[doc. web n. 5242975]

Autorizzazione a trasferire i dati personali relativi al personale dipendente, ai clienti, ai fornitori, agli appaltatori e subappaltatori, e agli azionisti, nell´ambito del Gruppo BP, secondo le modalità fissate nelle Bcr - 9 giugno 2016

Registro dei provvedimenti
n. 258 del 9 giugno 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea, ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

CONSIDERATO che il succitato parere prevede, inoltre, che la lead Authority, al termine della procedura di cooperazione, trasmetta a tutte le altre autorità coinvolte il c.d. "final draft" ("testo definitivo") delle Bcr, al fine di consentire alle medesime di verificare che esso soddisfi i requisiti necessari per il rilascio della relativa autorizzazione nazionale;

VISTA la richiesta (c.d. "Application form") presentata da BP p.l.c. (con sede nel Regno Unito di Gran Bretagna e Irlanda del Nord)        –società capogruppo del Gruppo BP operante nel settore dell´energia–, dinanzi all´Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner´s Office, di seguito "ICO"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta è stata presentata da BP p.l.c., quale società capogruppo del Gruppo BP in nome e per conto di tutte le società controllate, direttamente o indirettamente, dalla medesima (c.d. "Enti BP"), ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa c.d. "Bcr BP", dei dati personali relativi al personale dipendente, ex dipendenti, candidati, pensionati/beneficiari, collaboratori, subappaltatori, clienti, fornitori  e azionisti per il perseguimento delle finalità indicate nell´Application Form (Parte 2, Sezione VII);

PRESO ATTO che le Bcr BP consistono in specifiche regole di condotta contenute nella c.d. "Deed pool" ed in particolare nelle "Data Privacy Rules" (di seguito "Bcr BP") che costituiscono una delle appendici alla "Deed pool" (ossia l´Appendice 2, Parte A alla "Deed pool"), e nei seguenti ulteriori documenti (di cui all´ Appendice 2, Parte B alla "Deed pool") denominati: "Procedura sull´accesso ai dati"; "Programma di verifica sulla applicazione delle Bcr"; "Meccanismo di cooperazione tra Autorità Garanti";

CONSIDERATO che nelle Bcr BP è stabilito che tutte le società del Gruppo BP sono vincolate all´osservanza delle "Data Privacy Rules" adottate dalla capogruppo BP p.l.c. (v. Sommario esecutivo delle "Bcr BP");

CONSIDERATO altresì che, nella citata dichiarazione, c.d. "Deed pool" (che oltre alle sopra citate appendici ricomprende anche l´Appendice 1, Parte A "Enti Esportatori" e Parte B "Enti importatori" e l´Appendice 3 "Diritti a favore delle parti terze"), è previsto l´impegno della capogruppo BP p.l.c. e di tutte gli "Enti BP" ad agire in conformità alle Bcr BP e a garantire l´osservanza delle clausole di responsabilità e del terzo beneficiario con riferimento ai trasferimenti intra-gruppo verso paesi terzi dei dati personali di cui alla presente autorizzazione;

RILEVATO che, in virtù dell´avvenuta sottoscrizione delle suddette dichiarazioni, ciascun "Ente BP", compresa la capogruppo BP p.l.c., si sono reciprocamente obbligate in via contrattuale ad agire in conformità alle Bcr BP e ad osservare le clausole in esse contenute (v. Parte generale e clausola 1 della "Deed pool" e Parte 2, sezione IV, Application Form);

VISTO, altresì, che gli "Enti BP" sono tenuti, nell´ambito di un più ampio programma di controlli, ad effettuare opportune verifiche in ordine al rispetto delle Bcr BP (v. clausola 4 della "Deed pool", Parte I delle Bcr BP; Appendice 2, Parte B della "Deed pool" denominata "Programma di verifica sulla applicazione delle Bcr" e Parte 2, sezione V, Application form) e che in caso di mancata osservanza delle Bcr sono previste sanzioni disciplinari nei confronti del personale dipendente, ciò anche in virtù dell´inclusione delle stesse nel c.d. "Codice di Condotta BP" (v. clausole 2 e 5 della "Deed pool",;Parte I delle Bcr BP e Parte 2, sezione IV, Application form);

PRESO ATTO inoltre che le Bcr BP, comprensive al loro interno della clausola del terzo beneficiario (v. Appendice 3 della "Deed pool" e Parte I delle Bcr BP), saranno pubblicate sul sito Internet del Gruppo BP, così come previsto nella Norma 9 contenuta nella Parte II delle Bcr BP;

PRESO ATTO che l´ICO, in data 17 settembre 2009, all´esito della procedura di cooperazione concernente le Bcr BP, attivata secondo le forme previste dal WP 107, ha inoltrato alle Autorità di protezione dei dati personali coinvolte nella procedura il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati;

VISTA l´istanza del 20 marzo 2015  presentata, ai sensi dell´art. 44, comma 1, lett. a) del Codice, da BP Italia S.p.A. (con sede in Milano), volta ad ottenere il rilascio dell´autorizzazione nazionale al trasferimento infragruppo dei dati personali relativi "al personale dipendente ed ex-dipendenti, ai candidati, ai dipendenti andati in pensione, ai collaboratori interni e esterni, ai subappaltatori, ai clienti, ai fornitori, e agli azionisti" posto in essere per il perseguimento delle finalità "indicate […] nell´Application Form (Parte II, sezione VII)", come specificate in dettaglio nella Tabella allegata alla presente autorizzazione e costituente parte integrante della stessa – "Allegato 1";

VISTE le richieste di informazioni avanzate dal Garante in data 13 maggio, 20 luglio e 16 novembre 2015 e 4 febbraio 2016  nei confronti della menzionata società, volte ad ottenere specifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- l´ambito del trasferimento, con particolare riguardo alle categorie di interessati e alle finalità oggetto delle operazioni di trasferimento di cui alla presente autorizzazione (v. note del Garante del 13 maggio 2015 e del 20 luglio 2015, punto (a));

- il rispetto di alcuni principi in materia di protezione dei dati personali, con particolare riferimento a quelli concernenti: le "modalità del trattamento e requisiti dei dati" (art. 11); l´"informativa" (art. 13); il "diritto di accesso ai dati personali e altri diritti" (artt. 7–10), ciò anche con specifico riguardo ai termini (di regola 15 gg) previsti dalla normativa nazionale ai fini della presentazione del ricorso al Garante (artt. 145 e ss.); i "presupposti di legittimità del trattamento" (artt. 23 e 24); il "trattamento dei dati sensibili" (art. 26); le "misure di sicurezza" (artt. 31 e ss.) e i "trasferimenti di dati verso Paesi terzi" (artt. 43 e ss.) (v. nota del Garante del 20 luglio 2015, punto (b));

- l´efficacia vincolante delle Bcr BP (v. nota del Garante 16 novembre 2015, punto (a));

- il sistema di responsabilità prescelto dal Gruppo (v. note del Garante del 16 novembre 2015, punto (c) e del 4 febbraio 2016 punto (c));

- la conformità della clausola del terzo beneficiario rispetto a quanto previsto nei documenti WP 74 (punti 3.3.2 e 5.5.1), WP 108 (punti 5.12 ss.) e WP 155 (punto 9) del Gruppo ex art. 29 (v. note del Garante del 16 novembre 2015, punto (b) e del 4 febbraio 2016 punto (b));

CONSIDERATO che la società, nel rendere riscontro al Garante in ordine ai punti sopra menzionati, assumendo ogni responsabilità ai sensi dell´art. 168 del Codice, con note del 27 maggio,  1° ottobre, 11 dicembre 2015 e 1° marzo 2016 ha espressamente dichiarato che:

- con riferimento alle categorie dei soggetti interessati da tali trasferimenti, i dati oggetto della richiesta di autorizzazione si riferiscono a: il personale dipendente (che ricomprende oltre ai dipendenti, i candidati, gli ex dipendenti e altri collaboratori); i clienti, i fornitori, gli appaltatori e subappaltatori, nonché gli azionisti (v. note della società del 27 maggio 2015 e del 1° ottobre 2015 punto (1));

- in ordine alle finalità dei trasferimenti oggetto della richiesta di autorizzazione, queste sono specificamente individuate nella Tabella allegata alla nota del 1° marzo 2016 (costituente l´Allegato 1 alla presente autorizzazione) (v. Allegato "Elenco categorie interessati (aggiornato)" alla nota della società del 1° marzo 2016);

- il trattamento dei dati personali sarà effettuato in conformità ai principi in materia di protezione dei dati personali individuati nel Codice; ciò con particolare riferimento a quelli sopra richiamati (v. nota della società del 1° ottobre 2015 punto (2));

- in merito all´efficacia vincolante delle Bcr BP, la società capogruppo BP p.l.c e BP Italia S.p.A. hanno provveduto alla sottoscrizione della "Deed pool" e in virtù dell´avvenuta sottoscrizione di tale dichiarazione si sono obbligate ad agire in conformità alle Bcr e ad osservare le clausole in esse contenute (v. nota della società dell´11 dicembre 2015, punto (1), ove è tra l´altro rappresentato che la "Deed pool" è stata sottoscritta dalla società istante in data 25 febbraio 2010);

- in merito alla clausola di responsabilità, il Gruppo BP ha adottato un sistema che prevede che l´"Ente BP", che agisce in qualità di Esportatore dei dati, si assume le responsabilità di cui alle clausole 6-9 della "Deed pool" e, pertanto, come ivi stabilito, che l´interessato ha la facoltà di agire innanzi la giurisdizione dell´Esportatore di dati con sede nella UE da cui ha avuto origine il trasferimento (v. nota della società dell´11 dicembre 2015 punti (2) e (3) e del 1° marz0 2016, punto (2));

- le Bcr BP sono conformi a quanto stabilito nei documenti WP 74 (punti 3.3.2 e 5.5.1) e WP 108 (punti 5.12 ss.) del Gruppo ex art. 29 in ordine alla clausola del terzo beneficiario e in tale clausola devono intendersi richiamati "tutti gli specifici diritti indicati al punto 9 del WP 155" (v. note della società dell´11 dicembre 2015 punto (2) e del 1° marzo 2016, punto (1));

RILEVATO, comunque, che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza BP Italia S.p.A. a trasferire, nell´ambito del Gruppo BP, i dati personali relativi al personale dipendente, ai clienti, ai fornitori, agli appaltatori e subappaltatori, e agli azionisti, dal territorio dello Stato verso i soggetti facenti parte del Gruppo BP aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr BP e per il perseguimento delle sole finalità ivi dichiarate, così come specificatamente indicate nell´Allegato 1 alla presente autorizzazione;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 9 giugno 2016

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia