Autorizzazione per le Imprese: trattamento di dati giudiziari riguardanti i soci

PROVVEDIMENTO 4 GIUGNO 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTO, in particolare, l'art. 4, comma 1, lett. e), del Codice, contenente la definizione di "dati giudiziari";

CONSIDERATO che, ai sensi dell'art. 27 del Codice, i soggetti privati e gli enti pubblici economici possono trattare tali dati soltanto se autorizzati da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili;

VISTA l'autorizzazione del Garante n. 7/2008 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici (Del. 19 giugno 2008, n. 38, in G.U. 21 luglio 2008, n. 169 - Supp. ord. n. 175 );

VISTA la richiesta del 24 febbraio 2009 (successivamente integrata da ulteriore documentazione inviata a questa Autorità con nota 29 aprile 2009, in atti) presentata ai sensi dell'art. 41 del Codice da KPMG S.p.A. (società operante nel settore del rating), volta a ottenere l'autorizzazione al trattamento dei dati giudiziari relativi a propri soci (cfr. nota 24 febbraio 2009), puntualizzando successivamente che, allo stato, tale trattamento riguarderebbe il solo socio responsabile di incarichi di revisione di società italiane che abbiano emesso strumenti finanziari quotati sul mercato nipponico (cfr. nota 29 aprile 2009);

CONSIDERATO che tale richiesta di autorizzazione viene giustificata dalla società in base al quadro normativo giapponese relativo al settore del rating, nell'ambito del quale, a seguito di alcune modifiche apportate al Certified Public Accountants Act ad opera delle preposte autorità nazionali, sono stati introdotti specifici obblighi di iscrizione e registrazione presso la Financial Services Agency (organizzazione governativa responsabile della stabilità e trasparenza dei mercati finanziari nipponici) delle società di rating "al fine di poter svolgere attività di revisione rispetto a società che abbiano emesso sul mercato giapponese azioni o titoli";

CONSIDERATO che, alla luce delle dichiarazioni rese dalla società, sono tenute alla predetta registrazione anche le società straniere che svolgono attività di revisione rispetto a società emittenti strumenti finanziari quotati sul mercato giapponese. Rilevato altresì che tali procedure trovano applicazione, oltre che alle società di revisione, anche nei confronti dei relativi soci;

RILEVATO che le predette procedure di registrazione presuppongono il trattamento di dati personali relativi ai soci, tra i quali eventuali dati di carattere giudiziario a loro riferibili (cfr. all. 1 e 2 alla richiesta del 24 febbraio 2009);

CONSIDERATO quanto dichiarato dalla società, secondo cui la mancata acquisizione dei dati giudiziari (ove presenti) in vista della successiva comunicazione alle autorità giapponesi potrebbe comportare l'impossibilità di registrazione della stessa (oltre che dei relativi soci) presso la menzionata Agenzia nipponica, con conseguente impossibilità di perseguire il proprio oggetto sociale (consistente, appunto, nell'attività di revisione dei bilanci societari), avuto riguardo alle società emittenti azioni o titoli quotati sul mercato giapponese;

CONSIDERATO che la società intende trattare i menzionati dati di carattere giudiziario – relativi, come detto, a un unico socio (cfr. nota del 29 aprile 2009, cit., p. 2) – per le finalità di "registrazione presso l'Autorità" e per il mantenimento e la gestione della registrazione medesima "e che nessuna finalità ulteriore sarà perseguita" (cfr. comunicazione del 24 febbraio 2009; cfr. altresì all. n. 3 alla medesima comunicazione);

CONSIDERATO che i dati giudiziari eventualmente acquisiti verrebbero successivamente trasferiti in Giappone per essere messi a disposizione della Financial Services Agency, a detta della società, sulla base del consenso scritto precedentemente manifestato dall'interessato, in conformità all'art. 43, comma 1, lett. a), del Codice;

CONSIDERATO che il trattamento, secondo le dichiarazioni rese, sarà effettuato dalla società previo rilascio di apposita informativa contenente gli elementi di cui all'art. 13 del Codice (cfr. all. n. 3 alla comunicazione del 24 febbraio 2009, cit.);

CONSIDERATO che, in base alle circostanze riferite dalla società, quest'ultima effettuerebbe un trattamento di dati giudiziari che, allo stato, non risulta puntualmente disciplinato nell'ordinamento italiano;

CONSIDERATO che possono formare oggetto di un trattamento lecito le sole informazioni pertinenti e non eccedenti rispetto alla finalità perseguita (art. 11, comma 1, lett. d), del Codice);

CONSIDERATI i requisiti di "onorabilità" desumibili dalla normativa italiana in capo anche ai soci delle società di revisione ai sensi degli gli artt. 2409 quinquies, in combinato disposto con gli artt. 2399 e 2382 cod. civ. come pure risultanti dall'art. 161, comma 2, d.lg. 24 febbraio 1998, n. 58 (Testo unico delle disposizioni in materia di intermediazione finanziaria, ai sensi degli articoli 8 e 21 della L. 6 febbraio 1996, n. 52) e dagli artt. 6, comma 1, e 8, comma 1, d.lg. 27 gennaio 1992, n. 88 (Attuazione della direttiva 84/253/CEE, relativa all'abilitazione delle persone incaricate del controllo di legge dei documenti contabili), che individuano i comportamenti penalmente rilevanti suscettibili di essere conosciuti anche da parte delle società di revisione in relazione (tra l'altro) ai propri soci;

CONSIDERATO che nella propria richiesta di autorizzazione al trattamento di dati giudiziari KPMG S.p.A. ha precisato di voler trattare le informazioni necessarie a "verificare la sussistenza o meno dei requisiti di onorabilità in capo a[i] soci" (cfr. nota del 29 aprile, cit., p. 2), onde consentire la registrazione della società (e degli stessi soci) presso la predetta Agenzia nipponica;

CONSIDERATO che possono formare oggetto di un trattamento lecito le sole informazioni personali concernenti la verifica dei predetti requisiti in relazione ai comportamenti penalmente rilevanti individuati dalla normativa sopra richiamata;

CONSIDERATO che, alla luce di quanto riferito nella menzionata richiesta, possono essere ricomprese tra le informazioni lecitamente trattabili dalla società i dati giudiziari eventualmente riferiti al socio interessato, limitatamente a quelli necessari all'accertamento dei predetti requisiti, nella misura in cui siano indispensabili alla registrazione della stessa (e del medesimo socio interessato) presso la Financial Services Agency (Fsa), anche in considerazione del fatto che la documentazione agli atti, e segnatamente il "Sanctions Template – Attachment VI", tiene conto, nel processo di accreditamento presso la Fsa, delle limitazioni eventualmente derivanti dalle discipline nazionali;

CONSIDERATO che la richiesta di autorizzazione formulata dalla società concerne un trattamento di dati giudiziari non previsto dall'autorizzazione generale n. 7/2008;

CONSIDERATO che in tale autorizzazione il Garante si è riservato di adottare ogni altro provvedimento per i trattamenti non considerati nella medesima autorizzazione (cfr. Capo VI, punto 5);

RAVVISATA l'esigenza di disciplinare il trattamento oggetto di autorizzazione in base alle medesime condizioni contenute nell'autorizzazione n. 7/2008;

RILEVATO che potranno essere trattati per la sola predetta finalità unicamente i dati di carattere giudiziario sopra richiamati e che il loro trasferimento verso il Giappone dovrà avvenire sulla base del consenso dell'interessato o, comunque, di uno dei presupposti stabiliti dagli artt. 43 e 44 del Codice;

VISTO l'art. 167, comma 2, del Codice che sanziona l'eventuale violazione delle prescrizioni della presente autorizzazione;

VISTO l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

VISTI gli artt. 27 e 41 del Codice;

VISTI gli atti d'ufficio;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

TUTTO CIÒ PREMESSO IL GARANTE

autorizza KPMG S.p.A. a trattare, limitatamente ai dati giudiziari indispensabili ai fini del perseguimento della finalità dichiarata e nel rispetto delle prescrizioni di cui all'autorizzazione n. 7/2008, quelli necessari all'accertamento dei requisiti indicati in narrativa, con riferimento agli artt. 2409 quinquies, in combinato disposto con gli artt. 2399 e 2382 cod. civ., dall'art. 161, comma 2, d.lg. 24 febbraio 1998, n. 58 e dagli artt. 6, comma 1, e 8, comma 1, d.lg. 27 gennaio 1992, n. 88.

Roma, 4 giugno 2009

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
Patroni Griffi