Autorizzazione al trasferimento deidati personali all'estero mediante BCR da parte di Intel corporation Italia SpA

AUTORIZZAZIONE DEL 21 NOVEMBRE 2013

Registro dei provvedimenti
 n. 519 del 21 novembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;
 

VISTOl'art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo edel Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possonoessere trasferiti in un paese non appartenente all'Unione europea qualora ilpaese terzo garantisca un livello di protezione adeguato;

VISTOl'art. 26 della predetta direttiva, il quale individua alcune deroghe almenzionato principio, prevedendo che uno Stato membro possa autorizzare untrasferimento o una categoria di trasferimenti di dati personali verso un paeseterzo che non garantisca un livello di protezione adeguato, qualora il titolaredel trattamento offra garanzie sufficienti per la tutela della vita privata edei diritti e delle libertà fondamentali delle persone, nonché per l'eserciziodei diritti connessi;

VISTOil decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezionedei dati personali (di seguito "Codice");

VISTO,in particolare, l'art. 44, comma 1, lett. a) del Codice, il quale stabilisceche il trasferimento di dati personali diretto verso un paese non appartenenteall'Unione europea è consentito quando è autorizzato dal Garante sulla base diadeguate garanzie per i diritti dell'interessato, individuate dall'Autoritàanche in relazione a regole di condotta esistenti nell'ambito di societàappartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia"Norme vincolanti di impresa", di seguito "Bcr");

VISTOche la citata disposizione garantisce all'interessato la possibilità di farvalere i propri diritti nel territorio dello Stato, secondo le regole fissatedal Codice, anche in caso di mancata osservanza delle garanzie individuatenelle Bcr;

CONSIDERATO che il Gruppo di lavoro istituito dall'art.29 della direttiva 95/46/CE (di seguito "Gruppo ex art. 29"), che hatra i propri compiti quello di fornire interpretazioni e pareri per garantireuna omogenea applicazione dei principi della direttiva all'interno dell'Unioneeuropea,  ha ritenuto che le Bcr possano costituire uno strumento ditrasferimento di dati personali verso paesi terzi astrattamente idoneo adassicurare un livello adeguato di protezione dei diritti degli interessati e,dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr.,in particolare, art. 26, par. 2);

VISTIgli specifici requisiti − individuati dal Gruppo ex art. 29  neidocumenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24giugno 2008 − che tali regole di condotta devono soddisfare al fine diconsentire ai gruppi multinazionali d'impresa, che intendano adottarle, diottenere le necessarie autorizzazioni nazionali al trasferimentotransfrontaliero dei dati all'interno del gruppo;

CONSIDERATO,altresì, che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del14 aprile 2005, con cui è stata definita la procedura di cooperazione che deveessere osservata ai fini del rilascio delle autorizzazioni nazionali in materiadi Bcr, prevedendo, tra l'altro, che detta procedura debba essere coordinata daun'Autorità di protezione dei dati personali di uno degli Stati membri dell'UEinteressati dal trasferimento transfrontaliero dei dati, Autorità che agisce inqualità di "lead Authority" ("Autorità capofila");

TENUTOCONTO dell'adesione del Garante alla pratica di mutua collaborazione (c.d."Declaration on mutual recognition", ossia "Dichiarazione dimutuo riconoscimento") che consente una più rapida definizione dellaprocedura di cooperazione sopra citata, prevedendo che il parere positivo dellalead Authority sul c.d. "final draft" ("testo definitivo")delle Bcr possa costituire una base sufficiente al rilascio delle relativeautorizzazioni nazionali;

VISTAla richiesta, contenuta nell'Application form, di cui al WP 133 del 10 gennaio2007, presentata da Intel Ireland Limited − società del Gruppo Inteloperante nel settore della produzione e commercializzazione di semiconduttori,computer e prodotti per reti e comunicazioni (la cui capogruppo, Intel Corporation,ha sede negli Stati Uniti d'America) − dinanzi all'Autorità di protezionedei dati personali dell'Irlanda (Data Protection Commissioner), che è stataindividuata quale lead Authority della relativa procedura;

RILEVATOche tale richiesta, pervenuta al Garante in data 21 ottobre 2010, è statapresentata da Intel Ireland Limited, società (con sede in Irlanda) cui è statadelegata la responsabilità in materia di trattamento dei dati personali, innome e per conto della capogruppo e di tutte le società (c.d. "EntitàIntel") controllate, direttamente o indirettamente, dalla medesima, ed èvolta a ottenere l'autorizzazione al trasferimento intra-gruppo verso paesiterzi mediante l'adozione delle Norme vincolanti di impresa c.d. "BcrIntel", dei dati personali relativi a: il "personale dipendente"per finalità amministrativo - contabili; i "fornitori" per finalitàdi gestione e amministrazione degli stessi; i "clienti" per finalitàdi servizi e vendite on-line, gestione di eventi, gestione dei rapporti, servizidi assistenza tecnica per i prodotti, marketing e attività di ricerca esviluppo; le "ulteriori categorie di interessati" che comprendono:gli utenti finali dei siti del gruppo (www.intel.it e www.intel.com) perfinalità legate alla gestione dei siti medesimi, i partecipanti a programmipremio e i partecipanti a conferenze per finalità relative alla specificaraccolta premio indetta o alla conferenza di volta in volta organizzata, isoggetti che inoltrano lamentele o richieste varie per la gestione dellaspecifica lamentela o richiesta pervenuta, i consulenti, i professionisti e ipartecipanti a ricerche per le attività strettamente connesse al relativocontratto di consulenza o ricerca con il gruppo Intel;

PRESOATTO che le Bcr Intel consistono in un "Atto unilaterale"sottoscritto dalla capogruppo Intel Corporation (con sede negli Stati Unitid'America) - comprensiva dell'Allegato 1, contenente la lista delle EntitàIntel vincolate dalle Bcr (di seguito "Allegato 1"); dell'Allegato 2,inerente le "Norme aziendali per la protezione dei dati personaliIntel" (di seguito "Allegato 2", che includono 6 Appendici);dell'Allegato 3, relativo ai "Diritti per i terzi beneficiari" (diseguito "Allegato 3")  - nonché nelle "Intel CorporatePrivacy Rules Policy Letters of Confirmation" (di seguito "Lettere diconferma"), documento sottoscritto da ciascuna società del gruppostabilita nell'Unione Europea;

CONSIDERATOche, con il suddetto "Atto Unilaterale", la Intel Corporation si èimpegnata, anche in nome e per conto delle Entità Intel, a rispettare le"Norme aziendali per la protezione dei dati personali Intel"(Allegato 2) e i "Diritti per i terzi beneficiari" (Allegato 3) conriferimento ai trasferimenti intra-gruppo verso paesi terzi dei dati personalidi cui alla presente autorizzazione (v. "Atto Unilaterale", inparticolare i punti 1, 2, 7, 8 e 9);

VISTOche, con le citate "Lettere di conferma", ciascuna Entità Intel si èimpegnata ad osservare "l'Atto Unilaterale per le Norme aziendali sullaprotezione dei dati personali Intel relativo alla <Politica sulle normeaziendali per la protezione dei dati personali Intel> (la Politica); e lepolitiche e procedure collegate, divulgate di volta in volta da Intel perapplicare la Politica in tutte le Entità Intel";

RILEVATOche, in virtù dell'avvenuta sottoscrizione dell'"Atto Unilaterale" edelle "Lettere di conferma", le Entità Intel, compresa la capogruppoIntel Corporation, si sono reciprocamente obbligate in via contrattuale adagire in conformità alle Bcr Intel e ad osservare le clausole in essecontenute;

RILEVATO,inoltre, che, ai sensi del succitato "Atto Unilaterale", IntelCorporation ha dichiarato di disporre dell'autorità necessaria per garantirel'osservanza delle Bcr Intel da parte delle "Entità Intel" (v."Dichiarazione Unilaterale", punti 2 e 3);

PRESOATTO che Intel Corporation si è impegnata, inoltre, a pubblicare su Internet lepredette "Norme aziendali per la protezione dei dati personaliIntel", che contengono al loro interno la clausola del terzo beneficiario(cfr. "Norme aziendali per la protezione dei dati personali Intel",pag. 3);

RILEVATOche il Data Protection Commissioner, in data 24 novembre 2011, all'esito dellaprocedura concernente le Bcr Intel, attivata secondo le forme del mutuoriconoscimento, ha inoltrato alle Autorità di protezione dei dati personaliinteressate il relativo final draft, attestandone la conformità ai requisitiindividuati dai documenti del Gruppo ex art. 29 sopra citati, e ha rilasciatola relativa autorizzazione il 20 gennaio 2012;

CONSIDERATOche il Garante, in data 27 giugno 2012, ha rappresentato al Data ProtectionCommissioner che, ai fini del rilascio della relativa autorizzazione nazionale,"saranno valutati i profili di conformità del testo Bcr con la normativaitaliana" (cfr. nota del 27 giugno 2012);

VISTAl'istanza del 13 giugno 2013, con cui Intel Corporation Italia S.p.A. (con sedein Assago - MI), ai sensi dell' art. 44, comma 1, lett. a), ha chiesto ilrilascio dell'autorizzazione nazionale al trasferimento infragruppo dei datipersonali relativi al "personale dipendente", ai"fornitori", ai "clienti" e alle "altre categorie diinteressati", dal territorio dello Stato verso paesi terzi mediante le BcrIntel;

CONSIDERATOche anche Intel Corporation Italia S.p.A., con dichiarazione del 21 novembre2012, ha sottoscritto la "Lettera di conferma", impegnandosi adosservare le Bcr Intel e ad adempiere agli obblighi di cui alle clausole delterzo beneficiario e di responsabilità;

VISTEle richieste di informazioni avanzate dal Garante in data 12 luglio e 20settembre 2013 nei confronti della menzionata società, volte ad ottenerespecifici chiarimenti in particolare con riferimento ai seguenti aspetti:

- latipologia delle informazioni oggetto di trasferimento, le specifiche finalitàperseguite e i soggetti che, in qualità di interessati, sono coinvolti neltrasferimento dei dati (v. note del Garante del 12 luglio 2013 e del 20settembre 2013, punto (a));

- l'adempimentodell'obbligo di rilascio di idonea informativa all'interessato (art. 13 delCodice) e l'osservanza della disciplina in materia di definizione di profilidell'interessato mediante trattamenti automatizzati di dati personali (art. 14del Codice) (v. nota del Garante del 20 settembre 2013, punto (b);

- laclausola di responsabilità, in particolare con riferimento all'individuazionedell'Entità Intel che si assume la responsabilità in base a quanto previsto neidocumenti del Gruppo ex art. 29 (WP 74, punti 3.3.1 e 5.5.1-2 e 5.6; WP 108,punti 5.17 e ss.; WP 153, punto 1.4) (v. nota del Garante del 20 settembre2013, punti (c) e (d));

CONSIDERATOche la società, nel rendere riscontro al Garante in ordine ai punti sopramenzionati, assumendo ogni responsabilità ai sensi dell'art. 168 del Codice,con note del 29 agosto e 4 ottobre 2013 ha espressamente dichiarato che:

- conriferimento alla tipologia delle informazioni oggetto di trasferimento e allerelative finalità, i dati oggetto della richiesta di trasferimento intra-gruppoverso paesi terzi mediante le Bcr Intel si riferiscono a: "il personaledipendente per finalità amministrativo - contabili; i fornitori per finalità digestione e amministrazione degli stessi; i clienti per finalità di servizi evendite on-line, gestione di eventi, gestione dei rapporti, servizi diassistenza tecnica per i prodotti, marketing e attività di ricerca e sviluppo;gli utenti finali dei siti del gruppo (www.intel.it e www.intel.com) perfinalità legate alla gestione dei siti medesimi, i partecipanti a programmipremio e i partecipanti a conferenze per finalità relative alla specificaraccolta premio indetta o alla conferenza di volta in volta organizzata, isoggetti che inoltrano lamentele o richieste varie per la gestione dellaspecifica lamentela o richiesta pervenuta, i consulenti, i professionisti e ipartecipanti a ricerche per le attività strettamente connesse al relativocontratto di consulenza o ricerca con il gruppo Intel" (v. note dellasocietà del 29 agosto 2013 e del 4 ottobre 2013, punto (a));

- inordine agli adempimenti di cui alle "Norme aziendali per la protezione deidati personali Intel", par. 2 (informativa) e par. 10 (definizione diprofili dell'interessato mediante trattamenti automatizzati di dati personali),"la Intel Corporation Italia S.p.A., si conformerà alle previsionicontenute nel d. lg. 196/2003 – Codice in materia di protezione dei datipersonali (cfr. artt. 13 e 14)" (v. nota della società del 4 ottobre 2013,punto (b));

- inmerito alla clausola di responsabilità individuata nelle Bcr Intel, che essa"è conforme a quanto previsto nei documenti WP 74 (punti 3.3.1 e 5.5.1 - 2e 5.6), WP 108 (punti 5.17 ss.) e WP 153 (punto 1.4) del Gruppo ex art.29" e che "la Intel Ireland Limited  [..] ha assunto laresponsabilità nei termini di cui ai punti dei documenti [..] sopramenzionati" (v. nota della società del 4 ottobre 2013, punti (c) e (d));

RILEVATO,comunque, che le operazioni di trattamento dei dati personali, anche se postein essere a seguito del rilascio della presente autorizzazione, saranno lecitesolo ove conformi alla normativa nazionale vigente e alle sue successivemodificazioni, nonché alle specifiche disposizioni in materia di protezione deidati personali, con particolare riferimento ai presupposti di legittimità delleattività di raccolta dei dati oggetto del trasferimento e alla sussistenza deipresupposti di legittimità per la comunicazione dei dati medesimi;

VISTOl'art. 11, comma 2 del Codice, il quale stabilisce che i dati trattati inviolazione della disciplina rilevante in materia di trattamento di datipersonali non possono essere utilizzati;

CONSIDERATOche il Garante, ai sensi dell'art. 154 del Codice, ha il compito, fra l'altro,di controllare la conformità dei trattamenti di dati alla disciplinaapplicabile e può, anche d'ufficio, adottare i provvedimenti previsti dalCodice medesimo;

VISTIgli atti d'ufficio;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATOREla dott.ssa Augusta Iannini;

TUTTO CIO' PREMESSO IL GARANTE

a)ai sensi dell'art. 44, comma 1, lett. a) del Codice, autorizza IntelCorporation Italia S.p.A. a trasferire, nell'ambito del Gruppo Intel, i datipersonali relativi al "personale dipendente", ai"fornitori", ai "clienti" e alle "ulteriori categoriedi interessati" dal territorio dello Stato, verso le Entità Intel aventila loro sede in paesi non appartenenti all'Unione europea, secondo le modalitàfissate nelle Bcr Intel e per il perseguimento delle sole finalità ivi dichiarate;

b)ai sensi dell'art. 154 del Codice, si riserva di svolgere in qualsiasi momentoi necessari controlli sulla liceità e correttezza del trasferimento dei dati e,comunque, su ogni operazione di trattamento ad essi inerente, nonché diadottare, se necessario, i provvedimenti previsti dal Codice.

Roma, 21 novembre 2013

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia