[doc. web n. 6033601]

Autorizzazione al trasferimento di dati personali nell´ambito del Gruppo GE secondo le modalità fissate nelle Bcr - 12 gennaio 2017

Registro dei provvedimenti
n. 3 del 12 gennaio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d. "Application form") presentata da GE International Incorporation (con sede in Francia) – società facente parte di "General Electric", gruppo operante nel settore della tecnologia, della finanza, del manifatturiero e dei media (di seguito "Gruppo GE", la cui capogruppo, General Electric Company, ha sede negli Stati Uniti d´America) –, dinanzi all´Autorità francese di protezione dei dati personali (Commission nationale de l´informatique et des libertés, di seguito "CNIL"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che il Garante ha partecipato alla suddetta procedura europea in qualità di co-lead Authority (v. comunicazione del 4 aprile 2012);

RILEVATO che tale richiesta, pervenuta al Garante in data 10 aprile 2012, è stata presentata da GE International Incorporation anche in nome e per conto di tutte le c.d. "Entità GE", ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr GE", dei dati personali relativi al personale dipendente, ai clienti e ai fornitori per le finalità indicate nel dettaglio nell´Application Form (Parte 2, Sezione VII);

VISTO che le Bcr GE consistono in specifiche regole di condotta contenute nell´"Impegno di GE per la protezione delle informazioni personali" (di seguito "l´Impegno");

CONSIDERATO che tale Privacy Policy contiene l´impegno della società capogruppo General Electric Company (di seguito "GE") "affinchè tutte le Entità GE  […] siano vincolate dal [suddetto] Impegno" e siano pertanto tenute all´osservanza dei principi contenuti nelle Bcr GE, ivi comprese le clausole di responsabilità e del terzo beneficiario (v. "Impegno di GE per la protezione delle informazioni personali", paragrafi I, IV e VI; cfr., in tal senso, anche l´"Introduzione all´Impegno di GE per la protezione delle informazioni personali");

PRESO ATTO che tale impegno acquista efficacia vincolante per le "Entità GE" a seguito dell´approvazione dell´"Impegno di GE per la protezione delle informazioni personali" da parte del "Policy Compliance and Review Board" di General Electric Company (di seguito "PCRB"), nonché dell´incorporazione, in virtù della suddetta approvazione, di tale Privacy Policy nel Codice di Condotta GE denominato "Integrità: lo Spirito e la Lettera del nostro impegno" che ricomprende tutte le politiche aziendali rilevanti del Gruppo GE (v. Estratto del verbale con cui il "PCBR" ha approvato, in data 3 luglio 2012, l´"Impegno" e Application Form, Parte 2, Sezione IV);

TENUTO CONTO, altresì, che "Impegno di GE per la protezione delle informazioni personali", è vincolante per i dipendenti in virtù dell´impegno assunto dagli stessi mediante la sottoscrizione del contratto di lavoro o di una separata conferma di riconoscimento delle politiche aziendali rilevanti del Gruppo GE contenute nel suddetto Codice di Condotta GE e che, in caso di mancata osservanza del medesimo sono previste specifiche sanzioni disciplinari nei confronti del personale dipendente (v. Application form, Parte 2, sezione IV);

VISTO, inoltre, che il Gruppo GE è tenuto periodicamente a porre in essere valutazioni di impatto in materia di protezione dei dati e ad effettuare opportune verifiche in ordine al rispetto delle Bcr GE da parte delle "Entità GE" (v. Application form, Parte 2, Sezione V e "l´Impegno" par. VI);

PRESO ATTO che l´"Impegno di GE per la protezione delle informazioni personali" "verrà comunicato a livello globale ai dipendenti e ai dirigenti GE e sarà reso pubblicamente disponibile in diverse lingue sui siti Web" del Gruppo GE (v. "l´Impegno" paragrafi I e II);

CONSIDERATO che il Garante in data 23 maggio 2012, a fronte dell´esame del final draft condotto in qualità di co-lead Authority, si è riservato di valutare, in sede di rilascio della relativa autorizzazione nazionale, i profili di compatibilità della clausola di responsabilità e del terzo beneficiario con l´ordinamento italiano ai fini del rispetto del principio di efficacia vincolante delle Bcr sancito dai documenti del Gruppo ex art. 29 (cfr. nota del 23 maggio 2012);

RILEVATO che la CNIL, in data 20 settembre 2012, all´esito della procedura concernente le Bcr GE, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO, altresì, che a seguito della valutazione di cui sopra effettuata dal Garante in virtù della presentazione, ai sensi dell´art. 44, comma 1, lett. a) del Codice, dell´istanza del 13 maggio 2015, da parte delle società del Gruppo GE denominate "General Electric International Inc., Filiale Italiana"; "GE Capital Services S.r.l."; "GE Measurement & Control Solutions Italia S.r.l."; "GE Aviation System Limited, Filiale Italiana"; "GE Power Conversion Italy S.r.l."; "GE Avio S.r.l."; "GettiSpeciali S.r.l."; "GE Capital Interbanca S.p.A."; "Dresser Italia S.r.l."; "GE Italia Holding S.p.A."; "Nuovo Pignone S.p.A."; "GE Power Controls Italia S.r.l."; "GE Lighting S.r.l."; "GE Transportation System S.p.A."; "Nuovo Pignone S.r.l."; "GE Medical Systems Italia S.p.A."; "GE Healthcare S.r.l."; "GE Healthcare Europe GmbH, Filiale Italiana"; "GE Oil & Gas HSR Systems S.r.l."; "Jenbacher S.r.l."; "GE Water & Process Technologies Italy S.p.A."; "Italba Services S.r.l."; "GE Capital Finance S.r.l."; "GE Capital Servizi Finanziari S.p.A."; "GE Capital Funding Services S.r.l."  volta ad ottenere il rilascio dell´autorizzazione nazionale ai trasferimenti di dati personali  infragruppo verso paesi terzi, mediante le Bcr GE, l´Autorità ha reso la suddetta autorizzazione in data 22 ottobre 2015 (doc. web n. 4589496);

VISTA l´ulteriore istanza del 3 ottobre 2016 avanzata, ai sensi dell´art. 44, comma 1, lett. a) del Codice da "General Electric International Inc., Filiale Italiana" (con sede in Milano) in nome e per conto di "Cegelec Italia S.p.A. in Liquidazione" (con sede in Milano), "Alstom Power Italia S.p.A." (con sede in Sesto San Giovanni) e "Grid Solutions S.p.A." (con sede in Noventa di Piave), volta anch´essa a ottenere il rilascio dell´autorizzazione nazionale ai trasferimenti infragruppo verso paesi terzi, mediante le Bcr GE, con riferimento ai dati personali relativi ai dipendenti "raccolti nel contesto del rapporto di lavoro con GE", a quelli dei clienti "ottenuti in dipendenza delle relazioni di clienti effettivi o potenziali con il Gruppo", nonchè ai dati personali relativi ai fornitori "raccolti nell´ambito dei rapporti di fornitura instaurati con GE" (cfr. in tal senso anche la sopra menzionata istanza del 13 maggio 2015);

PRESO ATTO che, anche in base a quanto dichiarato dalle società con l´ulteriore nota del 28 novembre 2016, si intendono estesi alla suddetta istanza di autorizzazione e al relativo procedimento le informazioni e i chiarimenti resi a questa Autorità dalle altre società del gruppo GE, nell´ambito del procedimento sopra richiamato, con le note del 13 maggio 2015 e 14 settembre 2015, nonché le valutazioni rese in merito alle Bcr GE dal Garante in tale sede (cfr. al riguardo il provvedimento citato);

PRESO ATTO altresì che ciascuna delle società istanti "direttamente o per mezzo delle rispettive controllanti agenti in nome e per conto delle stesse, ha espressamente deliberato, attraverso risoluzioni ad hoc adottate dai rispettivi consigli di amministrazione, di conformarsi alle norme stabilite dalle Bcr GE" (v. istanza del 3 ottobre 2016);

CONSIDERATO che l´art. 44, comma 1, lett. a) del Codice riconosce espressamente il potere del Garante di autorizzare un trasferimento di dati personali verso paesi terzi anche nel caso in cui tale trasferimento sia posto in essere tramite regole di condotta, esistenti nell´ambito del medesimo gruppo, che presentino adeguate garanzie per i diritti dell´interessato, quali le Bcr GE;

VISTO altresì che, in virtù di tale previsione normativa, le predette regole di condotta costituiscono un fatto astrattamente idoneo a produrre effetti giuridicamente vincolanti nell´ordinamento giuridico nazionale, ai sensi dell´art. 1173 cod. civ.;

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza "Cegelec Italia S.p.A. in Liquidazione", "Alstom Power Italia S.p.A." e "Grid Solutions S.p.A." a trasferire, nell´ambito del Gruppo GE, i dati personali relativi al "personale dipendente", ai "clienti" e ai "fornitori" dal territorio dello Stato verso i soggetti facenti parte del Gruppo GE aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr GE e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 12 gennaio 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia