g-docweb-display Portlet

Autorizzazione al trasferimento di dati personali nell'ambito del gruppo GDF SUEZ secondo le modalità fissate nelle Bcr - 6 ottobre 2016 [5834650]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 5834650]

Autorizzazione al trasferimento di dati personali nell´ambito del gruppo GDF SUEZ secondo le modalità fissate nelle Bcr - 6 ottobre 2016

Registro dei provvedimenti
n. 392 del 6 ottobre 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea, ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d. "Application form") presentata da GDF SUEZ SA – società capogruppo del Gruppo GDF operante nel settore energetico (con sede in Francia), dinanzi all´Autorità francese di protezione dei dati personali (Commission nationale de l´informatique et des libertés, di seguito "CNIL"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da GDF SUEZ SA, quale società capogruppo del Gruppo GDF SUEZ in nome e per conto di tutte le società controllate, direttamente o indirettamente, dalla medesima (c.d. "Affiliate GDF SUEZ"), ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr GDF SUEZ", dei dati personali relativi al personale dipendente per il perseguimento delle finalità indicate nell´Application Form (Parte 2, Sezione VII);

PRESO ATTO che le Bcr GDF SUEZ consistono in specifiche regole di condotta contenute nelle "Binding Corporate Rules di GDF SUEZ" (di seguito "Bcr GDF SUEZ") comprensive delle seguenti appendici: l´"Allegato 1 – Elenco delle società per le quali è prevista l´accettazione delle BCR"; l´"Allegato 2 – Politica sulla privacy dei dati nel Gruppo GDF SUEZ"; l´"Allegato 3 – Trattamento dei dati"; l´"Allegato 4 – Sicurezza dei sistemi informativi di GDF SUEZ"; l´"Allegato 5 – Clausola di protezione dei dati personali"; nonché nel "World-wide Agreement on acceptation of the GDF SUEZ Binding Corporate Rules" (di seguito "ICA", v., in tal senso, par. 14 delle Bcr GDF SUEZ);

VISTO che l´"ICA" consiste nell´"accordo che vincola l´intero Gruppo" e si applica "a tutte le società del Gruppo GDF SUEZ che [lo] abbiano sottoscritto" (par. 3.6 delle Bcr GDF SUEZ);

PRESO ATTO, in particolare, che, in virtù della sottoscrizione del suddetto "ICA", le Affiliate GDF SUEZ si sono espressamente e reciprocamente obbligate "ad osservare scrupolosamente le disposizioni delle Binding Corporate Rules applicate all´interno del Gruppo", ivi comprese le clausole di responsabilità e del terzo beneficiario (v. "ICA", clausole 1 e 2);

RILEVATO altresì che il Gruppo GDF SUEZ ha adottato anche la "Carta Etica del Gruppo GDF SUEZ" e le relative "Linee Guida", in cui è contenuto un esplicito richiamo alle Bcr GDF SUEZ e all´obbligo di rispettarle, e che le stesse si applicano a tutte le società e ai loro dipendenti (v. "ICA", clausola 1 e par. 3.6 delle Bcr GDF SUEZ);

VISTO che le "Affiliate GDF SUEZ" sono tenute, nell´ambito di un più ampio programma di controlli, ad effettuare opportune verifiche in ordine al rispetto delle Bcr GDF SUEZ (v. par. 8.2  delle Bcr GDF SUEZ e Parte 2, sezione V, Application form) e che in caso di mancata osservanza delle Bcr sono previste sanzioni disciplinari nei confronti del personale dipendente, ciò anche in virtù dell´inclusione delle stesse nella "Carta Etica del Gruppo GDF SUEZ" (v. par. 3.6 delle Bcr GDF SUEZ e Parte 2, sezione IV, Application form);

PRESO ATTO inoltre che le Bcr GDF SUEZ, comprensive al loro interno della clausola del terzo beneficiario di cui al par. 6, saranno rese disponibili sulla rete Intranet del Gruppo GDF SUEZ e a mezzo di circolari interne e comunque pubblicate sul sito Internet del Gruppo, come previsto nel par. 5.1 delle Bcr GDF SUEZ;

RILEVATO che la CNIL, in data 2 dicembre 2014, all´esito della procedura concernente le Bcr GDF SUEZ, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante, in data 30 dicembre 2014, ha rappresentato alla CNIL che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 30 dicembre 2014);

VISTA l´istanza del 10 luglio 2015 presentata, ai sensi dell´art. 44, comma 1, lett. a) del Codice, da "GDF SUEZ Energia Italia S.p.A." (con sede in Roma), anche in nome e per conto di "GDF SUEZ Energie S.p.A." (con sede in Milano), "GDF SUEZ Produzione S.p.A." (con sede in Roma), "GDF SUEZ Rinnovabili S.p.A." (con sede in Roma), "Voghera Energia S.p.A." (con sede in Voghera), "Longano Eolica S.p.A." (con sede in Roma) e "Rosen – Rosignano Energia S.p.A." (con sede in Rosignano Marittimo), volta ad ottenere il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi al "personale dipendente" (categoria nella quale devono intendersi ricompresi anche i candidati, gli stagisti, i lavoratori con contratto a termine e i pensionati) posto in essere per il perseguimento delle finalità "organizzative, […] amministrativo-contabili, […] di gestione del personale, […] correlate allo sviluppo delle risorse umane, […] di gestione amministrativa del personale, […] di sicurezza e prevenzione degli illeciti tramite una procedura di whistleblowing, […] correlate alla salute dei dipendenti nonché alla sicurezza e all´ambiente, […] correlate alla gestione di anomalie nella sicurezza aziendale informatica" (cfr., anche, Appendice 3 alle Bcr GDF SUEZ);

VISTE le richieste di informazioni avanzate dal Garante in data 9 novembre 2015 e 21 gennaio, 8 aprile e 28 giugno 2016  nei confronti delle menzionate società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- le nozioni di "Responsabile del trattamento dei dati" e di "Incaricato del trattamento dei dati" menzionate nel par. 2 in materia di "Definizioni" delle Bcr GDF SUEZ (v. nota del Garante del 9 novembre 2015 punto (a));

- l´interpretazione e l´applicazione delle Bcr GDF SUEZ in conformità ai principi in materia di protezione dei dati personali previsti nel d. lg. 196/2003, concernenti: l´"informativa" (art. 13), soprattutto in ordine ai casi in cui essa non è dovuta o può essere fornita con modalità semplificate; il "diritto di accesso ai dati personali e altri diritti" (artt. 7–10); il "trattamento dei dati sensibili" (art. 26) e le "misure di sicurezza" (artt. 31 e ss.) (v. nota del Garante del 9 novembre 2015 punto (b));

- la conformità della clausola del terzo beneficiario di cui al par. 6 delle Bcr GDF SUEZ rispetto a quanto previsto nei documenti WP 74 (punti 3.3.2 e 5.5.1), WP 108 (punti 5.12 ss.) e WP 155 (punto 9) del Gruppo ex art. 29 (v. nota del Garante del 9 novembre 2015 punto (c));

- le finalità perseguite mediante l´utilizzo delle Bcr GDF SUEZ con riguardo al trasferimento dei dati del personale dipendente all´interno del Gruppo (v. nota del Garante del 21 gennaio 2016 e 28 giugno 2016);

- il sistema di responsabilità prescelto in ragione di quanto previsto al riguardo dal Gruppo ex art. 29 nei documenti WP 74, punti 3.3.1, 5.5.1, 5.5.2 e 5.6 e WP 153, punto 1.4 (v. nota del Garante del 8 aprile 2016);

CONSIDERATO che le società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 14 dicembre 2015 e 19 febbraio, 30 maggio e 13 luglio 2016 hanno espressamente dichiarato che:

- le nozioni di "Responsabile del trattamento dei dati" e "Incaricato del trattamento dei dati" indicate nelle Bcr GDF SUEZ sono riconducibili rispettivamente a quella di "titolare" di cui all´art. 4, comma 1, lett. f) del Codice e a quella di "responsabile" di cui all´art. 4, comma 1, lett. g) del Codice (v. nota delle società del 14 dicembre 2015);

- il trattamento dei dati personali sarà effettuato in conformità ai principi in materia di protezione dei dati personali individuati nel Codice; ciò con particolare riferimento a quelli sopra richiamati (v. nota delle società del 14 dicembre 2015);

- le Bcr GDF SUEZ sono conformi a quanto stabilito nei documenti del Gruppo ex art. 29 in ordine alla clausola del terzo beneficiario e che nel par. 6 delle Bcr GDF SUEZ che la prevede devono intendersi richiamati tutti gli specifici diritti indicati al punto 9 del WP 155, compresi "quelli di cui al par. 4(a) delle Bcr GDF SUEZ" (v. nota delle società del 14 dicembre 2015);

- le finalità perseguite mediante l´utilizzo delle Bcr GDF SUEZ sono tutte quelle indicate nell´Appendice 3 e "ad oggi non è stato adottato alcun sistema di segnalazione consistente in procedure di whistleblowing [finalità ricompresa nell´elenco di cui all´Appendice 3]"; a tale specifico riguardo è stato rappresentato inoltre dalle società che "ove ciò venga in futuro posto in essere, sarà cura  [delle stesse] osservare le discipline di settore applicabili e la normativa nazionale vigente in materia di protezione dei dati personali" (v. note delle società del 19 febbraio 2016 e del 13 luglio 2016);

- in merito al regime di responsabilità, il Gruppo GDF SUEZ ha adottato un sistema che prevede di "non accentrare la responsabilità per eventuali violazioni in materia di protezione di dati personali sulla sola capogruppo o su una società delegata a tal fine", così come "regolato dall´art. 10 […] delle Binding Corporate Rules GDF SUEZ" (v. nota delle società del 30 maggio 2016);

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza GDF SUEZ Energia Italia S.p.A., GDF SUEZ Energie S.p.A, GDF SUEZ Produzione S.p.A., GDF SUEZ Rinnovabili S.p.A., Voghera Energia S.p.A., Longano Eolica S.p.A. e Rosen – Rosignano Energia S.p.A., a trasferire, nell´ambito del Gruppo GDF SUEZ, i dati personali relativi al "personale dipendente" dal territorio dello Stato verso i soggetti facenti parte del Gruppo GDF SUEZ aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr GDF SUEZ e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma,  6 ottobre 2016

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
5834650
Data
06/10/16

Argomenti


Tipologie

Bcr

Vedi anche (10)