Parere del Garante europeo della protezione dei datisulla proposta di regolamento del Parlamento europeo e del Consiglio sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni

Pareredel Garante europeo della protezione dei dati sulla proposta di regolamento delParlamento europeo e del Consiglio sugli strumenti derivati OTC, le controparticentrali e i repertori di dati sulle negoziazioni

(Pubblicatosulla GUUE n. C 216 del 22/7/2011)

IL GARANTE EUROPEODELLA PROTEZIONE DEI DATI,

visto iltrattato sul funzionamento dell'Unione europea, in particolare l'articolo 16,

vista la Cartadei diritti fondamentali dell'Unione europea, in particolare gli articoli 7 e8,

vista ladirettiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995,relativa alla tutela delle persone fisiche con riguardo al trattamento dei datipersonali, nonché alla libera circolazione di tali dati ⁽¹ ⁾,

visto ilregolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18dicembre 2000, concernente la tutela delle persone fisiche in relazione altrattamento dei dati personali da parte delle istituzioni e degli organismicomunitari, nonché la libera circolazione di tali dati ⁽² ⁾, in particolare l'articolo41,

HA ADOTTATO ILSEGUENTE PARERE:

1. INTRODUZIONE

1. Il 15settembre 2010 la Commissione ha adottato una proposta di regolamento delParlamento europeo e del Consiglio sugli strumenti derivati OTC, le controparticentrali e i repertori di dati sulle negoziazioni (in prosieguo ´la propostaª) ⁽³ ⁾. Scopo precipuo della proposta è stabilire regole comuni perrendere più sicuro e più efficiente il mercato dei derivati negoziati fuoriborsa (over-the-counter — OTC).

2. Il GEPD nonè stato consultato dalla Commissione, nonostante ciò sia previsto dall'articolo28, paragrafo 2, del regolamento (CE) n. 45/2001 [in prosieguo ´il regolamento(CE) n. 45/2001ª]. Pertanto, agendo di propria iniziativa, il GEPD ha adottatoil presente parere in conformità dell'articolo 41, paragrafo 2, del regolamento(CE) n. 45/2001.

3. Il GEPD èconsapevole del fatto che il presente parere arriva in una fase relativamenteavanzata del processo legislativo; nondimeno, ritiene opportuno e utileadottarlo. In primo luogo, il GEPD sottolinea le potenziali implicazioni intermini di protezione dei dati che la proposta comporta. In secondo luogo, leosservazioni presentate in questo parere hanno rilevanza diretta perl'applicazione della normativa vigente nonché per altre proposte pendenti edeventuali proposte future che contengano disposizioni simili, come saràillustrato nel punto 3.4 del presente parere.

2. CONTESTO ED ELEMENTI PRINCIPALI DELLAPROPOSTA

4. Sulla sciadella crisi finanziaria, la Commissione ha avviato e portato avanti unarevisione del quadro giuridico esistente in materia di vigilanza finanziaria,per far fronte alle significative carenze riscontrate in quest'area sia insingoli casi sia in relazione al sistema finanziario nel suo complesso. Direcente, in tale settore sono state adottate una serie di proposte legislativenell'ottica di rafforzare le disposizioni vigenti in materia di sorveglianzanonché di migliorare il coordinamento e la cooperazione a livello di Unioneeuropea.

5. La riformaha introdotto, in particolare, un quadro europeo rafforzato per la vigilanzafinanziaria formato da un Comitato europeo per il rischio sistemico ⁽⁴⁾ e da un Sistema europeo delle autorità di vigilanza finanziaria(ESFS). Quest'ultimo è una rete che riunisce le autorità nazionali di vigilanzafinanziaria che lavorano d'intesa con le tre nuove autorità europee divigilanza: l'Autorità bancaria europea (EBA) ⁽⁵ ⁾, l'Autorità europea delleassicurazioni e delle pensioni aziendali e professionali (EIOPA^{) (}⁶⁾ e l'Autorità europea degli strumenti finanziari e dei mercati(ESMA) ⁽⁷⁾. Inoltre, la Commissioneha adottato una serie di iniziative specifiche volte a dare attuazione allariforma normativa relativamente ad aree o prodotti finanziari specifici.

6. Una di taliiniziative è la proposta in esame, che si occupa dei ´derivati negoziati fuoriborsaª, cioè i prodotti derivati ⁽⁸⁾ che non sono negoziati in borsa bensì privatamente tra duecontroparti. La proposta obbliga tutte le controparti finanziarie e lecontroparti non finanziarie, a partire da talune soglie, a compensare tutti iderivati OTC standardizzati mediante controparti centrali. La proposta obbligainoltre dette controparti finanziarie e non finanziarie a notificare i dettaglidi tutti i contratti di prodotti derivati e le relative modifiche a unrepertorio registrato di dati sulle negoziazioni. La proposta fissa inoltrerequisiti organizzativi e prudenziali armonizzati per le controparti centralinonché requisiti organizzativi e operativi per i repertori di dati sullenegoziazioni. Mentre la responsabilità di autorizzare e vigilare sullecontroparti centrali rimane presso le autorità nazionali competenti, laproposta affida i compiti di registrazione e vigilanza dei repertori di datiinteramente all'ESMA.

3. ANALISI DELLE DISPOSIZIONI SULL'ACCESSOALLA DOCUMENTAZIONE SUL TRAFFICO TELEFONICO E SUL TRAFFICO DI DATI

3.1. Osservazioni generali

7. L'articolo61, paragrafo 2, lettera d), della proposta attribuisce all'ESMA i poteri di ´richiederela documentazione sul traffico telefonico e sul traffico di datiª (corsivodello scrivente). Come ulteriormente precisato più avanti, il campo diapplicazione della disposizione e, in particolare, il significato esatto di´documentazione sul traffico telefonico e sul traffico di datiª non sonochiari. Nondimeno appare probabile — o, quanto meno, non può essereescluso — che la documentazione sul traffico telefonico e sul traffico didati qui richiamata comprenda i dati personali nell'accezione di cui alladirettiva 95/46/CE e al regolamento (CE) n. 45/2001 nonché, per la parte pertinente,alla direttiva 2002/58/CE (ora denominata ´direttiva sulla e-privacyª, cosìcome modificata dalla direttiva 2009/136/CE), cioè i dati riguardanti iltraffico telefonico e il traffico di dati di persone fisiche identificate oidentificabili ⁽⁹^). In tale eventualità,occorre garantire il totale rispetto delle condizioni di un trattamento equo elegittimo dei dati personali, come previsto dalle direttive e dal regolamento.

8. I datiriguardanti l'uso di strumenti di comunicazione elettronici possono comprendereun'ampia gamma di informazioni personali, quali l'identità delle persone chefanno e ricevono la telefonata, la data e la durata della stessa, la reteutilizzata, la posizione geografica dell'utente in caso di dispositivi mobiliecc. Alcuni dati concernenti l'uso di Internet e della posta elettronica (adesempio, l'elenco dei siti Internet visitati) possono rivelare altresìparticolari importanti del contenuto della comunicazione. Inoltre, iltrattamento dei dati sul traffico entra in conflitto con la segretezza dellacorrispondenza; pertanto, la direttiva 2002/58/CE ha sancito il principiosecondo cui i dati sul traffico devono essere cancellati o resi anonimi quandonon sono più necessari ai fini della trasmissione di una comunicazione ⁽¹⁰ ⁾. Gli Stati membri possonoprevedere nella legislazione nazionale deroghe per specifiche finalitàlegittime, ma tali deroghe devono essere necessarie, opportune e proporzionateall'interno di una società democratica per conseguire dette finalità ⁽¹¹ ⁾.

9. Il GEPD riconosce che le finalitàperseguite dalla Commissione nel caso in esame sono legittime e comprende lanecessità di adottare iniziative volte a rafforzare la vigilanza dei mercatifinanziari allo scopo di preservarne la solidità e a proteggere meglio gliinvestitori e l'economia in generale. Tuttavia, considerata la potenzialenatura intrusiva che comportano, i poteri di indagine direttamente collegati aidati sul traffico devono soddisfare i requisiti di necessità e proporzionalità,cioè devono essere limitati a quanto è opportuno per realizzare l'obiettivoperseguito e non devono andare oltre quanto è necessario per raggiungerlo ⁽¹² ⁾. In tale prospettiva, è pertanto essenziale che dettipoteri siano formulati chiaramente perquanto riguarda il campo di applicazione personale e materiale nonché lecircostanze e le condizioni del loro esercizio. Inoltre, dev'essere fornitaidonea protezione dal rischio di abusi.

3.2. Il campo di applicazione dei poteri dell'ESMAnon è chiaro

10. L'articolo61, paragrafo 2, lettera d), stabilisce che ´Ai fini dell'esercizio dellefunzioni di cui agli articoli da 51 a 60 e degli articoli 62 e 63 (cioè lefunzioni relative alla vigilanza sui repertori di dati sulle negoziazioni),l'ESMA ha [ä] (i poteri) di richiedere la documentazione sul trafficotelefonico e sul traffico di datiª. A causa della sua formulazione generica, ladisposizione solleva diversi dubbi quanto al relativo campo di applicazionemateriale e personale.

11. In primoluogo, il significato di ´documentazione sul traffico telefonico e sul trafficodi datiª non è del tutto chiara e va dunque precisata. Tale disposizionepotrebbe riferirsi alla documentazione sul traffico telefonico e di dati che irepertori di dati sulle negoziazioni sono tenuti a conservare nel corso delleloro attività. Numerose disposizioni della proposta riguardano i requisiti diconservazione della documentazione da parte dei repertori di dati ⁽¹³ ⁾, però nessuna di essespecifica se i repertori di dati sulle negoziazioni debbano conservare ladocumentazione sul traffico telefonico e sul traffico di dati, né quale siatale documentazione ⁽¹⁴ ⁾. Pertanto, nell'ipotesi in cui la disposizione faccia riferimentoalla documentazione in possesso dei repertori di dati sulle negoziazioni, èessenziale definire precisamente quali categorie di dati sul trafficotelefonico e sul traffico di dati devono essere conservate e possono essererichieste dall'ESMA. Conformemente al principio di proporzionalità, questi datidevono essere adeguati, pertinenti e non eccedenti rispetto alle finalità divigilanza per le quali vengono trattati ⁽¹⁵⁾.

12. Maggioreprecisione è richiesta in particolare nel caso di specie, in considerazionedelle pesanti ammende e delle penalità di mora che possono essere inflitte airepertori di dati sulle negoziazioni e ad altri soggetti interessati (compresepersone fisiche, nel caso delle penalità di mora) a seguito di violazioni delregolamento proposto (cfr. articoli 55 e 56). L'importo delle ammende puòarrivare al 20 per cento del reddito o del fatturato annuo realizzato dalrepertorio di dati sulle negoziazioni nell'esercizio precedente, ossia unasoglia doppia rispetto alla soglia prevista per le violazioni del dirittoeuropeo della concorrenza.

13. Va altresìrilevato che il succitato articolo 67, paragrafo 4, delega alla Commissione ipoteri di adottare standard tecnici di regolamentazione per specificare leinformazioni che i repertori di dati sulle negoziazioni saranno tenuti amettere a disposizione dell'ESMA e di altre autorità. Questa disposizione puòquindi essere utilizzata per specificare meglio i requisiti di conservazionedella documentazione da parte dei repertori di dati e quindi, indirettamente,anche i poteri di accesso alla documentazione sul traffico telefonico e sultraffico di dati conferiti all'ESMA. L'articolo 290 TFUE stabilisce che un attolegislativo può delegare alla Commissione il potere di adottare atti non legislatividi validità generale per integrare o modificare elementi non essenziali dell'attolegislativo. A parere del GEPD, la delimitazione esatta dei poteri di accessoai dati sul traffico non può essere considerata un elemento non essenziale delregolamento; pertanto, la delimitazione del campo di applicazione materiale delregolamento va inserita direttamente nel testo del regolamento e non può essererinviata ad atti delegati futuri.

14. Dubbisimili riguardano anche il campo di applicazione personale della proposta. Inparticolare, l'articolo 61, paragrafo, 2, lettera d), non indica i potenzialidestinatari di una richiesta di consegna della documentazione sul trafficotelefonico e sul traffico di dati. Più precisamente, non è chiaro se i poteridi richiedere la documentazione sul traffico telefonico e di dati sarebberolimitati ai soli repertori di dati sulle negoziazioni ⁽¹⁶ ⁾. Posto che lo scopo delladisposizione è di consentire all'ESMA di vigilare sui repertori di dati sullenegoziazioni, il GEPD è del parere che tale potere debba essere rigorosamentelimitato ai soli repertori di dati sulle negoziazioni.

15. Da ultimo, il GEPD assume che lo scopodell'articolo 61, paragrafo 2, lettera d), non sia di consentire all'ESMA diavere accesso ai dati sul traffico direttamente dai fornitori di servizi ditelecomunicazione. Questa appare la logica conclusione, specialmente in virtùdel fatto che la proposta non contiene alcun riferimento ai dati in possessodei fornitori di servizi di telecomunicazione né ai requisiti previsti dalla direttiva sulla e-privacy, come osservato nelprecedente punto 8 ⁽¹⁷⁾. Tuttavia, a fini dimaggiore chiarezza, il GEPD raccomanda che tale conclusione sia resa piùesplicita nell'articolo 61, paragrafo 2, o quanto meno in un considerando dellaproposta.

3.3. La proposta non specifica le circostanze néle condizioni per poter chiedere accesso

16. L'articolo61, paragrafo 2, lettera d), non indica in quali circostanze né a qualicondizioni è possibile chiedere accesso ai dati, né prevede importanti garanzieo tutele procedurali dal rischio di abusi. Nei paragrafi seguenti il GEPDpropone alcuni suggerimenti concreti in proposito.

a) A normadell'articolo 61, paragrafo 2), l'ESMA può chiedere accesso alla documentazionesul traffico telefonico e sul traffico di dati ´ai fini dell'esercizio dellefunzioni di cui agli articoli da 51 a 60 e degli articoli 62 e 63ª. Gliarticoli citati costituiscono l'intero titolo della proposta che disciplina laregistrazione e la vigilanza dei repertori di dati sulle negoziazioni. A pareredel GEPD, é necessario definire in termini più precisi le circostanze e le condizioniper l'esercizio di tali poteri. Il GEPD raccomanda di limitare l'accesso alladocumentazione sul traffico telefonico e sul traffico di dati alle violazionigravi e specificamente individuate del regolamento proposto e nei casi in cuisussista un ragionevole sospetto (da suffragare con concrete prove iniziali)che sia stata commessa una violazione. Questa limitazione è particolarmenteimportante al fine di evitare che i poteri di accesso possano essere usati peroperazioni di pesca o di data mining.

b) La propostanon prevede che l'ESMA debba richiedere un'autorizzazione giudiziale preventivaper avere accesso alla documentazione sul traffico telefonico e sul traffico didati. Il GEPD ritiene che l'introduzione di un simile requisito di carattere generalesia giustificata, vista la potenziale natura intrusiva dei poteri in parola. Vaaltresì considerato che la legislazione di alcuni Stati membri sanciscel'obbligatorietà di un'autorizzazione giudiziale preventiva per qualsiasi tipodi ingerenza nel segreto della corrispondenza, precludendo così ad altriorganismi responsabili dell'applicazione della legge (cioè alle forze dipolizia) e alle istituzioni amministrative una simile ingerenza in assenza diquesta forma rigorosa di vigilanza ⁽¹⁸ ⁾. Come minimo, il GEPDritiene inevitabile rendere obbligatoria la richiesta di un'autorizzazionegiudiziale ogniqualvolta essa sia prescritta dalla legislazione nazionale ⁽¹⁹⁾.

c) Il GEPDraccomanda di introdurre il requisito per cui l'ESMA possa richiedere ladocumentazione del traffico telefonico e del traffico di dati soltanto mediantedecisione formale che indichi specificamente la base giuridica e lo scopo dellarichiesta, nonché le informazioni richieste, i tempi entro cui devono esserefornite e il diritto del destinatario della richiesta di ricorrere contro ladecisione presso la Corte di giustizia. Qualsiasi richiesta priva di unadecisione formale non dovrà avere valore vincolante nei confronti deldestinatario.

d) Devonoessere previste idonee garanzie procedurali di tutela da possibili abusi. Inproposito, la proposta potrebbe richiedere alla Commissione l'adozione dimisure di attuazione che stabiliscano in dettaglio le procedure che i repertoridi dati sulle negoziazioni e l'ESMA devono seguire per il trattamento dei dati.In particolare, dette misure devono individuare idonee misure di sicurezza eopportune tutele dal rischio di abusi, compresi, in via non esclusiva, glistandard professionali cui dovranno attenersi le persone competenti a trattarequesti dati, nonché le procedure interne atte a garantire il rispetto dellenorme sulla riservatezza e il segreto professionale. Il GEPD si attende diessere consultato durante la procedura di adozione di queste misure.

3.4. Rilevanza del presente parere per altristrumenti legali contenenti disposizioni simili

17. I poteri delle autorità di vigilanza dichiedere accesso alla documentazione sul traffico telefonico e sul traffico didati non rappresentano una novità per la legislazione europea. Disposizioni intal senso sono già previste in varie direttive e regolamenti vigenti in materiafinanziaria. In particolare, la direttiva sugli abusi di mercato ⁽²⁰ ⁾, la direttiva MIFID ⁽^{21 )}, la direttiva OICVM ⁽²² ⁾ e il vigente regolamento sulleagenzie di rating del credito ⁽²³⁾ prevedono tuttidisposizioni di simile tenore. Lo stesso vale per alcune proposte adottate direcente dalla Commissione, ossia la proposta di direttiva sui gestori di fondidi investimento alternativi ⁽²⁴ ⁾, la proposta di regolamento che modifica il vigenteregolamento relativo alle agenzie di rating del credito ⁽²⁵⁾, la proposta di regolamento relativo alle vendite allo scoperto eai credit default swaps ⁽²⁶⁾ e la proposta diregolamento concernente l'integrità e la trasparenza del mercato dell'energia ⁽²⁷⁾.

18. Per quantoattiene a questi strumenti legislativi, vigenti e proposti, occorre distingueretra i poteri di indagine concessi alle autorità nazionali e la concessione ditali poteri alle autorità dell'Unione europea. Numerosi strumenti obbligano gliStati membri a concedere alle autorità nazionali i poteri di richiedere ladocumentazione sul traffico telefonico e sul traffico di dati ´in conformitàdella legislazione nazionaleª ⁽²⁸⁾. Ne consegue chel'effettivo adempimento di tale obbligo è necessariamente soggetto allalegislazione nazionale, comprese le norme di attuazione delle direttive95/46/CE e 2002/58/CE e altre leggi nazionali che prevedono ulteriori garanzieprocedurali per le autorità nazionali di vigilanza e indagine.

19. Nessunacondizione di tal genere è prevista dagli strumenti che concedono direttamentealle autorità dell'Unione europea i poteri di richiedere la documentazione sultraffico telefonico e sul traffico di dati, come nel caso della proposta suglistrumenti derivati OTC qui in esame e della succitata proposta di regolamentoche modifica il regolamento (CE) n. 1060/2009 sulle agenzie di rating delcredito (la ´proposta CRAª). Pertanto, in questi casi è ancor più necessariochiarire nello strumento legislativo stesso il campo di applicazione personalee materiale di tali poteri nonché le circostanze e le condizioni per il loroesercizio, e garantire l'attuazione di idonee tutele da abusi.

20. A taleriguardo, le osservazioni avanzate nel presente parere, per quanto mirate allaproposta sugli strumenti derivati OTC, hanno una rilevanza più generale. IlGEPD è consapevole del fatto che, per la legislazione già adottata o prossimaall'adozione, tali commenti possono essere tardivi. Nondimeno invita leistituzioni a riflettere sulla necessità di modificare le proposte pendenti alfine di tener conto dei timori espressi nel presente parere. Per quanto attieneai testi già adottati, il GEPD invita le istituzioni a verificare lepossibilità di chiarire le questioni, ad esempio laddove il campo diapplicazione della disposizione considerata possa essere specificatodirettamente o indirettamente in atti delegati o di esecuzione, come gli attiche definiscono in dettaglio i requisiti di conservazione dei dati, le noteinterpretative o altri documenti paragonabili ⁽²⁹ ⁾. Il GEPD si attende che laCommissione lo consulti al momento opportuno nel contesto di queste procedurecorrelate.

4. PROFILI ATTINENTI ALLA PROTEZIONE DEIDATI RELATIVI AD ALTRE PARTI DELLA PROPOSTA

21. Il GEPDritiene opportuno fare ulteriori osservazioni su altri punti della proposta cheriguardano il diritto alla vita privata e alla protezione dei dati dellepersone fisiche.

4.1. Applicabilità della direttiva 95/46/CE e delregolamento (CE) n. 45/2001

22. Ilconsiderando 48 afferma correttamente che è essenziale che gli Stati membri el'ESMA tutelino il diritto alla vita privata delle persone fisiche in caso ditrattamento di dati personali, in conformità della direttiva 95/46/CE. Il GEPDvaluta positivamente il richiamo alla direttiva contenuto nel considerando;tuttavia, il significato del considerando potrebbe essere chiarito specificandomeglio che le disposizioni del regolamento non pregiudicano le leggi nazionalidi attuazione della direttiva 95/46/CE. Sarebbe preferibile inserire taleriferimento anche in una disposizione sostanziale.

23. Inoltre, ilGEPD rileva che l'ESMA è un organo europeo soggetto al regolamento (CE) n.45/2001 e alla vigilanza da parte dello stesso GEPD. Si raccomanda pertanto diinserire un esplicito riferimento a tale regolamento e di precisare altresì chele disposizioni della proposta non pregiudicano il regolamento.

4.2. Limitazione delle finalità, necessità equalità dei dati

24. Una dellefinalità principali della proposta è rendere più trasparente il mercato deglistrumenti derivati OTC e migliorarne la vigilanza di tale mercato. Perconseguire questo obiettivo, la proposta obbliga le controparti finanziarie ele controparti non finanziarie che soddisfano determinate soglie a comunicare aun repertorio di dati registrato le informazioni relative a ogni contrattoderivato OTC da esse stipulato, nonché ogni modifica o cessazione del contrattostesso (articolo 6) ⁽³⁰ ⁾. Tali informazioni sono conservate dai repertori di dati sullenegoziazioni, i quali le mettono a disposizione delle diverse autorità a finidi regolamentazione (articolo 67) ⁽³¹⁾.

25. Qualora unadelle parti di un contratto di prodotti derivati soggetto ai summenzionatiobblighi di compensazione e segnalazione sia una persona fisica, leinformazioni che la riguardano costituiscono dati personali ai sensidell'articolo 2, lettera a), della direttiva 95/46/CE. L'adempimento degliobblighi citati si configura pertanto come trattamento di dati personali aisensi dell'articolo 2, lettera b), della direttiva 95/46/CE. Trattamenti didati personali (ad esempio, nomi e recapiti dei direttori delle società)possono verificarsi a norma degli articoli 6 e 67 anche nel caso in cui leparti contrattuali non siano persone fisiche. Le disposizioni della direttiva95/46/CE [o del regolamento (CE) n. 45/2001, ove pertinente] sarebbero quindiapplicabili alle operazioni qui in esame.

26. Unrequisito fondamentale previsto dalla normativa sulla protezione dei dati è chele informazioni possono essere trattate per finalità determinate, esplicite elegittime e non possono essere successivamente trattate in modo incompatibilecon tali finalità ⁽³² ⁾. I dati utilizzati per il raggiungimento delle finalità, inoltre,devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità. Dopoaver esaminato la proposta, il GEPD conclude che il sistema da essa prefiguratonon soddisfa tali requisiti.

27. Per quantoattiene alla limitazione delle finalità, va sottolineato che la proposta nonspecifica le finalità del sistema di segnalazione né, cosa ancor piùimportante, le finalità per le quali le autorità competenti di cui all'articolo67 della proposta possono accedere alle informazioni in possesso dei repertoridi dati sulle negoziazioni. Un riferimento generico alla necessità di renderepiù trasparente il mercato dei prodotti derivati OTC non è evidentemente sufficienteper dare attuazione al principio di limitazione delle finalità. Tale principioè ulteriormente messo in dubbio nell'articolo 20, paragrafo 3, della proposta,laddove si tratta del ´segreto professionaleª. Nella sua formulazione attuale,l'articolo sembra consentire l'utilizzo anche per vari altri scopi, nonchiaramente precisati, delle informazioni riservate ricevute a norma dellaproposta ⁽³³⁾.

28. Inoltre, laproposta non specifica il tipo di dati che saranno registrati, segnalati e acui si potrà avere accesso, compresi i dati personali di persone identificate oidentificabili. I succitati articoli 6 e 67 autorizzano la Commissione aprecisare ulteriormente in atti delegati il contenuto degli obblighi disegnalazione e conservazione dei dati. Pur comprendendo le esigenze praticheche motivano il ricorso a una simile procedura, il GEPD desidera sottolineareche, nella misura in cui le informazioni trattate ai sensi dei summenzionatiarticoli riguardano persone fisiche, le regole e le garanzie principali per laprotezione dei dati devono essere previste nella norma fondamentale.

29. Infine,l'articolo 6 della direttiva 95/46/CE e l'articolo 4 del regolamento (CE) n.45/2001 prescrivono che i dati personali debbano essere conservati in modo da consentirel'identificazione delle persone interessate per un arco di tempo non superiorea quello necessario al conseguimento delle finalità per le quali sono statirilevati. Il GEPD osserva che la proposta non fissa, in pratica, alcunalimitazione del periodo di conservazione dei dati personali potenzialmentetrattati ai sensi degli articoli 6, 27 e 67 della proposta. Gli articoli 27 e67 si limitano a stabilire che la documentazione pertinente sia conservata per almenodieci anni, ma questo è soltanto un periodo minimo di conservazione,palesemente in contrasto con i requisiti di cui alla normativa sulla protezionedei dati.

30. Sulla basedi quanto su esposto, il GEPD sollecita il legislatore a specificare quali datipersonali possano essere trattati a norma della proposta, a stabilire lefinalità per le quali i vari soggetti interessati possono trattare i datipersonali e a fissare un periodo di tempo preciso, necessario e proporzionatoper la conservazione dei dati ai fini del suddetto trattamento.

4.3. Ispezioni in loco

31. L'articolo61, paragrafo 2, lettera c), conferisce all'ESMA i poteri di effettuareispezioni in loco con o senza preavviso. Non è chiaro se tali ispezioni sianolimitate ai locali destinati a uso commerciale di un repertorio di dati sullenegoziazioni o se possano riguardare anche proprietà o immobili privati dipersone fisiche. L'articolo 56, paragrafo 1, lettera c), che attribuisce allaCommissione i poteri di infliggere, su richiesta dell'ESMA, penalità di mora aidipendenti di un repertorio di dati sulle negoziazioni o ad altre persone adesso legate per costringerle a sottoporsi a un'ispezione in loco dispostadall'ESMA a norma dell'articolo 61, paragrafo 2, può (involontariamente)suggerire altrimenti.

32. Senzaapprofondire ulteriormente questo punto, il GEPD raccomanda di limitare ipoteri di effettuare ispezioni in loco (nonché i collegati poteri di infliggerepenalità di mora ai sensi dell'articolo 56) soltanto ai locali destinati a usocommerciale di repertori di dati sulle negoziazioni e di altre persone giuridicheche siano sostanzialmente e chiaramente legate a detti repertori ⁽³⁴ ⁾. Qualora la Commissione fosse effettivamente intenzionata adautorizzare ispezioni di locali di persone fisiche non destinati a usocommerciale, tale intento va espresso chiaramente e vanno altresì previstirequisiti rigorosi per garantire il rispetto dei principi di necessità eproporzionalità (con particolare riguardo all'indicazione delle circostanze edelle condizioni per l'effettuazione di tali ispezioni).

4.4. Scambi di dati e principio di limitazionedelle finalità

33. Diversedisposizioni della proposta consentono ampi scambi di dati e informazioni tral'ESMA, le autorità competenti degli Stati membri e le autorità competenti dipaesi terzi (cfr. in particolare gli articoli 21, 23 e 62). I trasferimenti didati a paesi terzi possono avvenire anche quando una controparte centralericonosciuta o un repertorio di dati di un paese terzo forniscono servizi asoggetti riconosciuti nell'Unione europea. Nella misura in cui le informazionie i dati scambiati riguardano persone fisiche identificate o identificabili,trovano applicazione gli articoli 7-9 del regolamento (CE) n. 45/2001 e gliarticoli 25-26 della direttiva 95/46/CE, ove pertinente. In particolare, itrasferimenti a paesi terzi sono ammessi solo qualora in quei paesi siagarantito un livello di protezione adeguato o qualora trovi applicazione unadelle deroghe rilevanti previste dalla normativa sulla protezione dei dati. Afini di chiarezza, nel testo dovrebbe essere inserito un esplicito riferimentoal regolamento (CE) n. 45/2001 e alla direttiva 95/46/CE, per precisare chetali trasferimenti devono essere conformi alle norme applicabili previste,rispettivamente, dal regolamento o dalla direttiva.

34. Inconformità al principio di limitazione delle finalità ⁽³⁵⁾, il GEPD raccomanda altresì di fissare limiti precisi alletipologie di dati personali che si possono scambiare e di definire le finalitàper le quali i dati personali possono essere scambiati.

4.5. Responsabilità e obblighi di relazionare

35. L'articolo68 della proposta impone alla Commissione una serie di obblighi di relazionaresull'attuazione di vari elementi del regolamento proposto. Il GEPD raccomandadi prevedere anche l'obbligo a carico dell'ESMA di relazionare periodicamentesull'esercizio dei propri poteri di indagine e, in particolare, del potere dirichiedere la documentazione sul traffico telefonico e sul traffico di dati.Sulla base dei risultati della relazione, la Commissione dovrebbe essere ingrado di fare raccomandazioni, comprese, ove del caso, proposte di revisionedel regolamento.

5. CONCLUSIONI

36. La propostaconferisce all'ESMA i poteri di ´richiedere la documentazione sul trafficotelefonico e sul traffico di datiª ai fini dell'esercizio delle funzionicorrelate alla vigilanza dei repertori di dati sulle negoziazioni. Per poteressere considerati necessari e proporzionati, i poteri di richiedere ladocumentazione sul traffico telefonico e sul traffico di dati devono esserelimitati a quanto è opportuno per raggiungere l'obiettivo perseguito e nondevono eccedere quanto è necessario per ottenerlo. Nella sua versione attuale,la disposizione in esame non soddisfa questi requisiti perché è formulata intermini troppo ampi. In particolare, non sono sufficientemente specificati ilcampo di applicazione personale e materiale dei poteri né le circostanze e lecondizioni per il loro esercizio.

37. Leosservazioni avanzate nel presente parere, pur essendo indirizzate allaproposta sugli strumenti derivati OTC, sono rilevanti anche per l'applicazionedella normativa vigente nonché per altre proposte pendenti ed eventualiproposte future che contengano disposizioni simili. Ciò vale, in particolare,per il caso in cui i poteri in questione siano attribuiti, come nella propostaqui considerata, a un'autorità dell'Unione europea senza fare riferimento allecondizioni e procedure specifiche stabilite da norme nazionali (ad esempio, laproposta CRA).

38. Alla lucedi quanto sopra, il GEPD consiglia al legislatore di:

—specificare chiaramente le categorie di dati sul traffico telefonico e sultraffico di dati che i repertori di dati sulle negoziazioni sono tenuti aconservare e/o fornire alle autorità competenti. Tali dati devono essereadeguati, pertinenti e non eccedenti rispetto alle finalità per le qualivengono trattati,

— limitare i poteri di chiedere accessoalla documentazione sul traffico telefonico e sul traffico di dati ai repertoridi dati sulle negoziazioni,

—indicare in maniera esplicita che è escluso l'accesso al traffico telefonico eal traffico di dati direttamente dalle imprese di telecomunicazione,

—limitare l'accesso alla documentazione sul traffico telefonico e sul trafficodi dati a violazioni gravi e individuate del regolamento proposto, nonché aicasi in cui sussista un ragionevole sospetto (da suffragare con concrete proveiniziali) che sia stata commessa una violazione,

—chiarire che i repertori di dati sulle negoziazioni forniranno ladocumentazione sul traffico telefonico e sul traffico di dati soltanto inpresenza di una decisione formale che preveda, tra l'altro, il diritto diricorrere contro la decisione presso la Corte di giustizia,

—richiedere che la decisione non sia eseguita in assenza di una preventivaautorizzazione giudiziale rilasciata dall'autorità giudiziaria nazionale delloStato membro in questione (quanto meno laddove una simile autorizzazione èprescritta dalla legislazione nazionale),

—chiedere alla Commissione di adottare misure di attuazione che definiscano indettaglio le procedure da seguire, ivi incluse idonee misure di sicurezza egaranzie.

39. Per quantoattiene agli altri aspetti della proposta, il GEPD rimanda alle proprieosservazioni di cui alla sezione 4 del presente parere. In particolare, il GEPDconsiglia al legislatore di:

—inserire un riferimento alla direttiva 95/46/CE e al regolamento (CE) n.45/2001 quanto meno nei considerando della proposta, preferibilmente, però,anche in una disposizione sostanziale, per precisare che le disposizioni delregolamento proposto non pregiudicano né la direttiva né il regolamento,

—specificare il tipo di dati personali che possono essere trattati a norma dellaproposta in conformità del principio di necessità (specialmente in relazioneagli articoli 6 e 67), definire le finalità per le quali i dati personalipossono essere trattati dalle varie autorità/soggetti interessati nonchéstabilire periodi di tempo precisi, necessari e proporzionati per laconservazione dei dati ai fini del suddetto trattamento,

—limitare i poteri di effettuare ispezioni in loco in virtù dell'articolo 61,paragrafo 2, lettera c) e di infliggere penalità di mora in forza dell'articolo56 soltanto ai repertori di dati sulle negoziazioni e ad altre persone giuridichechiaramente e sostanzialmente legate ad essi,

—prevedere in maniera esplicita che i trasferimenti internazionali di datipersonali devono essere conformi alle pertinenti disposizioni del regolamento(CE) n. 45/2001 e della direttiva 95/46/CE, introdurre limitazioni chiare deltipo di dati personali che si possono scambiare e definire le finalità per lequali i dati personali possono essere scambiati.

Fatto aBruxelles, il 19 aprile 2011.

GiovanniBUTTARELLI

Garante europeo aggiunto della protezione dei dati

NOTE

( 1 ) GU L281 del 23.11.1995, pag. 31.

( 2 ) GU L 8del 12.1.2001, pag. 1.

( 3 )COM(2010) 484 definitivo.

( 4 )Regolamento (UE) n. 1092/2010 del Parlamento europeo e del Consiglio, del 24novembre 2010, relativo alla vigilanza macroprudenziale del sistema finanziarionell'Unione europea e che istituisce il Comitato europeo per il rischiosistemico, (GU L 331 del 15.12.2010, pag. 1).

( 5 )Regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio, del 24novembre 2010, che istituisce l'Autorità europea di vigilanza (Autoritàbancaria europea), modifica la decisione n. 716/2009/CE e abroga la decisione2009/78/CE della Commissione, (GU L 331 del 15.12.2010, pag.12).

( 6 )Regolamento (UE) n. 1094/2010 del Parlamento europeo e del Consiglio, del 24novembre 2010, che istituisce l'Autorità europea di vigilanza (Autorità europeadelle assicurazioni e delle pensioni aziendali e professionali), modifica ladecisione n. 716/2009/CE e abroga la decisione 2009/79/CE della Commissione,(GU L 331 del 15.12.2010, pag. 48).

( 7 )Regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio, del 24novembre 2010, che istituisce l'Autorità europea di vigilanza (Autorità europeadegli strumenti finanziari e dei mercati), modifica la decisione n. 716/2009/CEe abroga la decisione 2009/77/CE della Commissione, (GU L 331 del 15.12.2010,pag. 84).

( 8 ) Unprodotto derivato è un contratto finanziario legato al valore o allo statofuturo del sottostante cui si riferisce (ad esempio, l'andamento di tassi d'interesseo del valore di una valuta).

( 9 ) Dinorma, i dipendenti ai quali si può far risalire il traffico telefonico e didati, nonché destinatari e altri utenti interessati.

( 10 ) Cfr.articolo 6, paragrafo 1, della direttiva 2002/58/CE, (GU L 201 del 31.7.2002,pag. 45).

( 11 ) Cfr.articolo 15, paragrafo 1, della direttiva 2002/58/CE, nel quale si stabilisceche tali restrizioni devono costituire una misura necessaria, opportuna eproporzionata all'interno di una società democratica per la salvaguardia dellasicurezza nazionale (cioè della sicurezza dello Stato), della difesa, dellasicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento deireati, ovvero dell'uso non autorizzato del sistema di comunicazioneelettronica, come citato nell'articolo 13, paragrafo 1, della direttiva95/46/CE. A tal fine gli Stati membri possono tra l'altro adottare misurelegislative le quali prevedano che i dati siano conservati per un periodo ditempo limitato per i motivi enunciati nel presente paragrafo.

( 12 ) Cfr.,ad esempio, cause riunite C-92/09 e C-93/09, Volker und Markus Schecke GbR(C-92/09), Hartmut Eifert (C-92/09) contro Land Hessen, non ancorapubblicata nella Raccolta, punto 74.

( 13 ) Adesempio, nel considerando 44 si afferma che i repertori di dati sullenegoziazioni saranno sottoposti a requisiti rigorosi in materia diregistrazione e di gestione dei dati. L'articolo 66 specifica che i repertoridi dati sulle negoziazioni ´registrano immediatamente le informazioni ricevuteai sensi dell'articolo 6 e le conservano per almeno dieci anni a decorreredalla cessazione dei contratti interessati. Essi utilizzano procedure diconservazione dei dati rapide ed efficaci per documentare le modificheapportate alle informazioni registrate [sic]ª. Inoltre, l'articolo 67 prevedeche ´i repertori di dati sulle negoziazioni mettono le informazioni necessariea disposizioneª dell'ESMA e di varie altre autorità competenti.

( 14 )L'espressione ´documentazione del traffico telefonico e del traffico di datiªpuò potenzialmente comprendere una grande varietà di informazioni, inclusi ladurata, il momento e il volume di una comunicazione, il protocollo usato,l'ubicazione dell'apparecchiatura terminale del mittente/chiamante e delricevente, la rete sulla quale la comunicazione ha origine o termina, l'inizio,la fine e la durata di una connessione e persino l'elenco dei siti Internetvisitati e il contenuto delle comunicazioni tra essi, in caso di registrazione.Nella misura in cui si riferiscono a persone fisiche identificate oidentificabili, queste informazioni costituiscono dati personali.

( 15 ) Cfr.articolo 6, paragrafo 1, lettera c), della direttiva 95/46/CE e articolo 4,paragrafo 1, lettera c), del regolamento (CE) n. 45/2001. Va poi considerata lapossibilità di adottare specifiche misure di tutela per evitare la lettura e iltrattamento di dati destinati esclusivamente ad uso privato.

( 16 )L'articolo 56, paragrafo 1, lettera c), che autorizza la Commissione ainfliggere, su richiesta dell'ESMA, penalità di mora ad ogni persona dipendentedi un repertorio di dati sulle negoziazioni per costringerla a sottoporsi aun'indagine avviata dall'ESMA ai sensi dell'articolo 61, paragrafo 2, potrebbe(involontariamente) far concludere in senso diverso.

( 17 ) Comerilevato, la direttiva sulla e-privacy afferma il principio generale secondocui i dati sul traffico devono essere cancellati o resi anonimi quando non sonopiù necessari ai fini della trasmissione di una comunicazione. Questi datipossono essere trattati ulteriormente al solo scopo di fatturare einterconnettere pagamenti, ma soltanto fino alla fine del periodo nel quale lafattura può essere legalmente contestata o il pagamento può essere perseguito.Qualsiasi deroga a tale principio deve essere necessaria, opportuna eproporzionata all'interno di una società democratica per il perseguimento dispecifiche finalità di ordine pubblico, cioè per la salvaguardia dellasicurezza nazionale (ossia la sicurezza dello Stato), della difesa, dellasicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento deireati, ovvero dell'uso non autorizzato del sistema di comunicazioneelettronica.

( 18 ) Lacostituzione italiana, per esempio, stabilisce che qualsiasi ingerenza nelsegreto della corrispondenza, compreso l'accesso a dati sul traffico senza chesia rivelato il contenuto delle comunicazioni, debba essere disposta oautorizzata da un magistrato.

( 19 ) Unrequisito di tal genere è stato introdotto nella versione modificata dellaproposta sulle agenzie di rating del credito votata dal Parlamento europeo neldicembre 2010.

( 20 )Direttiva 2003/6/CE del Parlamento europeo e del Consiglio, del 28 gennaio2003, relativa all'abuso di informazioni privilegiate e alla manipolazione delmercato (abusi di mercato), (GU L 96 del 12.4.2003, pag. 16).

( 21 )Direttiva 2004/39/CE del Parlamento europeo e del Consiglio, del 21 aprile2004, relativa ai mercati degli strumenti finanziari, che modifica le direttive85/611/CEE e 93/6/CEE del Consiglio e la direttiva 2000/12/CE del Parlamentoeuropeo e del Consiglio e che abroga la direttiva 93/22/CEE del Consiglio, (GUL 145 del 30.4.2004, pag. 1).

( 22 )Direttiva 2009/65/CE del Parlamento europeo e del Consiglio, del 13 luglio2009, concernente il coordinamento delle disposizioni legislative,regolamentari e amministrative in materia di taluni organismi d'investimentocollettivo in valori mobiliari (OICVM), (GU L 302 del 17.11.2009, pag. 32).

( 23 )Regolamento (CE) n. 1060/2009 del Parlamento europeo e del Consiglio, del 16settembre 2009, relativo alle agenzie di rating del credito, (GU L 302 del17.11.2009, pag. 1).

( 24 )Proposta di direttiva del Parlamento europeo e del Consiglio, del 30 aprile2009, sui gestori di fondi di investimento alternativi, che modifica ledirettive 2004/39/CE e 2009/ä/EC, COM(2009) 207.

( 25 )Proposta di regolamento del Parlamento europeo e del Consiglio, del 2 giugno2010, recante modifica del regolamento (CE) n. 1060/2009 relativo alle agenziedi rating del credito, COM(2010) 289.

( 26 )Proposta di regolamento del Parlamento europeo e del Consiglio, del 15settembre 2010, relativo alle vendite allo scoperto e ai credit default swap, COM(2010)482.

( 27 )Proposta di regolamento del Parlamento europeo e del Consiglio concernentel'integrità e la trasparenza del mercato dell'energia, COM(2010) 726.

( 28 ) Cfr.,ad esempio, l'articolo 12, paragrafo 2, della direttiva sugli abusi di mercatocitata nella nota 20. Cfr. anche l'articolo 50 della direttiva MIFID, citatanella nota 21.

( 29 ) Adesempio, l'articolo 37 della proposta CRA autorizza la Commissione a modificaregli allegati al regolamento che stabiliscono in dettaglio i requisiti diconservazione della documentazione imposti alle agenzie di rating del credito;cfr. anche il considerando 10 della proposta CRA, relativo ai poteri dell'ESMAdi emettere e aggiornare linee guida non vincolanti su questioni concernentil'applicazione del regolamento CRA.

( 30 )L'articolo 6, paragrafo 4, della proposta delega alla Commissione i poteri distabilire i dettagli e il tipo di comunicazione per le diverse classi di strumentiderivati, specificando che tali comunicazioni devono contenere almeno: a) leparti del contratto e, se diverso, il titolare dei diritti e delle obbligazioniderivanti dal contratto, i quali devono essere opportunamente individuati; b)le principali caratteristiche del contratto, compresi il tipo di contratto, ilsottostante, la scadenza e il valore nozionale, che devono essere indicati.

( 31 ) Cfr.motivazioni, pag. 11. L'articolo 67 concretizza tutto ciò stabilendo che unrepertorio di dati sulle negoziazioni metterà le informazioni necessarie adisposizione di una serie di soggetti, cioè l'ESMA, le autorità competenti perla vigilanza delle imprese soggette all'obbligo di segnalazione, le autoritàcompetenti per la vigilanza delle controparti centrali e le banche centraliinteressate del SEBC.

( 32 ) Cfr.,ad esempio, il parere del GEPD del 6 gennaio 2010 sulla proposta di direttivadel Consiglio relativa alla cooperazione amministrativa nel settore fiscale,(GU C 101 del 20.4.2010, pag. 1).

( 33 ) L'articolo20, paragrafo 3, così recita: ´Fatti salvi i casi contemplati dal dirittopenale, le autorità competenti, l'ESMA, gli organismi o le persone fisiche ogiuridiche diversi dalle autorità competenti che ricevono informazioniriservate a norma del presente regolamento possono servirsene soltantonell'espletamento dei loro compiti e per l'esercizio delle loro funzioni, perquanto riguarda le autorità competenti nell'ambito di applicazione del presenteregolamento o, per quanto riguarda le altre autorità, organismi o personefisiche o giuridiche, per le finalità per cui le informazioni sono state lorofornite o nel contesto dei procedimenti amministrativi o giudiziarispecificamente connessi con l'esercizio di tali funzioni. Tuttavia, qualoral'ESMA, l'autorità competente o un'altra autorità, organismo o persona checomunica le informazioni vi acconsenta, l'autorità che riceve le informazionipuò utilizzarle per altri scopiª.

( 34 ) Unaprecisazione di questo tenore è stata inserita nella versione modificata dellaproposta CRA votata dal Parlamento europeo nel dicembre 2010.

( 35 ) Cfr.articolo 6, paragrafo 1, lettera b), della direttiva 95/46/CE e articolo 4,paragrafo 1, lettera b), del regolamento (CE) n. 45/2001.