DELIBERA 16 maggio 2018 - Autorizzazione ai trasferimenti di dati personali mediante Binding Corporate Rules (Norme vincolanti di impresa) approvate prima del 25 maggio 2018. (Provvedimento n. 293/2018). (18A03985)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia, segretario generale;

Visto l'art. 25, paragrafi 1 e 2 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, ai sensi del quale i dati personali possono essere trasferiti in un paese non appartenente all'Unione europea qualora il paese terzo garantisca un livello di protezione adeguato;

Visto l'art. 26 della predetta direttiva, il quale individua alcune deroghe al menzionato principio, prevedendo che uno Stato membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un Paese terzo che non garantisca un livello di protezione adeguato, qualora il titolare del trattamento offra garanzie sufficienti per la tutela della vita privata e dei diritti e delle liberta' fondamentali delle persone, nonche' per l'esercizio dei diritti connessi;

Visto il decreto legislativo 30 giugno 2003, n. 196, codice in materia di protezione dei dati personali (di seguito «Codice») e in particolare l'art. 44, comma 1, lettera a) del Codice, il quale stabilisce che il trasferimento di dati personali diretto verso un Paese non appartenente all'Unione europea e' consentito quando e' autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato, individuate dall'Autorita' anche in relazione a regole di condotta esistenti nell'ambito di societa' appartenenti a un medesimo gruppo e denominate Binding Corporate Rules (ossia «Norme vincolanti di impresa», di seguito «Bcr»);

Considerato che il Gruppo di lavoro istituito dall'art. 29 della direttiva 95/46/CE (di seguito «Gruppo ex art. 29»), che ha tra i propri compiti quello di fornire interpretazioni e pareri per garantire una omogenea applicazione dei principi della direttiva all'interno dell'Unione europea, ha ritenuto che le Bcr possano costituire uno strumento di trasferimento di dati personali verso paesi terzi astrattamente idoneo ad assicurare un livello adeguato di protezione dei diritti degli interessati e, dunque, compatibile con la disciplina contenuta nella direttiva 95/46/CE (cfr., in particolare, art. 26, par. 2);

Visti gli specifici requisiti - individuati dal Gruppo ex art. 29 nei documenti WP 74 del 3 giugno 2003, WP 108 del 14 aprile 2005, WP 153 del 24 giugno 2008, WP 204...