Trasferimento di dati personali all'estero. Autorizzazione a Accenture (UK) Ltd

Trasferimento di dati personaliall'estero. Autorizzazione a Accenture (UK) Ltd

AUTORIZZAZIONE DEL 27 GIUGNO 2013

Registro dei provvedimenti n. 313 del 27 giugno 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Indata odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssaAugusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici edella prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia,segretario generale;

VISTOl'art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo edel Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possonoessere trasferiti in un paese non appartenente all'Unione europea qualora ilpaese terzo garantisca un livello di protezione adeguato;

VISTOl'art. 26 della predetta direttiva il quale individua alcune deroghe almenzionato principio, prevedendo anche che uno Stato membro possa autorizzareun trasferimento o una categoria di trasferimenti di dati personali verso unpaese terzo che non garantisca un livello di protezione adeguato, qualora iltitolare del trattamento offra garanzie sufficienti per la tutela della vitaprivata e dei diritti e delle libertà fondamentali delle persone, nonché perl'esercizio dei diritti connessi;

VISTOil decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezionedei dati personali (di seguito "Codice");

VISTO,in particolare, l'art. 44, comma 1, lett. a), del Codice, il quale stabilisceche il trasferimento di dati personali diretto verso un paese non appartenenteall'Unione europea è consentito quando è autorizzato dal Garante sulla base diadeguate garanzie per i diritti dell'interessato, individuate dall'Autoritàanche in relazione a regole di condotta esistenti nell'ambito di societàappartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia"Norme vincolanti di impresa" di seguito "Bcr");

VISTOche la citata disposizione garantisce all'interessato la possibilità di farvalere i propri diritti nel territorio dello Stato, secondo le regole fissatedal Codice, anche in caso di mancata osservanza delle garanzie individuatenelle Bcr;

CONSIDERATOche il Gruppo di lavoro istituito dall'art. 29 della direttiva 95/46/CE (diseguito "Gruppo ex art. 29"), che ha tra i propri compiti quello difornire interpretazioni e pareri per garantire una omogenea applicazione deiprincipi della direttiva all'interno dell'Unione europea, ha ritenuto chele Bcr possano costituire uno strumento di trasferimento di dati personaliverso paesi terzi astrattamente idoneo ad assicurare un livello adeguato diprotezione dei diritti degli interessati e dunque compatibile con la disciplinacontenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTIgli specifici requisiti − individuati dal Gruppo ex art. 29 neidocumenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24giugno 2008 − che tali regole di condotta devono soddisfare al fine diconsentire ai gruppi multinazionali d'impresa, che intendano adottarle, diottenere le necessarie autorizzazioni nazionali al trasferimentotransfrontaliero dei dati all'interno del gruppo;

CONSIDERATOaltresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14aprile 2005, con cui è stata definita la procedura di cooperazione che deveessere osservata ai fini del rilascio delle autorizzazioni nazionali in materiadi Bcr, prevedendosi, tra l'altro, che essa debba essere coordinata daun'Autorità di protezione dei dati personali di uno degli Stati membri dell'UEinteressati dal trasferimento transfrontaliero dei dati, Autorità che agisce inqualità di "lead Authority" ("Autorità capofila");

CONSIDERATOche il succitato parere prevede, inoltre, che la lead Authority, al terminedella procedura di cooperazione, trasmetta a tutte le altre autorità coinvolteil c.d. "final draft" ("testo definitivo") delle Bcr, alfine di consentire alle medesime di verificare che esso soddisfi i requisitinecessari per il rilascio della relativa autorizzazione nazionale;

VISTAla richiesta, pervenuta al Garante in data 8 settembre 2006, presentata daAccenture (UK) Ltd - società del Gruppo Accenture, operante nel settore dellaconsulenza direzionale, del System integration & technology e dei servizialle imprese (la cui società capogruppo, Accenture Ltd, ha sede negli StatiUniti d'America) - dinanzi all'Autorità di protezione dei dati personali delRegno Unito di Gran Bretagna e Irlanda del Nord (Information Commissioner'sOffice, di seguito "ICO"), individuata quale lead Authority dellarelativa procedura;

RILEVATOche tale richiesta è stata presentata da Accenture (UK) Ltd (con sede nel RegnoUnito) in nome e per conto della capogruppo e di tutte le società controllate,direttamente o indirettamente, dalla medesima;

PRESOATTO che la predetta richiesta è volta a ottenere l'autorizzazione altrasferimento intra-gruppo, verso paesi terzi, dei dati personali relativi a"i dipendenti (passati e presenti), i candidati all'assunzione, i contattipresso i clienti, i fornitori, gli utenti dei siti web e gli azionisti" (v. "Global Data Privacy Policy 90", par. 1.2) per le finalitàconnesse alla "pianificazione, selezione del personale, gestione delleprestazioni dei dipendenti e loro sviluppo professionale, retribuzioni,gestione dei fondi e contabilità, gestione dei piani di offerta azionaria e relative attività, sviluppo aziendale e di mercato, creazione e gestionedelle relazioni esterne, pianificazione ed implementazione di risorse diintegrazione aziendale, ricerca e sviluppo, infrastruttura e supportotecnologico e gestione dei mezzi, gestione dei viaggi, gestione delleconoscenze e altri fini previsti dalle leggi o normative in vigore" (v."Global Data Privacy Policy 90", par. 1.2), mediante l'adozione delleNorme vincolanti di impresa, c.d. "Bcr Accenture";

PRESOATTO che le Bcr Accenture consistono in un contratto intra-gruppo denominato"Accenture Inter-company Agreement" (di seguito "ICA"),comprensivo dell'Allegato 1, contenente l'elenco delle società del GruppoAccenture, c.d. "Importatori di dati", che si impegnano a rispettarele clausole contenute nell'ICA, e dell'Allegato 2, inerente la "GlobalData Privacy Policy 90" (di seguito "Policy 90");

PRESOATTO che la "Policy 90" ricomprende anche: il Memorandum A -"The Application of and Compliance with Data Privacy Policy", ilMemorandum B - "Procedures for responding to individuals requests toexercise their rights under Global Data Privacy Policy" e il Memorandum C- "Complaint Handling Procedure";

RILEVATOche l'ICA consiste in un accordo tra ciascuna società del Gruppo Accenture, chesottoscrive l'accordo in quanto Esportatore dei dati, e Accenture (UK) Ltdagente - in qualità di "Gestore della riservatezza dei dati" - perproprio conto e di ogni altro Importatore di dati;

PRESOATTO che, ai sensi del suddetto ICA, "ciascun Importatore di dati farà sìche le proprie controllate ottemperino al presente accordo, come se ciascuna diesse lo avesse sottoscritto in qualità di Importatore di dati" (v. ICA,clausola 2.4);

RILEVATO,inoltre, che l'ICA individua le regole per la stipulazione di successivicontratti, aventi ad oggetto il trasferimento transfrontaliero di datipersonali tra le società del gruppo Accenture, contenenti clausole analoghe aquelle individuate dall'ICA (v. ICA, clausola 2.1);

PRESOATTO che l'ICO, in data 23 aprile 2009, all'esito della procedura dicooperazione concernente le Bcr Accenture, attivata secondo le forme previstedal WP 107, ha inoltrato alle Autorità di protezione dei dati personalicoinvolte nella procedura il relativo final draft, informando successivamentedi aver provveduto, in data 30 aprile 2009, al rilascio della corrispondenteautorizzazione nazionale (v. ICO, Binding Corporate Rules Authorisation,Appendix 1, n. 4 del 30 aprile 2009);

CONSIDERATOche, il 20 marzo 2009, il Garante, nel confermare ai sensi del WP 107, larispondenza delle Bcr Accenture ai criteri di adeguatezza di cui ai documentidel Gruppo ex art. 29, ha rappresentato all'ICO l'esigenza che le Bcrassicurino all'interessato un'agevole accesso alle informazioni ivi contenute,con particolare riferimento alla clausola del terzo beneficiario (cfr. nota delGarante del 20 marzo 2009);

VISTAl'istanza del 30 gennaio 2012, presentata al Garante, ai sensi dell'art. 44,comma 1, lett. a), da Accenture S.p.A., Accenture Technology Solutions S.r.l.,Accenture Outsourcing S.r.l., Accenture Insurance Services S.p.A., Accenture HRServices S.p.A., nonché da Accenture Finance and Accounting BPO Service S.p.A.(aventi sede in Milano) al fine di ottenere il rilascio dell'autorizzazionenazionale al trasferimento infragruppo dei dati personali relativi al personaledipendente (ivi compresi i candidati all'assunzione) e ad altre categorie diinteressati (ovvero contatti presso i clienti, fornitori, utenti dei siti web eazionisti) dal territorio dello Stato verso paesi terzi, mediante le BcrAccenture;

VISTEle richieste di informazioni e di integrazione documentale avanzate dal Garantenei confronti delle menzionate società, in data 28 marzo, 29 maggio e 28settembre 2012 e 28 marzo 2013, volte ad ottenere specifici chiarimenti inordine a:

- lanozione di "titolare dei dati" (v. nota del Garante del 28 marzo2013, punto (a));

- latipologia dei dati concernenti i soggetti che, in qualità di interessati, sonocoinvolti nel trasferimento dei dati, con particolare riguardo al concetto di "client contacts" (v. nota del Garante del 28 marzo 2013, punto (b));

- laconformità della clausola del terzo beneficiario, di cui alla clausola 4dell'ICA, a quanto previsto nei documenti del Gruppo ex art. 29 (v. WP 74,paragrafi 3.3.2 e 5.5.1 e WP 108, par. 5.12 ss.), ed il suo preciso ambito diapplicazione in ordine ad eventuali violazioni dei soli Memoranda A, B e C(cfr. ICA, clausola 4.5) (v. nota del Garante del 28 marzo 2013, punto (c));

- ilsistema di responsabilità e i criteri di scelta della giurisdizione (v.nota del Garante del 28 marzo 2013, punti (d) ed (e));

- l'elencodei diritti che l'interessato può esercitare, indicando, in particolare, ove,nelle Bcr Accenture, siano previsti i "rights of erasure and blocking ofdata" (v. nota del Garante del 28 marzo 2013, punto (f));

- ilrispetto degli obblighi di trasparenza (cfr. WP 74, par. 5.7 e WP 153, par.1.7), con particolare riguardo alla clausola del terzo beneficiario (v. notedel Garante del 28 settembre 2012 e 28 marzo 2013);

CONSIDERATOche le società, nel rendere riscontro al Garante, in ordine ai punti sopramenzionati, assumendo ogni responsabilità ai sensi dell'art. 168 del Codice,con le note del 13 dicembre 2012 e del 14 maggio 2013, hanno dichiarato che:

- iltermine "titolare dei dati (data owner)", menzionato nella versioneitaliana dell'ICA, corrisponde alla nozione di "interessato" di cuialla direttiva 95/46/CE (v. nota delle società del 14 maggio 2013, punto (a));

- leinformazioni personali, oggetto dell'istanza di autorizzazione, riguardano: a)il "personale dipendente", che comprende "il personale inservizio e non più in servizio" e "i candidati all'assunzione";b) i "contatti clienti, fornitori, utenti del sito web e azionisti",ove per "contatti clienti si intendono le informazioni di contattocommerciale relative a persone fisiche in quanto clienti attuali, clientipotenziali e intermediari, raccolte nel normale corso dei rapporticommerciali e d'affari con tali soggetti" (v. nota delle società del 14maggio 2013, punto (b));

- laclausola 4 dell'ICA contiene la clausola del terzo beneficiario e, in quantotale, "è finalizzata a riconoscere una serie di diritti agli interessatisecondo i requisiti fissati nei documenti WP 74 e WP 108", mentre laclausola 4.5 deve intendersi riferita ai Memoranda per quanto attiene ilprofilo concernente "le modalità di applicazione delle regole contenutenella Policy 90 piuttosto che l'enunciazione di tali regole" (v. notadelle società del 14 maggio 2013, punto (c));

- inmerito alla clausola di responsabilità e al criterio di scelta dellagiurisdizione (cfr. WP 74, paragrafi 3.3.1, 5.5.1, 5.5.2 e 5.6; WP 153, par.1.4), il Gruppo Accenture ha adottato un sistema che, in ragione dellepeculiarità della struttura societaria, prevede che "il soggettoall'origine del trasferimento" si assuma "la piena responsabilità deidati da esso stesso raccolti" e che l'interessato abbia la facoltà di"agire in giudizio nello Stato da cui ha avuto origine iltrasferimento" (v. nota delle società del 14 maggio 2013, punto (d));

- relativamenteai diritti dell'interessato, le Bcr Accenture, pur non menzionandoesplicitamente il diritto di ottenere il blocco o la cancellazione dei dati,fanno comunque salvi gli eventuali ulteriori diritti riconosciuti dallalegislazione nazionale, e pertanto "Accenture [darà] naturalmente seguitoad ogni richiesta da parte di singoli - persone fisiche - di ottenere il bloccoo la cancellazione di dati personali italiani" (v. nota delle società del14 maggio 2013, punto (f));

- conriferimento agli obblighi di trasparenza, i diritti di cui alla clausola delterzo beneficiario sono specificati negli "European Country Supplements toPolicy 90" (Addenda alla Policy 90 relativi ai paesi europei), i quali "costituiscono parte integrante della Policy 90" e "sono benpubblicizzati" essendo "disponibili sul sito web delle Policies[ovvero pubblicati via Internet] oltre ad essere menzionati nel corso dellesessioni di formazione in materia di privacy" (v. note delle società del13 dicembre 2012 e del 14 maggio 2013);

RILEVATO,comunque, che le operazioni di trattamento dei dati personali, anche se postein essere a seguito del rilascio della presente autorizzazione, saranno lecitesolo ove conformi alla normativa nazionale vigente e alle sue successive modificazioni,nonché alle specifiche disposizioni in materia di protezione dei datipersonali, con particolare riferimento ai presupposti di legittimità delleattività di raccolta dei dati oggetto del trasferimento e alla sussistenza deipresupposti di legittimità per la comunicazione dei dati medesimi;

VISTOl'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati inviolazione della disciplina rilevante in materia di trattamento di datipersonali non possono essere utilizzati;

CONSIDERATOche il Garante, ai sensi dell'art. 154, comma 1, lett. a) e d) del Codice, hail compito di controllare la conformità dei trattamenti di dati alla disciplinaapplicabile e può, anche d'ufficio, vietare o disporre il blocco, nonchéadottare gli ulteriori provvedimenti previsti dalla medesima;

VISTIgli atti d'ufficio;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatoreil dott. Antonello Soro;

TUTTO CIO' PREMESSO IL GARANTE

a)ai sensi dell'art. 44, comma 1, lett. a) del Codice, autorizza AccentureS.p.A., Accenture Technology Solutions S.r.l., Accenture Outsourcing S.r.l.,Accenture Insurance Services S.p.A., Accenture HR Services S.p.A. e AccentureFinance and Accounting BPO Service S.p.A., a trasferire, nell'ambito del gruppoAccenture, i dati personali relativi al "personale dipendente", nonchéai "contatti clienti, fornitori, utenti del sito web e azionisti" dalterritorio dello Stato verso le società del Gruppo Accenture aventi la lorosede in paesi non appartenenti all'Unione europea, secondo le modalità fissatenelle Bcr Accenture e per il perseguimento delle sole finalità ivi dichiarate;

b)ai sensi dell'art. 154, comma 1, lettere a) e d) del Codice, si riserva di svolgerein qualsiasi momento i necessari controlli sulla liceità e correttezza deltrasferimento dei dati e, comunque, su ogni operazione di trattamento ad essiinerente, nonché di adottare, se necessario, eventuali provvedimenti anche diblocco o di divieto.

Roma, 27 giugno 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia