IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vice presidente, della
prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia,
segretario generale;
Visto l'art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del
Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del
quale i dati personali possono essere trasferiti in un paese non
appartenente all'Unione europea qualora il paese terzo garantisca un
livello di protezione adeguato;
Visto l'art. 26 della predetta direttiva, il quale individua alcune
deroghe al menzionato principio, prevedendo che uno Stato membro
possa autorizzare un trasferimento o una categoria di trasferimenti
di dati personali verso un Paese terzo che non garantisca un livello
di protezione adeguato, qualora il titolare del trattamento offra
garanzie sufficienti per la tutela della vita privata e dei diritti e
delle liberta' fondamentali delle persone, nonche' per l'esercizio
dei diritti connessi;
Visto il decreto legislativo 30 giugno 2003, n. 196, codice in
materia di protezione dei dati personali (di seguito «Codice») e in
particolare l'art. 44, comma 1, lettera a) del Codice, il quale
stabilisce che il trasferimento di dati personali diretto verso un
Paese non appartenente all'Unione europea e' consentito quando e'
autorizzato dal Garante sulla base di adeguate garanzie per i diritti
dell'interessato, individuate dall'Autorita' anche in relazione a
regole di condotta esistenti nell'ambito di societa' appartenenti a
un medesimo gruppo e denominate Binding Corporate Rules (ossia «Norme
vincolanti di impresa», di seguito «Bcr»);
Considerato che il Gruppo di lavoro istituito dall'art. 29 della
direttiva 95/46/CE (di seguito «Gruppo ex art. 29»), che ha tra i
propri compiti quello di fornire interpretazioni e pareri per
garantire una omogenea applicazione dei principi della direttiva
all'interno dell'Unione europea, ha ritenuto che le Bcr possano
costituire uno strumento di trasferimento di dati personali verso
paesi terzi astrattamente idoneo ad assicurare un livello adeguato di
protezione dei diritti degli interessati e, dunque, compatibile con
la disciplina contenuta nella direttiva 95/46/CE (cfr., in
particolare, art. 26, par. 2);
Visti gli specifici requisiti - individuati dal Gruppo ex art. 29
nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005, WP
153 del 24 giugno 2008, WP 204 del 22 maggio 2015 e WP 195 del 6
giugno 2012 - che tali regole di condotta devono soddisfare al fine
di consentire ai gruppi multinazionali d'impresa, che intendano
adottarle, di ottenere le necessarie autorizzazioni nazionali al
trasferimento transfrontaliero dei dati all'interno del gruppo;
Considerato, altresi', che il Gruppo ex art. 29 ha adottato un
ulteriore parere, WP 107 del 14 aprile 2005, con cui e' stata
definita la procedura di cooperazione che deve essere osservata ai
fini del rilascio delle autorizzazioni nazionali in materia di Bcr,
prevedendo, tra l'altro, che detta procedura debba essere coordinata
da un'Autorita' di protezione dei dati personali di uno degli Stati
membri dell'UE interessati dal trasferimento transfrontaliero dei
dati, Autorita' che agisce in qualita' di «lead Authority»
(«Autorita' capofila»);
Tenuto conto dell'adesione del Garante alla pratica di mutua
collaborazione (c.d. «Declaration on mutual recognition», ossia
«Dichiarazione di mutuo riconoscimento») che consente una piu' rapida
definizione della procedura di cooperazione sopra citata, prevedendo
che il parere positivo della lead Authority sul c.d. «final draft»
(«testo definitivo») delle Bcr possa costituire una base sufficiente
al rilascio delle relative autorizzazioni nazionali;
Visto il regolamento (UE) 2016/679 del Parlamento e del Consiglio
del 27 aprile 2016, recante il «Regolamento generale sulla protezione
dei dati» (di seguito «Regolamento UE 2016/679»), che si applica a
decorrere dal 25 maggio 2018 (art. 99);
Considerato, in particolare, che il regolamento UE 2016/679 dispone
che le autorizzazioni rilasciate dalle Autorita' di controllo in base
all'art. 26, paragrafo 2 della direttiva 95/46/CE restano valide fino
a quando non vengono modificate, sostituite o abrogate, se
necessario, dalle medesime (v. art. 46, paragrafo 5);
Visti i pareri del Gruppo ex art. 29, WP 256 e WP 257, adottati il
6 febbraio 2018, i quali stabiliscono che le Bcr approvate alla data
del 24 maggio 2018 all'esito delle relative procedure di cooperazione
e di mutuo riconoscimento, devono essere oggetto delle necessarie
modifiche volte a garantirne la conformita' con il Regolamento UE
2016/679 (v. WP 256, paragrafo 1.2 e WP 257, paragrafo 2);
Considerato altresi' che i gruppi di impresa interessati dalle
suddette procedure sono tenuti, in base ai sopra menzionati WP 256,
paragrafo 1.2, e WP 257, paragrafo 2, a notificare con cadenza
annuale le menzionate modifiche a tutti i membri del gruppo nonche'
alle autorita' di controllo nazionali per il tramite della lead
Authority (WP 153, paragrafo 5.1; WP 195, paragrafo 5.1) e che tale
comunicazione deve essere resa a far data dal 25 maggio 2018;
Rilevato inoltre che sono tuttora in corso di definizione diverse
procedure di cooperazione e di mutuo riconoscimento, cui il Garante
partecipa in qualita' di Autorita' di controllo interessata, e
talvolta in veste di co-reviewer;
Rilevato altresi' che rispetto ad alcune procedure di cooperazione
e di mutuo riconoscimento, gia' concluse a livello europeo, non e'
stata ad oggi rilasciata dal Garante l'autorizzazione nazionale ai
sensi dell'art. 44, comma 1, lettera a) del Codice;
Considerato che i trasferimenti di dati personali dal territorio
nazionale verso paesi non appartenenti all'Unione europea oggetto
delle Bcr di cui alle sopra menzionate procedure di cooperazione e di
mutuo riconoscimento possono essere consentiti soltanto in virtu' di
un'autorizzazione resa dall'Autorita' ai sensi dell'art. 44, comma 1,
lettera a) del Codice;
Ravvisata la necessita' di definire anche a livello nazionale il
procedimento volto all'adozione delle Bcr gia' approvate a livello
europeo alla data del 24 maggio 2018, al fine di consentire i
trasferimenti intragruppo di dati personali dal territorio nazionale
verso paesi non appartenenti all'Unione europea oggetto delle
predette Bcr;
Rilevato, comunque, che le operazioni di trattamento dei dati
personali, anche se poste in essere a seguito del rilascio della
presente autorizzazione, saranno lecite solo ove conformi alla
normativa nazionale vigente e alle sue successive modificazioni,
nonche' alle specifiche disposizioni in materia di protezione dei
dati personali, con particolare riferimento ai presupposti di
legittimita' delle attivita' di raccolta dei dati oggetto del
trasferimento e alla sussistenza dei presupposti di legittimita' per
la comunicazione dei dati medesimi;
Visto l'art. 11, comma 2 del Codice, il quale stabilisce che i dati
trattati in violazione della disciplina rilevante in materia di
trattamento di dati personali non possono essere utilizzati;
Considerato che il Garante, ai sensi dell'art. 154, comma 1,
lettera da a) a d) del Codice, ha il compito di controllare la
conformita' dei trattamenti di dati alla disciplina applicabile e
puo', anche d'ufficio, adottare i provvedimenti previsti dal Codice
medesimo;
Ritenuta la necessita' di assicurare ulteriore pubblicita' al
presente provvedimento disponendone la pubblicazione nella Gazzetta
Ufficiale della Repubblica italiana;
Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;
Tutto cio' premesso, il Garante:
a) ai sensi dell'art. 44, comma 1, lettera a) del Codice,
autorizza i trasferimenti intragruppo di dati personali dal
territorio dello Stato verso paesi non appartenenti all'Unione
europea, oggetto delle Bcr approvate entro il 24 maggio 2018
nell'ambito delle procedure di cooperazione e di mutuo riconoscimento
sopra menzionate, secondo le modalita' fissate nelle medesime Bcr e
per il perseguimento delle sole finalita' ivi dichiarate;
b) ai sensi dell'art. 154, comma 1, lettera h), rappresenta che
devono essere adottate le misure necessarie volte a rendere le Bcr di
cui alla lettera a) del presente dispositivo, conformi al regolamento
UE 2016/679 e che le modifiche apportate a tal fine devono essere
notificate, entro il 25 maggio 2019, a tutti i membri del gruppo e
alle Autorita' di controllo nazionali, per il tramite della lead
Authority;
c) ai sensi dell'art. 154, comma 1, lettere da a) a d) del
Codice, si riserva di svolgere in qualsiasi momento i necessari
controlli sulla liceita' e correttezza del trasferimento dei dati e,
comunque, su ogni operazione di trattamento ad essi inerente, nonche'
di adottare, se necessario, i provvedimenti previsti dal Codice;
d) dispone la trasmissione del presente provvedimento all'Ufficio
pubblicazione leggi e decreti del Ministero della giustizia per la
sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 16 maggio 2018
Il Presidente: Soro
Il relatore: Soro
Il segretario generale: Busia