g-docweb-display Portlet

Autorizzazione al trasferimento di dati personali nell'ambito del Gruppo Cardinal Health secondo le modalità fissate nelle Bcr - 26 gennaio 2017 [6068057]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 6068057]

Autorizzazione al trasferimento di dati personali nell´ambito del Gruppo Cardinal  Health secondo le modalità fissate nelle Bcr - 26 gennaio 2017

Registro dei provvedimenti
n. 27 del 26 gennaio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nell´Application form, di cui al WP 133 del 10 gennaio 2007, presentata da Cardinal Health Malta 212 Limited− società del gruppo Cardinal Health operante nel settore farmaceutico (la cui capogruppo, Cardinal Health Inc., ha sede negli Stati Uniti d´America) − dinanzi all´Autorità di protezione dei dati personali della Repubblica di Malta (Office of the Information and Data Protection Commissioner), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta, trasmessa al Garante in data 29 giugno 2015, è stata presentata da Cardinal Health Malta 212 Limited (società con sede nella Repubblica di Malta), in quanto società del gruppo cui è stata delegata per l´area SEE la responsabilità in materia di protezione dei dati personali, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi, mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr Cardinal Health", dei dati personali relativi al personale dipendente (ivi compresi "appaltatori correnti, passati e potenziali") (v. application form - WP 133, Parte II, par. 7);

PRESO ATTO che le Bcr Cardinal Health consistono in specifiche regole di condotta (di seguito "Policy") esplicate nei seguenti documenti: "Protezione dei dati del personale"; "Definizione e applicazione delle politiche Cardinal Health"; "Introduzione alla sicurezza informatica"; "Accesso alle informazioni personali"; "Informazioni personali e assunzioni"; "Informazioni personali"; "Protezione dei dati da parte dei fornitori di servizi" e "Social Media";

CONSIDERATO che le suddette "Policy" contengono l´impegno della capogruppo Cardinal Health Inc. e delle "sue divisioni e società partecipate a maggioranza o controllate dalla stessa" (di seguito "Società Cardinal Health") ad "operare in conformità alle norme di legge, alle (..) politiche interne e al Codice di condotta aziendale", ivi incluse le Bcr Cardinal Health (v. "Definizione e applicazione delle politiche di Cardinal Health", pag. 1-2);

PRESO ATTO che tale impegno acquista efficacia vincolante per le "Società Cardinal Health" e per il relativo personale dipendente a seguito dell´approvazione, da parte del Consiglio di Amministrazione di Cardinal Health, del "Codice di condotta aziendale", che impone il rispetto delle politiche e procedure previste da Cardinal Health tra cui anche le "Policy" (v. application form – WP 133, Parte II, par. 4, pag. 11);

TENUTO CONTO che la capogruppo Cardinal Health Inc., in virtù della propria posizione di controllo, ha il potere di introdurre policy vincolanti per le società del Gruppo e che proprio nell´esercizio di tale potere deve "assicurare che le politiche aziendali e le corrispondenti procedure siano comunicate e applicate con coerenza nel gruppo" anche attraverso la realizzazione di "operazioni di monitoraggio e verifiche interne ed esterne" (v. application form – WP 133, Parte II, sezione 4, pag. 8);

RILEVATO che Cardinal Health Inc. ha specificatamente designato Cardinal Health Malta 212 Limited ad operare in veste di società con responsabilità delegata in materia di protezione dei dati con il precipuo compito di assicurare che "gli altri membri del Gruppo Cardinal Health modifichino le loro attività di trattamento in modo da rispettare le Bcr di Cardinal Health (…) e si assumano la responsabilità finanziaria di eventuali violazioni" (v. application form – WP 133, Parte II, Allegato 1, pagg. 3 - 4);

VISTO,  inoltre, che le Policy impegnano le società del gruppo Cardinal Health ad effettuare periodicamente delle valutazioni di impatto in materia di protezione dei dati (v. application form – WP 133, Parte II, par. 5) e ad attuare regolari controlli in ordine al rispetto delle Bcr Cardinal Health (v. "Protezione dei dati del personale", par. I);

RILEVATO che l´Office of the Information and Data Protection Commissioner, in data 21 ottobre 2015, all´esito della procedura concernente le Bcr Cardinal Health, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante, in data 3 luglio 2015, ha rappresentato all´Office of the Information and Data Protection Commissioner che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 3 luglio 2015);

VISTA l´istanza del 25 gennaio 2016, con cui Cardinal Health Italy 509 S.r.l. (con sede  in Milano), ai sensi dell´art. 44, comma 1, lett. a) del Codice, ha chiesto al Garante il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi al personale dipendente (ivi compresi i candidati all´assunzione, gli ex dipendenti,  i pensionati, i lavoratori temporanei e/o occasionali, gli appaltatori, le persone a carico, i familiari e i beneficiari) per finalità amministrativo-contabili, dal territorio dello Stato verso paesi terzi, mediante le Bcr Cardinal Health (cfr. istanza di autorizzazione datata 25 gennaio 2016, pag. 2; v. anche "Protezione dei dati del personale", par. "definizioni", punto 2);

VISTE le richieste di informazioni avanzate dal Garante in data 9 maggio e 9 settembre 2016 nei confronti della menzionata società, volte ad ottenere specifici chiarimenti con riferimento agli obblighi di trasparenza, alla clausola del terzo beneficiario, ai diritti dell´interessato e alle misure di sicurezza;

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine a quanto sopra menzionato, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 22 giugno e del 30 dicembre  2016, ha espressamente dichiarato che:

- con riferimento agli obblighi di trasparenza,  le Bcr Cardinal Health saranno pubblicate rispettivamente sulla intranet aziendale e sul sito internet del gruppo Cardinal Health (v. note della società del 22 giugno 2016, punto b) e del 30 dicembre  2016, punto b));

- in merito alla clausola del terzo beneficiario, la previsione con la quale si condiziona l´esercizio della clausola del terzo beneficiario al previo esperimento dei "processi di risoluzione interna delle dispute" (v. "Protezione dei dati personali", par. F3, lett. b)), non è volta a limitare il diritto dell´interessato medesimo di adire, in caso di violazione delle suddette Bcr Cardinal Health, direttamente l´Autorità giudiziaria o amministrativa competente (v. nota della società del 30 dicembre  2016, punto a));

- relativamente ai diritti dell´interessato e alle misure di sicurezza, le Bcr Cardinal Health saranno interpretate e applicate in conformità agli artt. 7 e ss. (riconoscimento dei diritti dell´interessato e relative modalità di esercizio) e agli artt. 31 e ss. (misure di sicurezza) del Codice (v. nota della società del 30 dicembre  2016, punto c));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Cardinal Health Italy 509 S.r.l. a trasferire, nell´ambito del gruppo Cardinal Health, i dati personali relativi al personale dipendente (ivi compresi i candidati all´assunzione, gli ex dipendenti,  i pensionati, i lavoratori temporanei e/o occasionali, gli appaltatori, le persone a carico, i familiari e i beneficiari), dal territorio dello Stato verso i soggetti facenti parte del gruppo Cardinal Health aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr Cardinal Health e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 26 gennaio 2017

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
6068057
Data
26/01/17

Argomenti


Tipologie

Bcr

Vedi anche (10)