| Garante per la protezione     dei dati personali Trasferimento verso gli USA di datipersonali relativi ai dipendenti: autorizzazione ad Alico Italia S.p.A AUTORIZZAZIONE DEL 11 OTTOBRE 2012 Registro dei provvedimenti
IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Indata odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssaAugusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici edella prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia,segretario generale; VISTOl'art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo edel Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possonoessere trasferiti in un Paese non appartenente all'Unione europea qualora ilpaese terzo garantisca un livello di protezione adeguato; VISTOl'art. 26, paragrafo 2 della predetta direttiva il quale individua alcunederoghe al menzionato principio, prevedendo che uno Stato membro possaautorizzare un trasferimento o una categoria di trasferimenti di dati personaliverso un Paese terzo che non garantisca un livello di protezione adeguato,qualora il titolare del trattamento offra garanzie sufficienti per la tuteladella vita privata e dei diritti e delle libertà fondamentali delle persone,nonché per l'esercizio dei diritti connessi e che tali garanzie possonorisultare da clausole contrattuali appropriate; VISTOil decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezionedei dati personali – "Codice"; VISTO,in particolare, l'art. 44, comma 1, lett. a) del Codice, il quale stabilisceche il trasferimento di dati personali diretto verso un Paese non appartenenteall'Unione europea è consentito quando è autorizzato dal Garante sulla base diadeguate garanzie per i diritti dell'interessato, individuate dall'Autoritàanche in relazione a garanzie prestate con un contratto; VISTAla richiesta del 28 ottobre 2011, presentata, ai sensi del succitato art. 44,da "Alico Italia S.p.A.", società con sede in Italia, operante nelsettore dell'offerta di prodotti assicurativi di risparmio e di c.d."Employee Benefits", volta ad ottenere un'autorizzazione altrasferimento verso gli Stati Uniti, per il tramite di un "Contratto ditrasferimento" (allegato all'istanza di autorizzazione suddetta) dei datipersonali relativi al personale dipendente, (categoria comprendente ilpersonale in servizio e quello non più in servizio; i candidati all'assunzione;gli agenti dipendenti; i consulenti; i lavoratori temporanei; gli appaltatori ei rappresentanti; i soggetti individuati dai dipendenti quali beneficiari; iconviventi, i membri familiari e i contatti di emergenza; i pensionati; idirettori e i funzionari) per finalità di gestione della forza lavoro,comunicazioni ed emergenze, operazioni commerciali, compliance, monitoraggio epianificazione integrata; PRESOATTO che il c.d. "Contratto di trasferimento" consiste in undocumento, sottoscritto da Alico Italia S.p.A., in qualità di titolare chetrasferisce i dati personali –c.d. "esportatore"–, e daAmerican Life Insurance Company Inc. (con sede nel Delaware – USA), daMetLife Inc. e da MetLife Group Inc. (entrambe con sede in New York –USA), in qualità di titolari che ricevono i dati personali trasferiti –c.d."importatori"–, volto a garantire un'adeguata tutela deidiritti dei soggetti interessati i cui dati sono oggetto di trasferimento versogli Stati Uniti, attraverso l'imposizione di specifci obblighi a carico siadell'esportatore (in particolare, l'obbligo di trattare i dati nel rispettodella legislazione italiana, di rispondere alle richieste degli interessati, difornire loro una copia del contratto di trasferimento – v. Contratto ditrasferimento, clausola n. I), sia a carico degli importatori (in particolare,l'obbligo di adottare le misure tecniche e organizzative necessarie perproteggere i dati personali, di trattare i dati suddetti esclusivamente per lefinalità indicate nel contratto, di collaborare con l'esportatore, gliinteressati e l'Autorità competente per rispondere alle richieste presentatedegli stessi interessati, di trattare i dati in conformità con la legislazioneitaliana – v. Contratto di trasferimento, clausola n. II); CONSIDERATOche il Contratto di trasferimento prevede, inoltre, che tutte le parti(esportatore e importatori) siano responsabili nei confronti dei soggettiinteressati per i danni causati dalla violazione dei diritti previsti nelsuccitato contratto, che debbano conoscere a ciascun interessato il diritto difar valere, in qualità di terzo beneficiario, le clausole contrattuali n. I,lett. b), d) ed e); n. II, lett. a), c), d), e), h), i); n. III, lett. a), n.V; n. VI, lett. d) e n. VII per le violazioni dei rispettivi obblighi e chedebbano accettare, a tal fine, la giurisdizione dello Stato italiano (c.d."clausola del terzo beneficiario" – v. Contratto ditrasferimento, clausola n. III); VISTEle richieste di informazioni avanzate dal Garante rispettivamente il 27dicembre 2011 e il 20 aprile 2012, con cui questa Autorità ha chiesto alcunichiarimenti in ordine: CONSIDERATOche la società, nel rendere riscontro al Garante in ordine ai punti sopramenzionati, con le note del 29 febbraio 2012 e del 18 maggio 2012 haespressamente dichiarato: PRESOATTO, inoltre, che, relativamente all'obbligo dell'esportatore di sottoporre lapropria richiesta di verifica degli impianti di elaborazione dati, dei files edella documentazione dell'importatore alla previa autorizzazione o approvazionedell'Autorità di regolamentazione o di vigilanza del Paese di stabilimentodell'importatore suddetto (v. Contratto di trasferimento, clausola n. II, lett.g), la società Alico Italia S.p.A. ha confermato che esso è limitato ai solicasi in cui la previa autorizzazione o approvazione di cui sopra siaespressamente prevista dalla normativa applicabile (v. nota della società del18 maggio 2012, punto d). PRESOATTO altresì che la società ha dichiarato di raccogliere il consenso degliinteressati in relazione alle operazioni di trattamento dei dati che liriguardano, ivi comprese quelle di trasferimento, poste sin d'ora in essere eche, come risulta anche dalla documentazione in atti, "MetLife Inc., alfine di garantire una maggiore protezione dei dati dei propri dipendenti oggettodi trasferimento verso gli USA, in data 27 giugno u.s. ha aderito [con scadenzaprevista il 27 giugno 2013] su base volontaria al Safe Harbor Agreement"(v. nota della società del 25 luglio 2012); RILEVATO,infine, che le operazioni di trattamento dei dati personali, anche se poste inessere a seguito del rilascio della presente autorizzazione, saranno lecitesolo ove conformi alla normativa nazionale vigente e alle sue successivemodificazioni, nonché alle specifiche disposizioni in materia di protezione deidati personali, con particolare riferimento ai presupposti di legittimità delleattività di raccolta dei dati oggetto del trasferimento e alla sussistenza deipresupposti di legittimità per la comunicazione dei dati medesimi; VISTOl'art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati inviolazione della disciplina rilevante in materia di trattamento di datipersonali non possono essere utilizzati; CONSIDERATOche il Garante, ai sensi dell'art. 154, comma 1, lett. a) e d) del Codice, hail compito di controllare la conformità dei trattamenti di dati alla disciplinaapplicabile e può, anche d'ufficio, vietare o disporre il blocco, nonchéadottare gli ulteriori provvedimenti previsti dalla medesima; VISTIgli atti d'ufficio; VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatoreil dott. Antonello Soro; TUTTO CIO' PREMESSO, IL GARANTE: Roma, 11 ottobre 2012
|