[doc. web n. 6388305]

Autorizzazione al trasferimento dei dati mediante BCR nell´ambito del Gruppo UCB - 30 marzo 2017

Registro dei provvedimenti
n. 166 del 30 marzo 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO altresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, in cui si definisce la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo tra l´altro che essa sia coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta (c.d. Application Form), presentata da UCB S.A. − società capogruppo del gruppo UCB operante nel settore farmaceutico (con sede in Belgio) − dinanzi all´Autorità di protezione dei dati personali del Belgio (Commission de la protection de la vie privée, di seguito "CPVP"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da UCB S.A., quale società capogruppo del Gruppo UCB in nome e per conto di tutte le società controllate, direttamente o indirettamente, dalla medesima (c.d. "Entità di UCB"), ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr UCB", dei dati personali relativi a "pazienti, caregiver, dipendenti, lavoratori a contratto, operatori sanitari e fornitori esterni" per il perseguimento delle finalità indicate nell´Application Form (Parte 2, Sezione VII);

PRESO ATTO che le Bcr UCB consistono in specifiche regole di condotta contenute nelle "Binding Corporate Rules for Data Protection and Privacy" (di seguito "Bcr UCB") comprensive delle seguenti appendici: l´"Allegato 1 – Entità di UCB soggette alle BCR"; l´"Allegato 2 – Dati personali e scopi delle attività di trattamento/trasferimento soggette alle BCR";

PRESO ATTO, in particolare, che, in virtù della sottoscrizione del "Binding Corporate Rules Intercompany Agreement" di cui al par. 19 delle Bcr UCB (di seguito "ICA"), UCB S.A. e le "Entità di UCB" si vincolano giuridicamente e reciprocamente all´osservanza delle Bcr UCB, ivi comprese le clausole di responsabilità e del terzo beneficiario (v. "ICA", art. 1);

RILEVATO altresì che il Gruppo UCB ha adottato anche il "Codice di condotta di UCB", in cui sono state incorporate le Bcr UCB, e che le stesse si applicano a tutte le società e ai loro dipendenti al pari delle altre Policy in materia di protezione dei dati personali adottate dal Gruppo (v. par. 1 "Introduzione" delle Bcr UCB" e Parte 2, sezione IV, Application form);

VISTO che le "Entità di UCB" sono tenute, nell´ambito di un più ampio programma di controlli, ad effettuare opportune verifiche in ordine al rispetto delle Bcr UCB (v. paragrafi 11 "Audit" e 12 "Conformità e supervisione della conformità" delle Bcr UCB e Parte 2, sezione V, Application form) e che in caso di mancata osservanza delle suddette Bcr sono previste sanzioni disciplinari nei confronti del personale dipendente, ciò anche in virtù dell´inclusione delle stesse nella "Codice di condotta di UCB" (v. par. 3 "Ambito di applicazione" delle Bcr UCB e Parte 2, sezione IV, Application form);

PRESO ATTO inoltre che le Bcr UCB, comprensive al loro interno della clausola del terzo beneficiario di cui al par. 15, saranno pubblicate "sui siti web di UCB a disposizione di tutti i soggetti interessati i cui dati personali siano soggetti alle BCR", come previsto nel par. 5 "Trasparenza e diritto all´informazione" delle Bcr UCB;

RILEVATO che la CPVP, in data 3 settembre 2015, all´esito della procedura concernente le Bcr UCB, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

CONSIDERATO che il Garante, in data 2 ottobre 2015, ha rappresentato alla CPVP che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 2 ottobre 2015);

VISTA l´istanza del 5 febbraio 2016, con cui UCB Pharma S.p.A., (con sede in Milano) ha chiesto il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi ai dipendenti, ai pazienti e caregiver, agli operatori sanitari, ai lavoratori esterni e ai fornitori posto in essere per il perseguimento delle finalità concernenti: "(i) attività inerenti all´impiego […]; (ii) attività di ricerca e sviluppo […]; (iii) attività di farmacovigilanza e qualità del prodotto […]; (iv) attività con pazienti /caregiver che non siano quelli indicati al punto (ii) e al punto (iii) […]; (v) gestione delle richieste di informazioni medico-scientifiche […]; (vi) attività commerciali […]; (vii) attività correlate ai lavoratori esterni e ai fornitori […]; (viii) compliance, verifiche interne e audit […]; (ix) procedimenti legali e indagini delle autorità" (cfr., anche, par. 3 "Ambito di applicazione" delle Bcr UCB e Appendice 2 alle Bcr UCB);

VISTE le richieste di informazioni avanzate dal Garante il 16 giugno, 23 agosto e 14 novembre 2016  nei confronti della menzionata società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- le categorie di interessati e le relative finalità oggetto delle operazioni di trasferimento di cui alla presente autorizzazione, (v. nota del Garante del 16 giugno 2016);

- l´interpretazione e l´applicazione delle Bcr UCB in conformità ai principi in materia di protezione dei dati personali previsti nel d.lg. 196/2003, concernenti: l´"informativa" (art. 13), soprattutto in ordine ai casi in cui essa non è dovuta o può essere fornita con modalità semplificate e il "diritto di accesso ai dati personali e altri diritti" (artt. 7–10) (v. nota del Garante del 23 agosto 2016 punto (a));

- la conformità della previsione di cui al par. 17 delle Bcr UCB in ordine alle "Collaborazioni con le autorità competenti in materia di protezione dei dati" rispetto a quanto indicato dal Gruppo ex Art. 29 nei punti 5.4 del WP 74 e 3.1 del WP 153 (v. nota del Garante del 23 agosto 2016 punto (b));

- i diritti previsti nella clausola del terzo beneficiario, di cui al par. 15 "Diritti del terzo beneficiario" e la clausola sulla responsabilità, di cui al par. 16 "Responsabilità all´interno dello SEE", in ragione di quanto previsto nei paragrafi 3.1, 3.3, 5.5. e 5.6 del WP 74, nonché nei paragrafi 9 del WP 155 e 5.12 e ss. del WP 108 del Gruppo di lavoro ex Art. 29 (v. nota del Garante del 14 novembre 2016 punto (a));

- l´ambito degli scopi del trattamento e dei trasferimenti infragruppo di cui al punto 2, lett. (i) dell´Appendice 2 alle Bcr UCB, con particolare riguardo alle attività − che sottendono tali trattamenti e trasferimenti di dati − consistenti nel "monitoraggio e gestione degli strumenti web collaborativi, caselle di posta elettronica e soluzioni di messaggistica istantanea di UCB, nonché altri sistemi informativi di UCB e tutte le forme di supporto elettronico o digitale e i servizi destinati all´uso del personale" poste in essere dalla società (v. nota del Garante del 14 novembre 2016 punto (b));

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note dell´8 luglio, 7 ottobre e 22 dicembre 2016 ha espressamente dichiarato che:

- costituiscono oggetto delle Bcr UCB i dati concernenti le seguenti categorie di interessati: a) "personale dipendente", nel quale sono ricompresi i dipendenti, gli ex dipendenti, i familiari, i candidati all´assunzione, gli amministratori-funzionari (quest´ultimi da intendersi quali dipendenti o consulenti di UCB che rivestono una carica ufficiale); b) "pazienti" (tra i quali sono ricompresi i familiari dei pazienti o caregiver); c) "operatori sanitari"; d) "lavoratori esterni" (v. definizione di cui al par. 3 "Ambito di applicazione" delle Bcr UCB"); e) "fornitori-partner commerciali" (v. definizione di cui al par. 3 "Ambito di applicazione" delle Bcr UCB") (v. nota del´8 luglio 2016);

- in ordine alle finalità dei trasferimenti oggetto della richiesta di autorizzazione, queste sono specificamente individuate, in relazione ad ogni singola tipologia di interessati, nell´Allegato 1 (Finalità dei trasferimenti infragruppo dei dati, elencate per categoria di "soggetti interessati") di cui alla nota in atti del 22 dicembre 2016 inviata dalla società;

- il trattamento dei dati personali sarà effettuato in conformità ai principi in materia di protezione dei dati personali, ciò con particolare riferimento a quelli sopra richiamati, ossia i principi concernenti: l´"informativa" (art. 13), soprattutto in ordine ai casi in cui essa non è dovuta o può essere fornita con modalità semplificate e il "diritto di accesso ai dati personali e altri diritti" (artt. 7–10) (v. nota della società del 7 ottobre 2016, punto (a));

- i diritti previsti nella clausola del terzo beneficiario, di cui al par. 15 "Diritti del terzo beneficiario" e nella clausola sulla responsabilità, di cui al par. 16 "Responsabilità all´interno dello SEE", saranno esercitabili da qualsiasi "Individual" i cui dati personali vengano trasferiti all´estero dal territorio nazionale tramite le Bcr UCB conformemente a quanto indicato nei paragrafi 3.1, 3.3, 5.5. e 5.6 del WP 74, nonché nei paragrafi 9 del WP 155 e 5.12 e ss. del WP 108 del Gruppo di lavoro ex Art. 29 (v. nota della società del 22 dicembre 2016);

- il par. 17 delle Bcr UCB sarà applicato in conformità a quanto indicato dal Gruppo ex Art. 29 nei punti 5.4 del WP 74 e 3.1 del WP 153 in ordine alla previsione dell´obbligo di cooperazione con le Autorità di protezione dei dati personali (v. nota delle società del 7 ottobre 2016, punto (b));

- con riguardo a quanto stabilito nel punto 2, lett. (i) dell´Appendice 2 delle Bcr UCB, ha preso atto di quanto prescritto dall´Autorità nel provvedimento del 1° marzo 2007 recante "Lavoro: linee guida del Garante per posta elettronica e internet", impegnandosi al rispetto delle medesime e della relativa normativa nazionale applicabile in materia (v. nota della società del 22 dicembre 2016);

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza UCB Pharma S.p.A. a trasferire, nell´ambito del gruppo UCB, i dati personali relativi a: il "personale dipendente"; i "pazienti", gli "operatori sanitari", i "lavoratori esterni" e i "fornitori-partner commerciali" come sopra individuati, dal territorio dello Stato verso i soggetti facenti parte del Gruppo UCB aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr UCB e per il perseguimento delle sole finalità ivi dichiarate, così come specificatamente indicate, in relazione ad ogni singola tipologia di interessati, nell´Allegato 1 (Finalità dei trasferimenti infragruppo dei dati, elencate per categoria di "soggetti interessati") di cui alla nota in atti del 22 dicembre 2016 inviata dalla società;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 30 marzo 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia