Autorizzazione al trasferimento deidati mediante BCR da parte di AXA Assicurazioni S.p.A. e AXA Interlife S.p.A.

AUTORIZZAZIONE DEL 15 MAGGIO 2014

Registro dei provvedimenti
 n. 246 del 15 maggio 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOl'art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo edel Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possonoessere trasferiti in un paese non appartenente all'Unione europea qualora ilpaese terzo garantisca un livello di protezione adeguato;

VISTOl'art. 26 della predetta direttiva il quale individua alcune deroghe almenzionato principio, prevedendo anche che uno Stato membro possa autorizzareun trasferimento o una categoria di trasferimenti di dati personali verso unpaese terzo che non garantisca un livello di protezione adeguato, qualora iltitolare del trattamento offra garanzie sufficienti per la tutela della vitaprivata e dei diritti e delle libertà fondamentali delle persone, nonché perl'esercizio dei diritti connessi;

VISTOil d.lg. 30 giugno 2003, n. 196, recante il Codice in materia di protezione deidati personali (di seguito "Codice");

VISTO,in particolare, l'art. 44, comma 1, lett. a), del Codice, il quale stabilisceche il trasferimento di dati personali diretto verso un paese non appartenenteall'Unione europea è consentito quando è autorizzato dal Garante sulla base diadeguate garanzie per i diritti dell'interessato, individuate dall'Autoritàanche in relazione a regole di condotta esistenti nell'ambito di societàappartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia"Norme vincolanti di impresa" di seguito "Bcr");

VISTOche la citata disposizione garantisce all'interessato la possibilità di farvalere i propri diritti nel territorio dello Stato, secondo le regole fissatedal Codice, anche in caso di mancata osservanza delle garanzie individuatenelle Bcr;

CONSIDERATOche il Gruppo di lavoro istituito dall'art. 29 della direttiva 95/46/CE (diseguito "Gruppo ex art. 29"), che ha tra i propri compiti quello difornire interpretazioni e pareri per garantire una omogenea applicazione deiprincipi della direttiva all'interno dell'Unione europea,  ha ritenuto chele Bcr possano costituire uno strumento di trasferimento di dati personaliverso paesi terzi astrattamente idoneo ad assicurare un livello adeguato diprotezione dei diritti degli interessati e dunque compatibile con la disciplinacontenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

VISTIgli specifici requisiti − individuati dal Gruppo ex art. 29  neidocumenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005 e WP 153 del 24giugno 2008 − che tali regole di condotta devono soddisfare al fine diconsentire ai gruppi multinazionali d'impresa, che intendano adottarle, diottenere le necessarie autorizzazioni nazionali al trasferimentotransfrontaliero dei dati all'interno del gruppo;

CONSIDERATOaltresì che il Gruppo ex art. 29 ha adottato un ulteriore parere, WP 107 del 14aprile 2005, in cui si definisce la procedura di cooperazione che deve essereosservata ai fini del rilascio delle autorizzazioni nazionali in materia diBcr, prevedendo tra l'altro che essa sia coordinata da un'Autorità diprotezione dei dati personali di uno degli Stati membri dell'UE interessati daltrasferimento transfrontaliero dei dati, Autorità che agisce in qualità di"lead Authority" ("Autorità capofila");

TENUTOCONTO dell'adesione del Garante alla pratica di mutua collaborazione (c.d."Declaration on mutual recognition", ossia "Dichiarazione dimutuo riconoscimento") che consente una più rapida definizione dellaprocedura di cooperazione sopra citata, prevedendo che il parere positivo dellalead Authority sul c.d. "final draft" ("testo definitivo")delle Bcr possa costituire una base sufficiente al rilascio delle relativeautorizzazioni nazionali;

VISTAla richiesta, contenuta nelle Application form, di cui al WP 133 del 10 gennaio2007, pervenuta al Garante in data 6 giugno 2012, presentata da AXA SA –società capogruppo (con sede in Francia)  dell'AXA Group (di seguito"Gruppo AXA") operante nel settore di servizi assicurativi e digestione patrimoniale, dinanzi all'Autorità francese di protezione dei datipersonali (Commission nationale de l'informatique et des libertés, di seguito"CNIL"), individuata quale lead Authority della relativa procedura;

RILEVATOche tale richiesta è stata presentata da AXA SA in nome e per conto di tutte lesocietà controllate, direttamente o indirettamente (c.d. "SocietàAXA"), dalla medesima, ed è volta a ottenere l'autorizzazione altrasferimento intra-gruppo verso paesi terzi dei dati personali relativi a"clienti, potenziali clienti, sinistrati, dipendenti AXA, candidati aposti di lavoro, agenti, fornitori e altre terze parti" per le finalitàindicate nel dettaglio nell'Application Form (Sezione 7), mediante l'adozionedelle Norme vincolanti di impresa, c.d. "Bcr  AXA";

PRESOATTO che le Bcr AXA consistono in una Policy definita "Binding CorporateRules del Gruppo AXA" (di seguito "Policy Bcr") comprensiva didue appendici: dell'Appendice 1, inerente l'accordo infragruppo denominato"Contratto Intragruppo per la definizione di Corporate Binding Rules peril trasferimento di dati personali all'interno del Gruppo AXA" (di seguito"Contratto Bcr"), a sua volta contenente l'Allegato 1 "Elencodelle società parti del Contratto Bcr" e l'Allegato 2 "Modello dicontratto di accettazione delle Bcr" (di seguito "Contratto diaccettazione"); dell'Appendice 2 relativa al "Programma di verificadella conformità";

PRESOATTO, altresì, che al fine di rendere vincolanti le Bcr AXA nei confronti ditutte le società AXA, il Gruppo ha previsto un sistema di adesione progressivaalle clausole contenute nel "Contratto Bcr", mediante l'inizialesottoscrizione dello stesso da parte di AXA SA e delle società AXA elencatenell'Allegato 1, e la successiva sottoscrizione del "Contratto diaccettazione" da parte delle società AXA che aderiscono alle Bcr AXA dopol'entrata in vigore delle stesse;

PRESOATTO che la "Policy Bcr" è pubblicata nella "versione per ilpubblico" sulla Intranet del Gruppo AXA e sul relativo sito Internet (v. "Policy Bcr", art. VI, par. 4);

RILEVATOche la CNIL in data 24 settembre 2013, all'esito della procedura europeaconcernente le Bcr AXA, attivata secondo le forme del mutuo riconoscimento, hainoltrato alle Autorità di protezione dei dati personali interessate ilrelativo final draft, attestandone la conformità ai requisiti individuati daidocumenti del Gruppo ex art. 29 sopra citati;

CONSIDERATOche il Garante in data 9 ottobre 2013 ha confermato di aver ricevuto il testodefinitivo delle Bcr AXA, riservandosi di valutare, in sede di procedura nazionale,la conformità di tale final draft alla normativa italiana;

VISTAl'istanza del 29 novembre 2013 presentata, ai sensi dell'art. 44, comma 1,lett. a), da AXA Assicurazioni S.p.A., in proprio e in nome e per conto di AXAInterlife S.p.A. (entrambe con sede in Milano), volta a ottenere il rilasciodell'autorizzazione nazionale ai trasferimenti infragruppo da parte dellesocietà del Gruppo AXA, mediante le Bcr AXA, con riferimento ai dati personalirelativi a: il "personale" "per finalità di gestione delrapporto di lavoro, della selezione del personale e della carica assegnata eper finalità amministrativo contabili"; i "fruitori dei serviziassicurativi" "per finalità assicurative (di gestione del rapportoassicurativo e di gestione delle richieste di servizio)"; gli"intermediari assicurativi" "per finalità di gestione delrapporto di mandato, di intermediazione, [di gestione] della selezione dicandidati e per finalità amministrativo contabili"; i "fornitori epartner" "per finalità [di] gestione del rapporto di fornitura delservizio [e per] finalità amministrativo contabili";

PRESOATTO che per "personale", si intendono: dipendenti, tirocinanti,stagisti, lavoratori autonomi, collaboratori, lavoratori inquadrati secondoaltri istituti, candidati, amministratori, membri del Collegio sindacale,revisori e dipendenti della società di revisione; per "fruitori deiservizi assicurativi", si intendono: contraenti, assicurati, beneficiari,aderenti a polizze collettive, terzi danneggiati, altri terzi fruitori deiservizi assicurativi connessi alle polizze distribuite e potenziali clienti;per "intermediari assicurativi", si intendono anche quellipotenziali;

RILEVATO,altresì, che l'istanza sopra menzionata ha ad oggetto anche il trasferimentoinfragruppo dei dati personali relativi ai "fruitori dei serviziassicurativi", agli "intermediari assicurativi" e ai"fornitori e partner" per il perseguimento di "finalitàcommerciali, di marketing" e "di ricerche di mercato",eventualmente mediante l'utilizzo di tecniche di comunicazione a distanza,previa acquisizione del consenso dell'interessato;

VISTEla richiesta di informazioni avanzata dal Garante in data 25 febbraio 2014 neiconfronti delle menzionate società, volta ad ottenere specifici chiarimenti inmerito a:

- ilsistema di responsabilità prescelto dal Gruppo AXA e il criterio di sceltadella giurisdizione  (v. nota del 25 febbraio 2014, punti (b) e (d));

- lelimitazioni contenute nella clausola di responsabilità 5, par. 2 di cui al"Contratto Bcr" e al "Contratto di accettazione delle Bcr"(v. nota del 25 febbraio 2014, punto (c));

- laconformità al Codice in materia di protezione dei dati personali dei"Principi di trattamento" di cui all' art. IV, par. 1 delle Bcr AXA(v. nota del 25 febbraio 2014, punto (e));

CONSIDERATOche le società, nel rendere riscontro al Garante in ordine ai punti sopramenzionati, assumendo ogni responsabilità ai sensi dell'art. 168 del Codice, connota del 20 marzo 2014, hanno espressamente dichiarato quanto segue:

- inmerito ai criteri di responsabilità e di scelta della giurisdizione, il GruppoAXA ha adottato un sistema che, in ragione delle peculiarità della propriastruttura, prevede che l'esportatore assuma "sia una responsabilitàdiretta per quanto ad esso strettamente riferibile sia una responsabilità peril fatto del terzo (´Importatoreª)" e che l'interessato può, in ogni caso,"adire l'Autorità di protezione dei dati o altra Autorità secondo leregole previste nelle Bcr AXA (art. XII, par. 4)" (v. nota delle societàdel 20 marzo 2014, punti (b) e (d));

- conriferimento alla clausola di responsabilità 5, par. 2 di cui ai contrattimenzionati, che la suddetta clausola "non comporta in alcun modo limiti aidiritti attribuiti all'interessato in base alle previsioni contenute neidocumenti del Gruppo ex art. 29 (ed in particolare nel WP 153 punti1.3-1.7)" (v. nota delle società del 20 marzo 2014, punto (c));

- inordine ai "Principi di trattamento" di cui all' art. IV, par. 1 delleBcr AXA, che essi "saranno interpretati e applicati in conformità con ilD.Lgs. 196/2003, recante il Codice in materia di protezione dei dati personali,in particolare con riferimento al rilascio dell'informativa all'interessato(art. 13) e al riconoscimento del diritto di opposizione al trattamento perfinalità di carattere promozionale (art. 7, comma 4, lett. b)" (v. notadelle società del 20 marzo 2014, punto (e));

RILEVATOcomunque che le operazioni di trattamento dei dati personali, anche se poste inessere a seguito del rilascio della presente autorizzazione, saranno lecitesolo ove conformi alla normativa nazionale vigente e alle sue successivemodificazioni, nonché alle specifiche disposizioni in materia di protezione deidati personali, con particolare riferimento ai presupposti di legittimità delleattività di raccolta dei dati oggetto del trasferimento e alla sussistenza deipresupposti di legittimità per la comunicazione dei dati medesimi;

VISTOl'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati inviolazione della disciplina rilevante in materia di trattamento di datipersonali non possono essere utilizzati;

CONSIDERATOche il Garante, ai sensi dell'art. 154, comma 1, lett. da a) a d) del Codice,ha il compito di controllare la conformità dei trattamenti di dati alladisciplina applicabile e può, anche d'ufficio, adottare i provvedimentiprevisti dal Codice medesimo;

VISTIgli atti d'ufficio;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATOREla dott.ssa Giovanna Bianchi Clerici;

TUTTO CIO' PREMESSO IL GARANTE

a) aisensi dell'art. 44, comma 1, lett. a) del Codice, autorizza AXA AssicurazioniS.p.A. e AXA Interlife S.p.A. a trasferire, nell'ambito del Gruppo AXA, i datipersonali relativi al "personale", ai "fruitori dei serviziassicurativi", agli "intermediari assicurativi" e ai"fornitori e partner", dal territorio dello Stato verso i soggettifacenti parte del Gruppo AXA aventi la loro sede in paesi non appartenentiall'Unione europea, secondo le modalità fissate nelle Bcr AXA e per ilperseguimento delle sole finalità ivi dichiarate;

b) aisensi dell'art. 154, comma 1, lettere da a) a d) del Codice, si riserva disvolgere in qualsiasi momento i necessari controlli sulla liceità e correttezzadel trasferimento dei dati e, comunque, su ogni operazione di trattamento adessi inerente, nonché di adottare, se necessario, i provvedimenti previsti dalCodice.

Roma, 15 maggio 2014

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia