Trasferimento verso gli USA di datipersonali relativi ai dipendenti: autorizzazione ad Alico Italia S.p.A

AUTORIZZAZIONE DEL 11 OTTOBRE 2012

Registro dei provvedimenti
n. 282dell'11 ottobre 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Indata odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssaAugusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici edella prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia,segretario generale;

VISTOl'art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo edel Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possonoessere trasferiti in un Paese non appartenente all'Unione europea qualora ilpaese terzo garantisca un livello di protezione adeguato;

VISTOl'art. 26, paragrafo 2 della predetta direttiva il quale individua alcunederoghe al menzionato principio, prevedendo che uno Stato membro possaautorizzare un trasferimento o una categoria di trasferimenti di dati personaliverso un Paese terzo che non garantisca un livello di protezione adeguato,qualora il titolare del trattamento offra garanzie sufficienti per la tuteladella vita privata e dei diritti e delle libertà fondamentali delle persone,nonché per l'esercizio dei diritti connessi e che tali garanzie possonorisultare da clausole contrattuali appropriate;

VISTOil decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezionedei dati personali – "Codice";

VISTO,in particolare, l'art. 44, comma 1, lett. a) del Codice, il quale stabilisceche il trasferimento di dati personali diretto verso un Paese non appartenenteall'Unione europea è consentito quando è autorizzato dal Garante sulla base diadeguate garanzie per i diritti dell'interessato, individuate dall'Autoritàanche in relazione a garanzie prestate con un contratto;

VISTAla richiesta del 28 ottobre 2011, presentata, ai sensi del succitato art. 44,da "Alico Italia S.p.A.", società con sede in Italia, operante nelsettore dell'offerta di prodotti assicurativi di risparmio e di c.d."Employee Benefits", volta ad ottenere un'autorizzazione altrasferimento verso gli Stati Uniti, per il tramite di un "Contratto ditrasferimento" (allegato all'istanza di autorizzazione suddetta) dei datipersonali relativi al personale dipendente, (categoria comprendente ilpersonale in servizio e quello non più in servizio; i candidati all'assunzione;gli agenti dipendenti; i consulenti; i lavoratori temporanei; gli appaltatori ei rappresentanti; i soggetti individuati dai dipendenti quali beneficiari; iconviventi, i membri familiari e i contatti di emergenza; i pensionati; idirettori e i funzionari) per finalità di gestione della forza lavoro,comunicazioni ed emergenze, operazioni commerciali, compliance, monitoraggio epianificazione integrata;

PRESOATTO che il c.d. "Contratto di trasferimento" consiste in undocumento, sottoscritto da Alico Italia S.p.A., in qualità di titolare chetrasferisce i dati personali –c.d. "esportatore"–, e daAmerican Life Insurance Company Inc. (con sede nel Delaware – USA), daMetLife Inc. e da MetLife Group Inc. (entrambe con sede in New York –USA), in qualità di titolari che ricevono i dati personali trasferiti –c.d."importatori"–, volto a garantire un'adeguata tutela deidiritti dei soggetti interessati i cui dati sono oggetto di trasferimento versogli Stati Uniti, attraverso l'imposizione di specifci obblighi a carico siadell'esportatore (in particolare, l'obbligo di trattare i dati nel rispettodella legislazione italiana, di rispondere alle richieste degli interessati, difornire loro una copia del contratto di trasferimento – v. Contratto ditrasferimento, clausola n. I), sia a carico degli importatori (in particolare,l'obbligo di adottare le misure tecniche e organizzative necessarie perproteggere i dati personali, di trattare i dati suddetti esclusivamente per lefinalità indicate nel contratto, di collaborare con l'esportatore, gliinteressati e l'Autorità competente per rispondere alle richieste presentatedegli stessi interessati, di trattare i dati in conformità con la legislazioneitaliana – v. Contratto di trasferimento, clausola n. II);

CONSIDERATOche il Contratto di trasferimento prevede, inoltre, che tutte le parti(esportatore e importatori) siano responsabili nei confronti dei soggettiinteressati per i danni causati dalla violazione dei diritti previsti nelsuccitato contratto, che debbano conoscere a ciascun interessato il diritto difar valere, in qualità di terzo beneficiario, le clausole contrattuali n. I,lett. b), d) ed e); n. II, lett. a), c), d), e), h), i); n. III, lett. a), n.V; n. VI, lett. d) e n. VII per le violazioni dei rispettivi obblighi e chedebbano accettare, a tal fine, la giurisdizione dello Stato italiano (c.d."clausola del terzo beneficiario" – v. Contratto ditrasferimento, clausola n. III);

VISTEle richieste di informazioni avanzate dal Garante rispettivamente il 27dicembre 2011 e il 20 aprile 2012, con cui questa Autorità ha chiesto alcunichiarimenti in ordine:

- agli obblighi dell'esportatore dei dati al fine di meglio specificare chi debbaessere individuato quale soggetto "terzo autorizzato ad accedere ai datipersonali" al di fuori di eventuali responsabili del trattamento designatidal titolare (v. Contratto di trasferimento, clausola n. II, lett. b);

- allalegge applicabile al Contratto di trasferimento e al trattamento dei datipersonali posto in essere dall'importatore (v. Contratto di trasferimento,clausola n. II, lett. h) e clausola n. IV);

- allecaratteristiche del trasferimento con specifico riferimento ai"trasferimenti aggiuntivi" e ai "trasferimenti multipli",citati all'interno del Contratto di trasferimento dati (v. Contratto ditrasferimento, clausola n. VIII, secondo capoverso);

- allecategorie dei dati personali trasferiti (v. Contratto di trasferimento,Allegato B, par. 3, lett. f);

- ai destinatari di eventuali comunicazioni dei dati trasferiti, al fine dispecificare quali siano le "entità ai quali è fondatamente necessario oauspicabile che l'importatore abbia comunicato i dati per scopicommerciali" (v. Contratto di trasferimento, Allegato B, par. 4);

CONSIDERATOche la società, nel rendere riscontro al Garante in ordine ai punti sopramenzionati, con le note del 29 febbraio 2012 e del 18 maggio 2012 haespressamente dichiarato:

- conriferimento agli obblighi dell'esportatore, che per "soggetti terzi"debba essere intese una serie di persone fisiche e giuridiche (quali fornitori,revisori, consulenti e Autorità pubbliche) che, nel rispetto della normativaitaliana di protezione dei dati personali, assumeranno il ruolo, a secondadell'attività effettivamente svolta e dei rapporti intercorrenti con la societàAlico Italia S.p.A., il ruolo di responsabile o di autonomo titolare deltrattamento (v. nota della società del 18 maggio 2012, punto b);

- inordine alla legge applicabile al contratto di trasferimento e al trattamentodei dati personali posto in essere dall'importatore, che essa "è quelladel Paese in cui è stabilito l'esportatore, cioè quella italiana" (v. notadella società del 29 febbraio 2012, punto b);

- inmerito ai "trasferimenti aggiuntivi e multipli", che taledisposizione è stata introdotta al fine di consentire alla società capogruppoMet Life Inc. di disciplinare eventuali trasferimenti di dati verso Paesi terzimediante la predisposizione di un documento ad hoc (da allegare al Contratto ditrasferimento) che consenta "una gestione efficace ed efficiente di tuttele informazioni concernenti i dipendenti del gruppo", a prescindere dalluogo in cui queste siano materialmente conservate (v. nota della società del29 febbraio 2012, punto c);

-relativamente alle categorie dei dati trasferiti, che dalla categoria dei"dati del candidato" (v. Contratto di trasferimento, allegato B par.3, lett. f), devono essere escluse, in relazione ai trasferimenti oggetto dellapresente autorizzazione, le informazioni concernenti i "dettagli di ognigenere" e quelle sui "dati relativi alla salute (farmaciinclusi)" del candidato (v. nota della società del 29 marzo 2012, punto d)e nota della società del 18 maggio 2012, punto a);

-relativamente alle "entità ai quali è fondatamente necessario oauspicabile che l'importatore abbia comunicato i dati per scopicommerciali", che tali soggetti devono essere individuati nei fornitori,nei revisori contabili, nei consulenti e nelle Autorità pubbliche e chel'accesso ai dati da parte di questi ultimi avverrà nel rispetto dellanormativa italiana in materia di protezione dei dati personali (v. nota dellasocietà del 29 febbraio 2012, punto d);

PRESOATTO, inoltre, che, relativamente all'obbligo dell'esportatore di sottoporre lapropria richiesta di verifica degli impianti di elaborazione dati, dei files edella documentazione dell'importatore alla previa autorizzazione o approvazionedell'Autorità di regolamentazione o di vigilanza del Paese di stabilimentodell'importatore suddetto (v. Contratto di trasferimento, clausola n. II, lett.g), la società Alico Italia S.p.A. ha confermato che esso è limitato ai solicasi in cui la previa autorizzazione o approvazione di cui sopra siaespressamente prevista dalla normativa applicabile (v. nota della società del18 maggio 2012, punto d).

PRESOATTO altresì che la società ha dichiarato di raccogliere il consenso degliinteressati in relazione alle operazioni di trattamento dei dati che liriguardano, ivi comprese quelle di trasferimento, poste sin d'ora in essere eche, come risulta anche dalla documentazione in atti, "MetLife Inc., alfine di garantire una maggiore protezione dei dati dei propri dipendenti oggettodi trasferimento verso gli USA, in data 27 giugno u.s. ha aderito [con scadenzaprevista il 27 giugno 2013] su base volontaria al Safe Harbor Agreement"(v. nota della società del 25 luglio 2012);

RILEVATO,infine, che le operazioni di trattamento dei dati personali, anche se poste inessere a seguito del rilascio della presente autorizzazione, saranno lecitesolo ove conformi alla normativa nazionale vigente e alle sue successivemodificazioni, nonché alle specifiche disposizioni in materia di protezione deidati personali, con particolare riferimento ai presupposti di legittimità delleattività di raccolta dei dati oggetto del trasferimento e alla sussistenza deipresupposti di legittimità per la comunicazione dei dati medesimi;

VISTOl'art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati inviolazione della disciplina rilevante in materia di trattamento di datipersonali non possono essere utilizzati;

CONSIDERATOche il Garante, ai sensi dell'art. 154, comma 1, lett. a) e d) del Codice, hail compito di controllare la conformità dei trattamenti di dati alla disciplinaapplicabile e può, anche d'ufficio, vietare o disporre il blocco, nonchéadottare gli ulteriori provvedimenti previsti dalla medesima;

VISTIgli atti d'ufficio;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatoreil dott. Antonello Soro;

TUTTO CIO' PREMESSO, IL GARANTE:

a) aisensi dell'art. 44, comma 1, lett. a) del Codice, autorizza "Alico ItaliaS.p.A." a trasferire verso gli Stati Uniti i dati personali relativi alpersonale dipendente per finalità di gestione della forza lavoro, comunicazionied emergenze, operazioni commerciali, compliance, monitoraggio e pianificazioneintegrata, per il tramite del c.d. "Contratto di trasferimento",sottoscritto dalla suddetta società, in qualità di esportatore, e da AmericanLife Insurance Company Inc., Met Life Inc. e Met Life Group Inc., in qualità diimportatori, secondo le modalità ivi fissate e per il perseguimento delle solefinalità ivi dichiarate;

b) aisensi dell'art. 154, comma 1, lettere a) e d) del Codice, si riserva disvolgere in qualsiasi momento i necessari controlli sulla liceità e correttezzadel trasferimento dei dati e, comunque, su ogni operazione di trattamento adessi inerente, nonché di adottare, se necessario, eventuali provvedimenti anchedi blocco o di divieto.

Roma, 11 ottobre 2012

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia