la richiesta (c.d. "Application form"), pervenuta al Garante in data 2 agosto 2010, presentata da Shell International B.V. – società (con sede nei Paesi Bassi) del gruppo Shell, operante nel settore dell´energia–, dinanzi all´Autorità olandese di protezione dei dati personali (College bescherming persoonsgegevens di seguito "CBP"), individuata quale lead Authority della relativa procedura;
RILEVATO che tale richiesta è stata presentata da Shell International B.V., in nome e per conto di tutte le società controllate, direttamente o indirettamente (c.d. "Società Shell"), dalla capogruppo Royal Dutch Shell plc. (con sede nei Paesi Bassi), ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi dei dati personali relativi al personale dipendente, ai clienti, ai fornitori e ai partner commerciali per le finalità indicate nel dettaglio nell´Application form (Parte II, Sezione VII), mediante l´adozione delle Norme vincolanti di impresa, c.d. "Bcr Shell";
VISTO che le Bcr Shell consistono in specifiche regole di condotta (di seguito "Norme") contenute nel "Regolamento sulla privacy dei dipendenti Shell" e nelle "Norme sulla protezione dei dati personali dei clienti, fornitori e soci", entrambe comprendenti un´appendice, "Appendice 1 – Definizioni";
CONSIDERATO che le suddette "Norme" contengono l´impegno della capogruppo Royal Dutch Shell plc. e delle "Società Shell" ad osservare i principi contenuti nelle Bcr Shell, ivi comprese le clausole di responsabilità e del terzo beneficiario (v. "Norme", artt. 14 e 15);
PRESO ATTO che tale impegno acquista efficacia vincolante per le "Società Shell" e per il relativo personale dipendente a seguito dell´approvazione da parte del Consiglio di Amministrazione della Royal Dutch Shell plc. del "Codice di condotta Shell", contenente al suo interno le "Norme" (v. Application form, Parte II, sezione IV);
VISTO, inoltre, che le società si sono impegnate ad effettuare periodicamente delle valutazioni di impatto in materia di protezione dei dati (v. Application form, Parte II, sezione V) e ad attuare, nell´ambito di un più ampio programma di controllo (c.d. "Quadro di Controllo Shell"), opportune verifiche in ordine al rispetto delle Bcr Shell (v. Application form, Parte II, sezione IV);
TENUTO CONTO, in particolare, che la capogruppo Royal Dutch Shell plc., in virtù della propria posizione di controllo (v. definizione "Società Shell", in "Norme", Appendice 1), ha il potere di richiedere alle società del gruppo l´attuazione delle "Norme" (v. Application form, Parte II, sezione IV) e che, in caso di mancata osservanza delle Bcr Shell, le "Norme" stesse prevedono specifiche sanzioni disciplinari nei confronti del personale dipendente (v. "Norme", art. 16);
PRESO ATTO che le "Norme" saranno pubblicate rispettivamente sulla intranet aziendale e sul sito internet del gruppo Shell;
RILEVATO che il CBP in data 1 luglio 2011, all´esito della procedura europea concernente le Bcr Shell, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;
CONSIDERATO che il Garante in data 10 maggio 2012 ha confermato di aver ricevuto il testo definitivo delle Bcr Shell, riservandosi di valutare, in sede di procedura nazionale, la conformità di tale final draft alla normativa italiana;
VISTA l´istanza dell´8 aprile 2013 presentata, ai sensi dell´art. 44, comma 1, lett. a), da Shell Italia Oil Products S.r.l. (con sede in Milano) in proprio e in nome e per conto di Shell Energy Italia S.r.l. (con sede in Milano) e Shell Italia E&P S.p.A. (con sede in Roma), volta a ottenere il rilascio dell´autorizzazione nazionale ai trasferimenti infragruppo da parte delle società del gruppo Shell, mediante le Bcr Shell, con riferimento ai dati personali relativi a: il personale dipendente (ivi compresi gli ex dipendenti e i candidati all´assunzione) per le "finalità amministrativo-contabili" specificamente indicate nelle Bcr Shell (v. "Regolamento sulla privacy dei dipendenti Shell", artt. 2 e 3); i clienti, fornitori e partner commerciali (ivi compresi i dipendenti o altre persone che lavorano per tali clienti, fornitori o partner commerciali e gli appaltatori che lavorano sotto la supervisione di Shell) per le "finalità aziendali" espressamente individuate nelle "Norme sulla protezione dei dati personali dei clienti, fornitori e soci" (v. artt. 2 e 3);
VISTE le richieste di informazioni e di integrazione documentale avanzate dal Garante in data 6 marzo, 5 giugno, 11 agosto e 30 ottobre 2014 nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in merito a:
- i dati sensibili e, in particolare le finalità relative alla "gestione dell´appartenenza dei Dipendenti" di cui all´art. 3 del "Regolamento sulla privacy dei dipendenti Shell" (v. nota del 6 marzo 2014, punto (b));
- il rispetto di alcuni principi in materia di protezione dei dati personali (v. nota del 6 marzo 2014, punto (d));
- i presupposti dell´applicabilità della "regola degli interessi prevalenti" di cui all´art. 12 delle "Norme" (v. nota del 6 marzo 2014, punto (e));
- la conformità delle Bcr Shell con alcuni dei requisiti di cui al WP 153 del Gruppo ex art. 29 (v. note del 6 marzo 2014, punto (f) e del 5 giugno 2014, punto (b));
- il sistema di responsabilità scelto dal gruppo Shell con riferimento all´obbligatorietà del preventivo esperimento della procedura interna di risoluzione delle controversie (v. nota dell´11 agosto 2014);
- l´avvenuta approvazione del "Codice di Condotta" del gruppo Shell da parte di tutte le società (v. nota del 30 ottobre 2014);
- la conformità della clausola del terzo beneficiario, anche con riferimento al criterio di alternatività della giurisdizione di cui al WP 155, punto 9 (v. nota del 6 marzo 2014, punto (g));
CONSIDERATO che le società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 15 gennaio, del 2 maggio, dell´8 settembre e del 31 ottobre 2014, hanno espressamente dichiarato che:
- in merito al trattamento di dati sensibili per finalità relative alla "gestione dell´appartenenza dei Dipendenti" di cui all´art. 3 del "Regolamento sulla privacy dei dipendenti Shell", tale trattamento si riferisce ai "casi in cui i dipendenti di propria iniziativa si uniscano a gruppi individuati all´interno di Shell (connotati dal dato razziale, etnico, di salute fisica o mentale, sessuale)" (v. nota delle società del 2 maggio 2014, punto (b));
- in merito ai principi in materia di protezione dei dati personali, le Bcr Shell saranno interpretate e applicate in conformità con il Codice, ciò con particolare riferimento a: il riconoscimento del diritto di opposizione al trattamento per finalità di carattere promozionale (art. 7, comma 4, lett. b), le modalità di riscontro all´esercizio dei diritti da parte dell´interessato (art. 8), le modalità del trattamento e i requisiti dei dati (art. 11), le misure di sicurezza (artt. 31 e ss.), i trasferimenti di dati verso Paesi terzi (artt. 43 e ss.) (v. nota delle società del 2 maggio 2014, punto (d));
- in ordine alla "regola degli interessi prevalenti", la normativa italiana sarà osservata anche ove non consenta le deroghe espressamente previste nell´art. 12 delle "Norme" (v. nota delle società del 2 maggio 2014, punto (e));
- relativamente ad alcune previsioni del WP 153, che non è stato possibile rinvenire in maniera esplicita nel testo di Bcr Shell, (si tratta nello specifico di quelle in materia di: inversione dell´onere della prova (WP 153, punto 1.6), predisposizione di un programma di training in materia di protezione dei dati personali (WP 153, punto 2.1), conduzione periodica di audit (WP 153, punto 2.3), creazione di un network di privacy officers o di uno staff che si occupi di monitorare il rispetto delle Bcr e di gestire le segnalazioni degli interessati (WP 153, punto 2.4)), queste saranno poste in essere dalle società cui è rilasciata la presente autorizzazione prima di effettuare i relativi trasferimenti di dati personali (v. nota della società dell´11 giugno 2014);
- in ordine al sistema di responsabilità, "la previsione di cui al "Regolamento sulla privacy dei dipendenti" e al "Regolamento sulla protezione dei dati personali dei clienti, fornitori e soci" (v., per entrambi i documenti, art. 15.3), con la quale si condiziona l´esercizio della clausola del terzo beneficiario al previo esperimento della procedura interna di risoluzione delle controversie prevista da Shell (art. 14), non è volta a limitare il diritto dell´interessato medesimo di adire, in caso di violazione delle suddette Bcr Shell, direttamente l´Autorità giudiziaria o amministrativa competente" (v. nota delle società dell´8 settembre 2014);
- con riferimento al "Codice di Condotta" e alle Bcr Shell ivi contenute, lo stesso "è stato approvato dal Consiglio di Amministrazione della società Royal Dutch Shell plc. e (…) da tutte le società Shell in Italia" (v. nota delle società del 31 ottobre 2014);
CONSIDERATO che l´art. 44, comma 1, lett. a) del Codice riconosce espressamente il potere del Garante di autorizzare un trasferimento di dati personali verso paesi terzi anche nel caso in cui tale trasferimento sia posto in essere tramite regole di condotta, esistenti nell´ambito di società appartenenti ad un medesimo gruppo, che presentino adeguate garanzie per i diritti dell´interessato, quali le Bcr Shell;
VISTO altresì che, in virtù di tale previsione normativa, le predette regole di condotta costituiscono un fatto astrattamente idoneo a produrre effetti giuridicamente vincolanti nell´ordinamento giuridico nazionale, ai sensi dell´art. 1173 cod. civ.;
TENUTO CONTO inoltre che, nonostante quanto stabilito in materia di "giurisdizione supplementare" delle autorità olandesi (v. "Norme", art. 15.4) e confermato dalle stesse società (v. nota delle società del 2 maggio, punti (g) e (h)), l´interessato, in base al diritto nazionale applicabile, può, in ogni caso, far valere i propri diritti nel territorio dello Stato anche in ordine all´inosservanza delle garanzie contenute nelle regole di condotta di cui alle Bcr Shell (art. 44, comma 1, lett. a) del Codice);
RITENUTA, altresì, la necessità di formulare alcune prescrizioni concernenti l´obbligo di comunicare a questa Autorità eventuali modifiche di carattere sostanziale apportate al testo delle Bcr Shell, in considerazione del fatto che le "Norme" (art. 17.7) prevedono l´adempimento di tale obbligo esclusivamente nei confronti del CBP;
RILEVATO comunque che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;
VISTO l´art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;
CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;
VISTI gli atti d´ufficio;
VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
TUTTO CIÒ PREMESSO IL GARANTE
a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Shell Italia Oil Products S.r.l., Shell Energy Italia S.r.l. e Shell Italia E&P S.p.A. a trasferire, nell´ambito del Gruppo Shell, i dati personali relativi al personale dipendente (ivi compresi gli ex dipendenti e i candidati all´assunzione), ai clienti, ai fornitori e ai partner commerciali (ivi compresi i dipendenti o altre persone che lavorano per tali clienti, fornitori o partner commerciali e gli appaltatori che lavorano sotto la supervisione di Shell) dal territorio dello Stato verso i soggetti facenti parte del Gruppo Shell aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Shell e per il perseguimento delle sole finalità ivi dichiarate;
b) ai sensi dell´art. 157 del Codice, dispone che Shell Italia Oil Products S.r.l., Shell Energy Italia S.r.l. e Shell Italia E&P S.p.A. comunichi al Garante entro 90 giorni dall´approvazione di eventuali modifiche di carattere sostanziale apportate al testo delle Bcr Shell;
c) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.
Roma, 4 dicembre 2014
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia
