[doc. web n. 5511267]

Autorizzazione al trasferimento di dati nell´ambito del gruppo GSK secondo le modalità fissate nelle Bcr - 8 settembre 2016

Registro dei provvedimenti
n. 349 dell´8 settembre 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l´art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all´Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

VISTO l´art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l´esercizio dei diritti connessi;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");

VISTO, in particolare, l´art. 44, comma 1, lett. a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un paese non appartenente all´Unione europea è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell´interessato, individuate dall´Autorità anche in relazione a regole di condotta esistenti nell´ambito di società appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia "Norme vincolanti di impresa", di seguito "Bcr");

VISTO che la citata disposizione garantisce all´interessato la possibilità di far valere i propri diritti nel territorio dello Stato, secondo le regole fissate dal Codice, anche in caso di mancata osservanza delle garanzie individuate nelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall´art. 29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all´interno dell´Unione europea,  ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTI gli specifici requisiti − individuati dal Gruppo ex art. 29  nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24 giugno 2008 − che tali regole di condotta devono soddisfare al fine di consentire ai gruppi multinazionali d´impresa, che intendano adottarle, di ottenere le necessarie autorizzazioni nazionali al trasferimento transfrontaliero dei dati all´interno del gruppo;

CONSIDERATO, altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14 aprile 2005, con cui è stata definita la procedura di cooperazione che deve essere osservata ai fini del rilascio delle autorizzazioni nazionali in materia di Bcr, prevedendo, tra l´altro, che detta procedura debba essere coordinata da un´Autorità di protezione dei dati personali di uno degli Stati membri dell´UE interessati dal trasferimento transfrontaliero dei dati, Autorità che agisce in qualità di "lead Authority" ("Autorità capofila");

TENUTO CONTO dell´adesione del Garante alla pratica di mutua collaborazione (c.d. "Declaration on mutual recognition", ossia "Dichiarazione di mutuo riconoscimento") che consente una più rapida definizione della procedura di cooperazione sopra citata, prevedendo che il parere positivo della lead Authority sul c.d. "final draft" ("testo definitivo") delle Bcr possa costituire una base sufficiente al rilascio delle relative autorizzazioni nazionali;

VISTA la richiesta, contenuta nell´Application form, di cui al WP 133, presentata da GlaxoSmithKline plc (con sede nel Regno Unito di Gran Bretagna e Irlanda del Nord) – società capogruppo del gruppo GlaxoSmithKline (di seguito "gruppo GSK") - operante nel settore farmaceutico, dinanzi all´Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner´s Office, di seguito "ICO"), che è stata individuata quale lead Authority della relativa procedura;

RILEVATO che tale richiesta, pervenuta al Garante in data 8 dicembre 2011, è stata presentata da GlaxoSmithKline plc in nome e per conto di tutte le società controllate, direttamente o indirettamente, dalla medesima, ed è volta a ottenere l´autorizzazione al trasferimento intra-gruppo verso paesi terzi mediante l´adozione delle Norme vincolanti di impresa, c.d. "Bcr GSK", dei dati personali relativi al personale dipendente per finalità amministrativo-contabili e ai "ricercatori esterni" e "soggetti di ricerca" per lo svolgimento di "attività di ricerca quali studi clinici interventistici e non interventistici" (v. application form - WP 133, Parte 1, par. 2 e Parte 2, par. 4);

PRESO ATTO che le Bcr GSK consistono in un contratto infragruppo, "Accordo infragruppo concernente le norme vincolanti d´impresa" (di seguito "Intra-group Agreement"), sottoscritto da GlaxoSmithKline plc e dalle altre entità del gruppo GSK definite "Affiliate vincolate", contenente: l´Allegato 1 – "Norme vincolanti d´impresa" (di cui sono parte integrante: la "Politica pubblica sulla tutela delle informazioni non anonime" – "Sintesi delle Norme vincolanti d´impresa"; "L´informativa globale sulla privacy" – "POL-GSK-010"; la "Privacy sulle informazioni non anonime utilizzate nelle attività di risorse umane", di seguito "Standard sulla Privacy di HR"; la "Privacy sulle informazioni non anonime utilizzate in Attività di Ricerca e Sviluppo Globale", di seguito "Standard sulla Privacy di Ricerca e Sviluppo"); l´Allegato 2 – "Modulo dell´Atto di Adesione"; l´Allegato 3 - "Modulo della lettera di dimissioni"; l´Allegato 4 – "Modulo della notifica di Espulsione"; l´Allegato 5 – "Lista delle Affiliate vincolate";

CONSIDERATO che, con l´"Intra-group Agreement", GlaxoSmithKline plc e le "Affiliate vincolate" si impegnano al rispetto delle Norme vincolanti d´impresa, ivi comprese la clausola del terzo beneficiario e la clausola di responsabilità  (v. "Intra-Group Agreement", artt. 2, 4 e 5);

PRESO ATTO che GlaxoSmithKline plc e le "Affiliate vincolate" si sono, inoltre, impegnate a pubblicare le Bcr GSK sui propri siti internet e sulla intranet aziendale (cfr. "Intra-Group Agreement", art. 4.2; "Sintesi delle Norme vincolanti d´impresa", p. 14);

RILEVATO che l´ICO, in data 2 aprile 2013 , all´esito della procedura concernente le Bcr GSK, attivata secondo le forme del mutuo riconoscimento, ha inoltrato alle Autorità di protezione dei dati personali interessate il relativo final draft, attestandone la conformità ai requisiti individuati dai documenti del Gruppo ex art. 29 sopra citati, e ha rilasciato la relativa autorizzazione il 10 giugno 2013;

CONSIDERATO che il Garante, in data 24 aprile 2013, ha rappresentato all´ICO che, ai fini del rilascio della relativa autorizzazione nazionale, "saranno valutati i profili di conformità del testo Bcr con la normativa italiana" (cfr. nota del 24 aprile 2013);

CONSIDERATO, altresì, che all´esito di tale valutazione effettuata dal Garante a seguito della presentazione, ai sensi dell´art. 44, comma 1, lett. a) del Codice, dell´istanza del 26 febbraio 2014, da parte delle società del gruppo GSK denominate GlaxoSmithKline S.p.A., GlaxoSmithKline Consumer Healthcare S.p.A. e GlaxoSmithKline Manufactoring S.p.A. volta ad ottenere il rilascio dell´autorizzazione nazionale ai trasferimenti di dati personali  infragruppo verso paesi terzi, mediante le Bcr GSK, l´Autorità ha reso la suddetta autorizzazione in data 13 maggio 2015 (doc. web n. 4167370);

VISTA l´ulteriore istanza del 18 aprile 2016 avanzata, ai sensi dell´art. 44, comma 1, lett. a) del Codice da Glaxo SmithKline Vaccines S.r.l. (con sede in Siena) e GSK Vaccines Institute for Global Health S.r.l. (con sede in Siena) volta anch´essa a ottenere il rilascio dell´autorizzazione nazionale ai trasferimenti infragruppo verso paesi terzi, mediante le Bcr GSK, con riferimento ai dati personali relativi a: il personale dipendente (ivi compresi gli ex dipendenti, i coniugi e le persone a carico), i "lavoratori aggiuntivi" (inclusi consulenti professionali, personale temporaneo, venditori e appaltatori di servizi, coniugi e personale a carico) per finalità amministrativo-contabili relative alla gestione delle risorse umane (v. "Standard sulla Privacy di HR", par. 5.1); i "ricercatori esterni" (ovvero medici o altri operatori esterni che partecipano o potrebbero partecipare ad attività di ricerca e sviluppo) e i "soggetti di ricerca" (ovvero candidati o partecipanti ad attività di ricerca o soggetti che assumono prodotti o ricevono trattamenti GSK nell´ambito delle attività di farmacovigilanza) per le finalità connesse allo svolgimento di attività di ricerca avviate, gestite, condotte o finanziate da GSK, nonché per le connesse attività di compliance (in particolare, monitoraggio delle sperimentazioni cliniche e segnalazione degli eventi avversi; v. "Standard sulla Privacy di Ricerca e Sviluppo"par. 5);

VISTO l´atto di adesione ("Deed of Adherence") con cui Glaxo SmithKline Vaccines S.r.l. e GSK Vaccines Institute for Global Health S.r.l. hanno aderito, in data 3 marzo 2016, all´Intra-group Agreement vincolandosi in tal modo al rispetto delle Bcr GSK;

PRESO ATTO che, anche in base a quanto dichiarato dalle società con l´ulteriore nota del 14 luglio 2016, "si intendono estese anche all´istanza di autorizzazione e relativo procedimento presentata (...) in data 18 aprile 2016" le informazioni e i chiarimenti resi a questa Autorità dalle altre società del gruppo GSK, nell´ambito del procedimento sopra richiamato, con le note del 9 giugno, 12 settembre e 28 novembre 2014 e 20 febbraio 2015, nonché le valutazioni rese in merito alle Bcr GSK dal Garante in tale sede (cfr. al riguardo il provvedimento citato);

RILEVATO comunque che le operazioni di trattamento dei dati personali, anche se poste in essere a seguito del rilascio della presente autorizzazione, saranno lecite solo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni, nonché alle specifiche disposizioni in materia di protezione dei dati personali, con particolare riferimento ai presupposti di legittimità delle attività di raccolta dei dati oggetto del trasferimento e alla sussistenza dei presupposti di legittimità per la comunicazione dei dati medesimi;

VISTO l´art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell´art. 154, comma 1, lett. da a) a d) del Codice, ha il compito di controllare la conformità dei trattamenti di dati alla disciplina applicabile e può, anche d´ufficio, adottare i provvedimenti previsti dal Codice medesimo;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 44, comma 1, lett. a) del Codice, autorizza Glaxo SmithKline Vaccines S.r.l. e GSK Vaccines Institute for Global Health S.r.l. a trasferire, nell´ambito del gruppo GSK, i dati personali relativi al personale dipendente (ivi compresi gli ex dipendenti, i coniugi e le persone a carico), i "lavoratori aggiuntivi" (inclusi consulenti professionali, personale temporaneo, venditori e appaltatori di servizi, coniugi e personale a carico), i "ricercatori esterni" e i "soggetti di ricerca" dal territorio dello Stato verso i soggetti facenti parte del gruppo GSK aventi la loro sede in paesi non appartenenti all´Unione europea, secondo le modalità fissate nelle Bcr GSK e per il perseguimento delle sole finalità ivi dichiarate;

b) ai sensi dell´art. 154, comma 1, lettere da a) a d) del Codice, si riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 8 settembre 2016

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia