Parere del Garante europeo della protezione dei dati sulla decisione 2011/141/UE della Commissione che modifica la decisione 2007/76/CE della Commissione sul Sistema di cooperazione per la tutela dei consumatori («CPCS») e sulla raccomandazione 2011/136/UE della Commissione relativa alle linee guida per l'applicazione delle norme sulla protezione dei dati nell'ambito del CPCS

Parere del Garante europeo della protezione dei dati sulla proposta di direttiva del Parlamento europeo e del Consiglio che modifica le direttive 89/666/CEE, 2005/56/CE e 2009/101/CE in materia di interconnessione dei registri centrali, commerciali e delle imprese

(Pubblicato sulla GUUE n. C 220 del 26.7.2011)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16,

vista la Carta dei diritti fondamentali dell’Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹⁾,

vista la richiesta di parere a norma dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ⁽² ⁾,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. Il 24 febbraio 2011 la Commissione europea ha adottato la proposta di direttiva del Parlamento europeo e del Consiglio che modifica le direttive 89/666/CEE, 2005/56/CE e 2009/101/CE in materia di interconnessione dei registri centrali, commerciali e delle imprese ⁽³⁾ («la proposta») e ha poi consultato il GEPD.

2. Il GEPD si compiace di essere stato consultato, come previsto dall’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, e che nel preambolo della proposta figuri un riferimento al presente parere.

1.1. Obiettivi della proposta

3. Scopo della proposta è rafforzare e facilitare lo scambio di informazioni e la cooperazione transfrontaliera tra i registri delle imprese nello Spazio economico europeo e migliorare così la trasparenza e l’attendibilità delle informazioni disponibili a livello transfrontaliero. Efficienti procedure di cooperazione amministrativa tra i registri delle imprese sono indispensabili per accrescere la fiducia nel mercato unico europeo attraverso la garanzia di un ambiente di lavoro più sicuro per i consumatori, i creditori e altri partner commerciali, nonché per ridurre gli oneri amministrativi e rafforzare la certezza del diritto. Migliorare le procedure di cooperazione amministrativa riguardanti i registri delle imprese in Europa è particolarmente importante nel quadro delle operazioni transfrontaliere di fusione, trasferimento di sede e aggiornamento della registrazione di succursali estere laddove i meccanismi di cooperazione siano carenti o limitati.

4. A tal fine la proposta intende modificare tre direttive esistenti come segue:

— le modifiche alla direttiva 2009/101/CE ⁽⁴⁾ sono volte a facilitare l’accesso transfrontaliero a informazioni ufficiali sulle imprese attraverso i) la creazione di una rete elettronica dei registri e ii) la definizione di un numero minimo comune di informazioni aggiornate da mettere a disposizione elettronicamente a terzi attraverso una piattaforma/un punto di accesso multilingue comune europeo,

— le modifiche alla direttiva 89/666/CEE ⁽⁵⁾ sono intese ad assicurare che il registro di un’impresa fornisca al registro delle sue succursali estere di tutta Europa informazioni aggiornate sullo stato dell’impresa; e, infine,

— le modifiche alla direttiva 2005/56/CE ⁽⁶⁾ mirano a migliorare le procedure di cooperazione amministrativa tra i registri delle imprese relativamente alle operazioni transfrontaliere di fusione.

1.2. Contesto della proposta

5. I registri delle imprese esistono in ogni Stato membro e sono organizzati a livello nazionale, regionale o locale. Nel 1968 sono state adottate disposizioni comuni al fine di stabilire norme minime per la pubblicità (registrazione e pubblicazione) delle informazioni sulle imprese ⁽⁷⁾. Dal 1 o gennaio 2007 gli Stati membri devono anche tenere registri elettronici delle imprese ⁽⁸⁾ e consentire ai terzi l’accesso al contenuto del registro online.

6. La cooperazione dei registri delle imprese dei diversi Stati membri è esplicitamente prevista da alcuni strumenti giuridici europei al fine di facilitare le operazioni transfrontaliere di fusione delle società di capitali ⁽⁹^{) e}di trasferimento della sede delle società europee (SE^{) (}¹⁰⁾ e delle società cooperative europee (SCE^{) (}¹¹ ).

7. Nel 1992 è stato istituito un meccanismo di cooperazione volontaria tra i registri delle imprese in Europa. A oggi il cosiddetto registro delle imprese europee («EBR») ⁽¹²⁾ riunisce i registri ufficiali delle imprese di 19 Stati membri e di sei altre giurisdizioni europee. Tra il 2006 e il 2009 l’EBR ha partecipato a un progetto di ricerca denominato BRITE ⁽¹³ ⁾, che aveva l’obiettivo di sviluppare una piattaforma tecnologica per rendere interoperabili i registri delle imprese di tutta Europa. La valutazione dell’impatto che accompagna la proposta spiega tuttavia che sussistono notevoli difficoltà per quanto riguarda l’ampliamento, il finanziamento e la governance dell’EBR: secondo la valutazione dell’impatto, il meccanismo di cooperazione esistente, nella sua forma attuale, non è del tutto soddisfacente per i potenziali utenti.

1.3. Sinergie con altre iniziative

8. La relazione che accompagna la proposta afferma che il portale europeo giustizia elettronica (e-Justice) ⁽¹⁴⁾ costituirà il principale punto di accesso alle informazioni di tipo legale, alle istituzioni giuridico-amministrative, ai registri, alle banche dati e ad altri servizi esistenti all’interno dell’Unione europea. Conferma altresì che la proposta va ad affiancarsi al progetto giustizia elettronica e attraverso il portale dovrebbe contribuire a facilitare l’accesso dei terzi alle informazioni sulle imprese.

9. Secondo la valutazione dell’impatto, un altro progetto di rilievo con potenziali sinergie è il Sistema d’informazione del mercato interno (IMI) ⁽¹⁵ ⁾. L’IMI è uno strumento elettronico concepito per sostenere la cooperazione amministrativa quotidiana fra le pubbliche amministrazioni nel contesto della direttiva sui servizi (2006/123/CE) e della direttiva sul riconoscimento delle qualifiche professionali (2005/36/CE). L’IMI è attualmente in fase di espansione e, secondo la valutazione dell’impatto, potrebbe sostenere l’applicazione di altre direttive, anche nel settore del diritto societario.

10. L’articolo 3 della proposta modifica la direttiva 2009/101/CE sotto diversi aspetti. Tra questi, due modifiche hanno particolare rilevanza per la protezione dei dati.

II. DISPOSIZIONI PERTINENTI DELLA PROPOSTA

2.1. Pubblicazione di informazioni tramite una piattaforma/un punto di accesso elettronico comune europeo

11. L’articolo 2 della direttiva 2009/101/CE, nella versione attualmente in vigore, impone già l’obbligo di rendere pubbliche alcune informazioni minime presso un registro delle imprese in ciascuno Stato membro per permettere ai terzi di verificare le informazioni riguardanti le imprese. Come spiegato al punto 1.2 supra, gli Stati membri devono anche tenere registri elettronici delle imprese e consentire ai terzi l’accesso al contenuto di tali registri online.

12. L’articolo 2 elenca undici atti e indicazioni di base sulle imprese da rendere disponibili al pubblico, tra cui:

— atto costitutivo, statuto e relative modifiche,

— capitale sottoscritto,

— documenti contabili,

— trasferimento della sede sociale,

— scioglimento della società; sentenza che dichiara la nullità della società; nomina dei liquidatori; chiusura della liquidazione, cancellazione dal registro.

13. Un aspetto importante dal punto di vista della protezione dei dati è che l’articolo 2 impone anche l’obbligo della pubblicità per quanto riguarda «la nomina, la cessazione dalle funzioni nonché le generalità» (la sottolineatura è dell’autore) delle persone che i) hanno il potere di rappresentare la società e/o ii) partecipano in altro modo «all’amministrazione, alla vigilanza o al controllo» della società.

14. La proposta non modifica l’elenco di informazioni cui si applica l’obbligo della pubblicità di cui all’articolo 2, né è nuovo l’obbligo imposto a ciascuno Stato membro di mettere a disposizione le informazioni elettronicamente. La novità della proposta è che le informazioni, finora rese disponibili in modo frammentato, spesso soltanto nelle lingue locali e tramite siti Internet locali, diventeranno facilmente accessibili attraverso una piattaforma/un punto di accesso comune europeo in un ambiente multilingue.

15. A tal fine, la proposta inserisce nella direttiva un nuovo articolo 3 bis, che dispone quanto segue: «Gli Stati membri assicurano che gli atti e le indicazioni di cui all’articolo 2 depositati presso il loro registro siano accessibili attraverso la piattaforma elettronica europea unica a chiunque ne faccia domanda da qualsiasi Stato membro». Per tutti gli altri dettagli la proposta prevede l’adozione di atti delegati.

2.2. Interoperabilità e interconnessione dei registri delle imprese: creazione di una rete elettronica

16. La proposta inserisce inoltre nella direttiva 2009/101/CE un nuovo articolo 4 bis, il quale dispone: «Gli Stati membri adottano le misure necessarie a garantire che i registri [delle imprese] siano interoperabili e formino una rete elettronica». Anche in questo caso è prevista l’adozione di atti delegati per la definizione degli altri dettagli.

2.3. Disposizioni in materia di protezione dei dati

17. In risposta alla necessità di protezione dei dati, la proposta inserisce nel testo di tutte e tre le direttive da modificare un articolo specifico, in forza del quale «[i]l trattamento dei dati personali effettuato nel quadro della […] direttiva è disciplinato dalla direttiva 95/46/CE».

III. OSSERVAZIONI E RACCOMANDAZIONI DEL GEPD

3.1. Introduzione: rispetto degli obblighi di trasparenza e di tutela della vita privata

18. Il GEPD condivide il parere della Commissione secondo cui i) l’uso delle tecnologie dell’informazione e della comunicazione può contribuire a rafforzare l’efficienza della cooperazione tra i registri delle imprese e ii) la maggiore accessibilità delle informazioni contenute nei registri delle imprese possono migliorare la trasparenza. Il GEPD sostiene pertanto gli obiettivi della proposta. Le sue osservazioni devono essere valutate alla luce di questo approccio costruttivo.

19. Al tempo stesso il GEPD rileva che la maggiore accessibilità comporta anche rischi più elevati per i dati personali. Per esempio, l’identificazione precisa del rappresentante di una società può essere agevolata se il suo indirizzo privato è reso pubblico, ma ciò potrebbe anche avere un impatto negativo sul diritto di tale persona alla protezione dei dati personali. Questa considerazione riguarda in particolare i dati personali messi ampiamente a disposizione su Internet in formato digitale e in più lingue attraverso una piattaforma/un punto di accesso europeo facilmente accessibile.

20. In un passato non troppo distante i dati personali contenuti nei registri delle imprese (per esempio il nome, l’indirizzo e l’esemplare della firma di un direttore) erano comunicati al pubblico in formato cartaceo e nella lingua locale, spesso soltanto a fronte di una richiesta presentata di persona all’ufficio del registro locale. È importante riconoscere che questa situazione è qualitativamente diversa dalla disponibilità dei dati in formato digitale tramite un punto di accesso elettronico nazionale. La messa a disposizione di dati personali attraverso una piattaforma/un punto di accesso facilmente accessibile da tutta Europa si spinge ancora oltre, e aumenta ulteriormente l’accessibilità delle informazioni nonché i rischi per la protezione dei dati personali degli interessati.

21. Tra i rischi per la tutela della vita privata (dovuti alla pronta disponibilità dei dati in formato digitale tramite un punto di accesso elettronico comune) si evidenziano il furto di identità e altre attività criminali, ma anche il rischio che le informazioni rese pubbliche siano raccolte illecitamente e utilizzate dalle imprese per finalità commerciali inizialmente non previste, in seguito alla definizione del profilo degli interessati. In assenza di opportune salvaguardie, le informazioni potrebbero anche essere vendute a terzi o associate ad altre informazioni e rivendute ai governi per usi occulti ed estranei alle finalità previste (per esempio per l’applicazione del diritto fiscale o altre indagini penali o amministrative) senza una base giuridica adeguata ⁽¹⁶ ⁾.

22. Per questi motivi occorre valutare con cura quali informazioni personali rendere disponibili tramite la piattaforma/il punto di accesso comune europeo e quali salvaguardie supplementari adottare ai fini della protezione dei dati, comprese misure tecniche volte a limitare le capacità di ricerca e di scaricamento dei dati e l’estrazione di dati.

3.2. Le salvaguardie essenziali per la protezione dei dati dovrebbero essere stabilite nella proposta stessa, non in atti delegati

23. Come rilevato ai punti 2.1 e 2.2 supra, i proposti articoli 3 bis e 4 bis della direttiva 2009/101/CE sono molto generici e prevedono l’adozione di atti delegati per la definizione di molte questioni fondamentali.

24. Pur riconoscendo l’esigenza di flessibilità, e di conseguenza anche la necessità di atti delegati, il GEPD fa notare che le salvaguardie necessarie per la protezione dei dati sono elementi essenziali da stabilire in modo chiaro e specifico nel testo della proposta di direttiva. In questo contesto non possono essere considerate «elementi non essenziali» da definire in successivi atti delegati, adottati a norma dell’articolo 290 del trattato sul funzionamento dell’Unione europea.

25. Pertanto a parere del GEPD le disposizioni della proposta relative alla protezione dei dati dovrebbero essere più specifiche e non limitarsi a rinviare alla direttiva 95/46/CE (cfr. punti da 3.4 a 3.13). Ulteriori disposizioni riguardanti l’applicazione di salvaguardie specifiche possono poi essere incluse in atti delegati, sulla base della consultazione del GEPD e, se necessario, delle autorità nazionali per la protezione dei dati (cfr. punti 3.5, 3.6, 3.8, 3.9, 3.10, 3.12 e 3.13 infra).

3.3. Altri elementi essenziali delle misure proposte dovrebbero essere chiariti nella proposta stessa e non lasciati agli atti delegati

26. La proposta non solo tace riguardo alle salvaguardie essenziali per la protezione dei dati; è altresì molto possibilista su altri aspetti. In particolare, rinvia agli atti delegati anche la definizione degli elementi essenziali delle modalità con cui i) realizzare l’interconnessione dei registri delle imprese e ii) rendere pubblici i dati.

27. La chiarezza su questi altri elementi essenziali della proposta è una condizione imprescindibile per l’adozione di salvaguardie adeguate per la protezione dei dati. Il GEPD raccomanda pertanto di definire tali elementi essenziali nella proposta di direttiva stessa (cfr. punti 3.4 e 3.5 infra).

3.4. Governance: ruoli, competenze e responsabilità dovrebbero essere chiariti nella proposta di direttiva

28. Al momento la proposta prevede l’adozione di atti delegati che specifichino le norme relative alla governance, alla gestione, al funzionamento e alla rappresentanza della rete elettronica ⁽¹⁷⁾.

29. Sebbene la valutazione dell’impatto e la relazione individuino alcune sinergie con l’IMI e il portale e-Justice, il testo della direttiva proposta lascia aperte diverse alternative per consentire la concretizzazione di alcune o di tutte queste sinergie, tra cui la ridefinizione dell’EBR, l’uso dell’IMI per determinati scambi di dati e/o l’uso del portale e-Justice come piattaforma/punto di accesso per la fornitura al pubblico delle informazioni contenute nei registri delle imprese.

30. Non sono escluse nemmeno altre possibilità, quali il lancio di una gara per aggiudicare il diritto di progettare e gestire la rete elettronica, o l’assunzione di un ruolo diretto da parte della Commissione nella progettazione e gestione del sistema. Anche i rappresentanti degli Stati membri potrebbero intervenire nella struttura della governance della rete elettronica.

31. Inoltre, sebbene la proposta, nella sua versione attuale, preveda un’«unica piattaforma elettronica europea» (la sottolineatura è dell’autore), non è escluso che il testo possa essere modificato in una fase successiva dell’iter legislativo per prevedere una struttura più decentrata.

32. Il GEPD osserva altresì che, sebbene l’attuale proposta non affronti specificamente la questione dell’interconnessione dei registri delle imprese con altre banche dati (per esempio, con i registri catastali o i registri civili), senza dubbio esiste la possibilità tecnica di realizzarla, come già avviene in alcuni Stati membri ⁽¹⁸⁾.

33. La scelta dell’una o dell’altra alternativa può determinare una struttura completamente diversa della governance della rete elettronica e dello strumento elettronico da usare per rendere pubbliche le informazioni. Ciò determina a sua volta ruoli e responsabilità diversi delle parti interessate, che si traducono in ruoli e responsabilità diversi anche sotto il profilo della protezione dei dati.

34. Al riguardo il GEPD sottolinea che in ogni situazione in cui siano trattati dati personali è fondamentale identificare correttamente il «responsabile del trattamento». Ciò è stato evidenziato anche dal gruppo di lavoro «articolo 29» nel parere 1/2010 sui concetti di «responsabile del trattamento» e «incaricato del trattamento» ⁽¹⁹⁾. La ragione principale per cui l’identificazione chiara e inequivocabile del responsabile del trattamento svolge un ruolo cruciale è che determina chi risponde dell’osservanza delle norme relative alla protezione dei dati ed è anche fondamentale per stabilire il diritto applicabile ⁽²⁰⁾.

35. Come indicato nel parere del gruppo di lavoro «articolo 29», «[s]e non è abbastanza chiaro chi deve fare cosa — ad es. se non è responsabile nessuno, o se vi sono molteplici potenziali responsabili —, vi è un ovvio rischio che succeda ben poco, se non addirittura niente, e che le disposizioni giuridiche rimangano lettera morta».

36. Il GEPD sottolinea che la chiarezza è particolarmente necessaria nelle situazioni che prevedono l’intervento di più soggetti in un rapporto di cooperazione. Ciò avviene spesso nell’ambito dei sistemi di informazione dell’UE destinati a fini pubblici, in cui la finalità del trattamento è stabilita dal diritto dell’Unione europea.

37. Per questi motivi il GEPD raccomanda di stabilire nel testo stesso della direttiva proposta, in modo specifico, chiaro e inequivocabile:

— se la rete elettronica sarà gestita dalla Commissione o da terzi e se avrà una struttura accentrata o decentrata

— i compiti e le responsabilità di ogni soggetto che partecipa al trattamento dei dati e alla governance della rete elettronica, compresi la Commissione, i rappresentanti degli Stati membri, i responsabili dei registri delle imprese negli Stati membri ed eventuali terzi; e

— la relazione tra il sistema elettronico previsto dalla proposta e altre iniziative , il portale e-Justice e l’EBR.

38. Dal punto di vista della protezione dei dati, queste indicazioni devono essere specifiche e inequivocabili anche nell’ottica di stabilire, in base alla proposta di direttiva stessa, se un particolare soggetto debba essere considerato «responsabile del trattamento» o «incaricato del trattamento».

39. In linea di principio la proposta dovrebbe contribuire esplicitamente a stabilire, come appare dall’attuale progetto nel suo insieme, che i responsabili dei registri delle imprese e l’operatore o gli operatori del sistema devono entrambi essere considerati responsabili del trattamento dei dati nell’ambito delle rispettive attività. Ciò detto, poiché allo stadio attuale la proposta non descrive la struttura della governance e non stabilisce chi sarà l’operatore del sistema elettronico, non si può escludere che una o più delle entità che in definitiva gestiranno il sistema a livello pratico agiranno in veste di incaricato del trattamento anziché di responsabile del trattamento. Ciò può verificarsi, in particolare, se tale attività è affidata a un terzo che opererà attenendosi rigorosamente alle istruzioni ricevute. Sembra che vi siano comunque molteplici responsabili del trattamento dei dati, cioè almeno uno in ciascuno Stato membro: le entità che mantengono i registri delle imprese. Il fatto che altre entità (private) possano intervenire in veste di operatori, «distributori» o altro non altera questo aspetto. In ogni caso occorre specificarlo nella proposta di direttiva al fine di garantire la chiarezza e la certezza del diritto.

40. Infine, ma non per questo meno importante, la proposta dovrebbe contenere anche una descrizione più precisa e completa delle responsabilità associate a tali ruoli. Per esempio, si dovrebbe descrivere il ruolo dell’operatore o degli operatori nel garantire che il sistema sia concepito in modo rispettoso della vita privata, nonché il loro ruolo di coordinamento per quanto riguarda gli aspetti attinenti alla protezione dei dati.

41. Il GEPD rileva che tutte queste precisazioni sono fondamentali anche per stabilire quali autorità di controllo sono competenti per quali operazioni di trattamento dei dati personali.

3.5. Il quadro e la base giuridica per i flussi di dati/le procedure di cooperazione amministrativa dovrebbero essere definiti nella proposta di direttiva

42. Sembra che, nella sua versione attuale, la rete elettronica non debba mettere tutte le informazioni contenute in ciascun registro delle imprese automaticamente a disposizione di tutti gli altri registri delle imprese in tutti gli altri Stati membri: la proposta prescrive soltanto l’interconnessione e l’interoperabilità di detti registri e, di conseguenza, stabilisce le condizioni per consentire l’accesso e lo scambio di informazioni in futuro. Per garantire la certezza del diritto la proposta dovrebbe chiarire se q.

43. Inoltre, la proposta non indica i flussi di dati/le procedure di cooperazione amministrativa che possono avere luogo tra i registri delle imprese interconnessi ^{( 2}¹ ⁾. Il GEPD comprende la necessità di prevedere una certa flessibilità per assicurare che il sistema possa essere adattato alle esigenze che potrebbero emergere in futuro. Ciò detto, a parere del GEPD è essenziale che la proposta stabilisca il quadro di riferimento per i flussi di dati e le procedure di cooperazione amministrativa che potranno avere luogo in futuro attraverso la rete elettronica. Ciò è particolarmente importante per garantire che i) ogni scambio di dati sia effettuato in forza di una solida base giuridica e che ii) siano previste salvaguardie adeguate per la protezione dei dati.

44. Secondo il GEPD, ogni scambio di dati o altra attività di trattamento dei dati che utilizzi la rete elettronica (per esempio la messa a disposizione di dati personali tramite la piattaforma/il punto di accesso comune) deve basarsi su un atto vincolante dell’UE che poggi su una solida base giuridica. Ciò dovrebbe essere chiaramente indicato nella proposta di direttiva ⁽²²⁾.

3.6. Anche altri aspetti fondamentali rinviati agli atti delegati dovrebbero essere definiti nella direttiva proposta

45. La proposta prevede inoltre l’adozione di atti delegati che specifichino quanto segue ^{( 2}³ ⁾:

— le condizioni di partecipazione alla rete elettronica applicabili ai paesi non appartenenti allo Spazio economico europeo

— le norme minime di sicurezza della rete elettronica; e

— la definizione di norme riguardo al formato, al contenuto e ai limiti di archiviazione e recupero degli atti e delle indicazioni che consenta lo scambio automatizzato dei dati.

46. Riguardo al primo e al secondo trattino, il GEPD ritiene che alcune salvaguardie essenziali debbano essere previste nella proposta di direttiva stessa (cfr. punti 3.12 e 3.13 infra). Ulteriori dettagli possono poi essere definiti in atti delegati.

47. Per quanto riguarda lo scambio automatizzato dei dati, il GEPD si compiace del fatto che la proposta preveda l’adozione di atti delegati per «la definizione di norme riguardo al formato, al contenuto e ai limiti di archiviazione e recupero degli atti e delle indicazioni che consenta lo scambio automatizzato dei dati».

48. Al fine di garantire maggiore chiarezza al riguardo, il GEPD raccomanda di indicare chiaramente nel testo stesso della direttiva proposta che la rete elettronica permette: i) lo scambio manuale specifico di dati, caso per caso, tra registri delle imprese (come previsto in un atto dell’UE, per esempio in caso di fusione o trasferimento di sede); e ii) il trasferimento automatizzato dei dati (come previsto in un atto dell’UE, per esempio in caso di aggiornamento delle informazioni nei registri delle succursali estere).

49. Per migliorare ulteriormente la chiarezza, il GEPD raccomanda altresì di modificare il testo proposto per l’articolo 4 bis, paragrafo 3, lettera i), della direttiva 2009/101/CE al fine di assicurare che gli atti delegati: i) tratteranno in modo esauriente lo scambio di dati sia manuale sia automatizzato; ii) comprenderanno tutte le operazioni di trattamento che possono riguardare dati personali (non solo l’archiviazione e il recupero); e iii) conterranno disposizioni specifiche relative alla protezione dei dati atte a garantire anche l’applicazione pratica delle garanzie pertinenti.

50. A titolo esemplificativo, l’articolo 4 bis, paragrafo 3, lettera i), potrebbe essere modificato come segue:

«i) il formato, il contenuto e i limiti di ogni operazione manuale o automatizzata di trattamento dei dati effettuata utilizzando la rete, ivi compresi il trasferimento, l’archiviazione e il recupero delle informazioni, nonché le disposizioni specifiche che possono risultare necessarie a garantire l’applicazione pratica delle salvaguardie relative alla protezione dei dati».

3.7. Le categorie di dati personali trattati dovrebbero essere specificate nella direttiva proposta

51. Come osservazione preliminare, il GEPD rileva che i nomi (ed eventualmente anche altre indicazioni, come gli indirizzi privati) dei rappresentanti delle società (e di altre persone che partecipano alla governance delle società) sono indubbiamente i dati personali più ovvi che possono essere trattati dalla rete elettronica e/o resi pubblici attraverso la piattaforma/il punto di accesso elettronico comune, ma non sono affatto le uniche informazioni personali conservate nei registri delle imprese.

52. Innanzitutto, anche alcuni atti elencati all’articolo 2 della direttiva 2009/101/CE (per esempio l’atto costitutivo, lo statuto e i documenti contabili) possono contenere dati personali. Tali dati possono comprendere, fra l’altro, il nome, l’indirizzo, l’eventuale numero di identificazione, la data di nascita e persino la scansione della firma manoscritta di diverse persone, tra cui i soci fondatori della società, gli azionisti, i rappresentanti legali, i contabili, i dipendenti o i notai.

53. In secondo luogo, anche i dati sull’impresa, se collegati al nome di una persona (per esempio un amministratore), possono essere considerati dati personali riguardanti tale persona. Per esempio, se i dati contenuti nel registro delle imprese indicano che una particolare persona fa parte del consiglio di amministrazione di un’impresa in corso di liquidazione, queste informazioni riguardano anche tale persona.

54. Per garantire la chiarezza in merito ai dati personali trattati, e per assicurare che la serie di dati trattati sia proporzionata agli obiettivi della proposta, il GEPD raccomanda di inserire le precisazioni indicate nel presente punto 3.7.

Occorre chiarire l’espressione «generalità delle persone» nel testo della direttiva proposta

55. L’articolo 2 della direttiva 2009/101/CE non definisce quali «generalità» degli interessati (rappresentanti dell’impresa e altre persone che partecipano alla governance della stessa) devono essere rese pubbliche.

56. Si evidenziano anzi differenze significative tra le varie versioni linguistiche della proposta anche per quanto riguarda la traduzione dell’espressione inglese «particulars of persons». Per esempio, in francese si legge «l’identité des personnes» (cioè l’identità delle persone), in italiano «le generalità delle persone» (cioè i dati personali, quali il nome e il cognome), in ungherese «személyek adatai» (cioè i dati delle persone), in olandese «de identiteit van de personen» (cioè l’identità delle persone) e in romeno «identitatea persoanelor» (cioè l’identità delle persone).

57. Inoltre in alcuni Stati membri gli indirizzi privati degli amministratori delle imprese e/o di altre persone, quali gli azionisti, sono abitualmente messi a disposizione del pubblico su Internet. In alcuni altri Stati membri tali informazioni non vengono invece rivelate dal registro delle imprese al quale sono fornite per motivi di riservatezza, ivi compreso il rischio di furto di identità.

58. Il GEPD raccomanda di modificare l’articolo 2 della direttiva 2009/101/CE al fine di chiarire quali dati personali, se necessari, oltre ai nomi degli interessati (rappresentanti dell’impresa e altre persone che partecipano alla governance dell’impresa) devono essere resi pubblici. A tal fine, occorre tenere conto della necessità di assicurare la trasparenza e l’accurata identificazione di dette persone, ma anche soppesare tale necessità e altre esigenze contrastanti, quali la tutela della vita privata degli interessati⁽²⁴⁾.

59. Qualora non si raggiunga un accordo a causa delle differenze fra le prassi nazionali, l’articolo 2 dovrebbe essere modificato in modo da stabilire almeno che devono essere messi a disposizione «il nominativo completo delle persone interessate e — se specificamente richiesto dal diritto nazionale — altri dati necessari per la loro identificazione». In tal modo sarà chiaro che spetta a ciascuno Stato membro decidere, nell’ambito del diritto nazionale, quali «generalità» oltre ai nomi, se necessario, devono essere rese pubbliche, e che eventuali altri dati personali dovranno essere messi a disposizione soltanto se necessario per l’identificazione delle persone interessate.

60. In alternativa, e considerato che l’articolo 2 elenca «un numero minimo di informazioni» anziché armonizzare completamente il contenuto dei registri delle imprese in tutta Europa, si potrebbe semplicemente sostituire l’espressione «generalità delle persone» («particulars of persons») con l’espressione «nominativo completo delle persone» («full names of persons»). Anche in questo caso spetterebbe a ciascuno Stato membro stabilire quali informazioni supplementari, se necessarie, desiderano rendere pubbliche.

Occorre chiarire l’espressione «partecipano all’amministrazione, alla vigilanza o al controllo»

61. L’articolo 2 della direttiva 2009/101/CE prescrive altresì che siano messe a disposizione informazioni riguardanti le persone che partecipano «all’amministrazione, alla vigilanza o al controllo» dell’impresa. In base a questa formulazione ampia non è del tutto chiaro se debbano essere rese pubbliche informazioni riguardanti gli azionisti, segnatamente gli azionisti i) che detengono una quota significativa, determinante o di controllo al di là di una determinata soglia o ii) che in virtù di azioni privilegiate, clausole contrattuali specifiche o altre disposizioni esercitano un controllo o un’influenza effettiva sull’impresa.

62. Il GEPD riconosce la necessità di una formulazione ampia che comprenda la grande varietà di strutture della governance delle società di capitali attualmente esistenti nei diversi Stati membri. Ciò detto, la certezza del diritto riguardo alle categorie di persone i cui dati possono essere resi pubblici è un elemento essenziale dal punto di vista della protezione dei dati. Il GEPD raccomanda pertanto di modificare l’articolo 2 della direttiva 2009/101/CE in modo da precisare quali dati personali degli azionisti, se necessario, devono essere resi pubblici. A tal fine, si dovrà effettuare anche un’analisi della proporzionalità alla luce della sentenza Schecke (cfr. supra).

Informazioni rese pubbliche al di là del minimo necessario; liste nere

63. Pur non imponendo lo scambio o la messa a disposizione di dati personali al di là degli obblighi minimi stabiliti all’articolo 2 della direttiva 2009/101/CE, la proposta non esclude la possibilità che gli Stati membri, se lo decidono, impongano ai rispettivi registri delle imprese di trattare o rendere pubblici altri dati personali e li mettano a disposizione anche tramite la piattaforma/il punto di accesso comune europeo e/o comunichino tali dati ai registri delle imprese in altri Stati membri.

64. La questione è particolarmente delicata per quanto riguarda le «liste nere». In alcuni paesi il registro elettronico di fatto funziona anche come una specie di «lista nera», e chiunque può effettuare ricerche al suo interno tramite un portale elettronico e reperire informazioni sui rappresentanti di imprese ai quali è stato interdetto l’esercizio dell’attività.

65. Per risolvere la questione il GEPD raccomanda di chiarire nella proposta se e in quale misura gli Stati membri possono rendere pubbliche maggiori informazioni tramite il portale comune e/o scambiare un maggior numero di dati tra loro sulla base delle rispettive legislazioni nazionali, qualora decidano di farlo. In tal caso, la valutazione rigorosa della proporzionalità (cfr. causa Schecke, citata supra) dovrà basarsi sul diritto nazionale e prendere in considerazione anche gli obiettivi del mercato interno.

66. Il GEPD propone inoltre di vincolare l’uso di tali poteri a un ruolo da assegnare alle autorità nazionali per la protezione dei dati, per esempio mediante consultazione.

67. Il GEPD sottolinea infine che, qualora fosse previsto un regime europeo che richieda specificamente tali «liste nere», ciò dovrebbe essere specificato nella direttiva proposta ⁽²⁵ ⁾.

3.8. Garanzie intese ad assicurare la limitazione delle finalità; salvaguardie contro la raccolta di dati, l’estrazione di dati, la combinazione di dati e le ricerche invasive

68. Il GEPD raccomanda di prevedere specificamente nella direttiva proposta che, in tutti i casi in cui i dati personali sono resi pubblici o condivisi in altro modo tra registri delle imprese, siano adottate opportune salvaguardie, in particolare contro la raccolta di dati, l’estrazione di dati, la combinazione di dati e le ricerche invasive, per assicurare che i dati personali messi a disposizione a fini di trasparenza non siano utilizzati per finalità diverse ed estranee ⁽²⁶⁾.

69. Il GEPD sottolinea in particolare la necessità di prendere in considerazione misure tecnologiche e organizzative basate sul principio della «privacy by design» (tutela della vita privata fin dalla progettazione, cfr. punto 3.14 infra). L’applicazione pratica di tali salvaguardie può essere definita in atti delegati, ma i principi dovrebbero essere enunciati nel testo della direttiva stessa.

3.9. Informazione degli interessati e trasparenza

70. Il GEPD raccomanda di inserire nella direttiva proposta una disposizione specifica che imponga di fornire agli interessati, in modo efficace e completo, informazioni ai sensi degli articoli 10 e 11 della direttiva 95/46/CE [e delle relative disposizioni del regolamento (CE) n. 45/2001, se applicabili]. A seconda della struttura della governance da definire e dei ruoli e delle responsabilità delle diverse parti interessate, la direttiva proposta potrebbe inoltre imporre specificamente all’operatore del sistema di assumere un ruolo proattivo nel fornire notifiche e altre informazioni agli interessati sul proprio sito Internet, anche «per conto dei» registri delle imprese. Ulteriori dettagli possono essere inseriti in atti delegati, se necessario, oppure stabiliti in una politica di protezione dei dati.

3.10. Diritti di accesso, rettifica e cancellazione

71. La proposta dovrebbe almeno includere un riferimento all’obbligo di elaborare (in atti delegati) le modalità per consentire agli interessati di far valere i loro diritti. Si dovrebbe anche fare riferimento alla possibilità di creare un modulo per la protezione dei dati e di adottare soluzioni basate sul concetto di «privacy by design» per la cooperazione fra le autorità in materia di diritti di accesso, oltre alla responsabilizzazione degli interessati, se pertinente.

3.11. Diritto applicabile

72. Considerato che anche la Commissione o un’altra istituzione/un altro organismo dell’UE potrebbe effettuare operazioni di trattamento di dati personali nella rete elettronica (per esempio se agisce in veste di operatore della rete o se recupera dati personali dalla stessa), andrebbe inserito un riferimento anche al regolamento (CE) n. 45/2001.

73. Occorre altresì precisare che la direttiva 95/46/CE si applica ai registri delle imprese e ad altri soggetti che operano negli Stati membri ai sensi delle legislazioni nazionali, mentre il regolamento (CE) n. 45/2001 si applica alla Commissione e alle altre istituzioni e organi dell’UE.

3.12. Trasferimento di dati personali verso paesi terzi

74. Per quanto riguarda il trasferimento di dati personali da parte del responsabile di un registro delle imprese nell’UE al responsabile di un registro delle imprese in un paese terzo che non fornisce un livello di protezione adeguato dei dati personali, il GEPD sottolinea innanzitutto che è importante distinguere fra due situazioni:

— il caso in cui i dati personali sono già disponibili in un registro pubblico (per esempio tramite la piattaforma/il punto di accesso comune europeo), e

— il caso in cui i dati personali non sono disponibili pubblicamente.

75. Nel primo caso, l’articolo 26, paragrafo 1, lettera f), della direttiva 95/46/CE ammette una deroga qualora «il trasferimento avvenga a partire da un registro pubblico», fatto salvo il rispetto di talune condizioni. Per esempio, se il responsabile di un registro delle imprese in un paese europeo desidera trasferire un particolare insieme di dati personali (per esempio relativi alla registrazione di succursali estere) al responsabile di un registro delle imprese in un paese terzo, e tali dati sono già disponibili pubblicamente, il trasferimento dovrebbe essere possibile in ogni caso, anche se il paese terzo in questione non fornisce un livello di protezione adeguato.

76. Nel secondo caso, il GEPD raccomanda di chiarire nella proposta che il trasferimento di dati che non sono disponibili pubblicamente a entità o persone in un paese terzo che non garantisce una protezione adeguata può avere luogo soltanto se il responsabile del trattamento presenta salvaguardie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi; tali salvaguardie possono segnatamente risultare da clausole contrattuali appropriate previste ai sensi dell’articolo 26, paragrafo 2, della direttiva 95/46/CE ⁽²⁷ ⁾. Nel caso in cui i trasferimenti di dati verso paesi terzi riguardino sistematicamente dati condivisi tra i registri delle imprese di due o più paesi dell’UE, o qualora sia comunque auspicabile un’azione a livello dell’UE, la negoziazione di clausole contrattuali può avere luogo anche a livello dell’UE (articolo 26, paragrafo 4).

77. Il GEPD sottolinea che altre deroghe, come quella prevista nel caso in cui «il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria» (articolo 26, lettera d)), non dovrebbero essere applicate per giustificare il trasferimento sistematico di dati verso paesi terzi tramite la rete elettronica.

3.13. Responsabilità e «privacy by design»

78. Il GEPD raccomanda che la proposta contenga un riferimento specifico al principio di responsabilità e ne promuova l’attuazione ⁽²⁸ ⁾, e stabilisca un chiaro quadro di riferimento per meccanismi interni e sistemi di controllo idonei ad assicurare il rispetto dell’obbligo di protezione dei dati e fornirne prova, per esempio mediante:

— una valutazione dell’impatto sulla vita privata (compresa un’analisi dei rischi per la sicurezza) prima di progettare il sistema

— l’adozione e l’aggiornamento, secondo la necessità, di una politica formale di protezione dei dati (disposizioni di attuazione), anche per quanto riguarda un piano per la sicurezza

— lo svolgimento di verifiche periodiche per valutare l’adeguatezza della politica di protezione e sicurezza dei dati e l’osservanza della stessa

— la pubblicazione (almeno parziale) dei risultati di tali verifiche per rassicurare le parti interessate in merito al rispetto dell’obbligo di protezione dei dati; e

— la notifica delle violazioni dei dati e di altri incidenti riguardanti la sicurezza.

79. Per quanto riguarda il concetto di «privacy by design» (tutela della vita privata fin dalla progettazione) ⁽²⁹ ⁾, la proposta dovrebbe contenere un riferimento specifico a questo principio e mirare anche a concretizzare l’impegno in azioni effettive. In particolare, la proposta dovrebbe prescrivere che la rete elettronica sia costruita in modo sicuro e affidabile, affinché integri automaticamente una vasta serie di salvaguardie per la tutela della vita privata. Alcuni esempi di salvaguardie basate sul concetto di «privacy by design» sono:

— un approccio decentrato in base al quale i dati sono archiviati soltanto in una fonte «principale» e ciascun «distributore» recupera i dati soltanto da tale fonte «principale» (per assicurare che le informazioni siano aggiornate)

— procedimenti automatici che individuino le incongruenze e le imprecisioni delle informazioni

— capacità di ricerca limitate per indicizzare soltanto dati che siano proporzionati e adeguati alla finalità perseguita

— altre salvaguardie per prevenire/limitare lo scaricamento di dati in blocco, l’estrazione di dati e le ricerche invasive e assicurare un’adeguata limitazione delle finalità; salvaguardie per prevenire o limitare la possibilità che terzi usino la funzione di ricerca per raccogliere dati ed elaborare profili di persone (per esempio un «captcha» ⁽³⁰⁾ o un obbligo di registrazione per il pagamento)

— funzionalità integrata nel sistema per consentire agli interessati di esercitare i loro diritti in modo semplice ed efficace; funzionalità integrate per consentire ai registri delle imprese di coordinarsi tra loro per quanto riguarda le richieste di accesso degli interessati

— procedure per gestire in modo sicuro e rispettoso della vita privata le informazioni sui richiedenti che hanno scaricato informazioni dal registro pubblico; e

— meccanismi di verifica/controllo a ritroso.

IV. CONCLUSIONI

80. Il GEPD sostiene gli obiettivi della proposta. Le sue osservazioni devono essere valutate alla luce di questo approccio costruttivo.

81. Il GEPD sottolinea che le salvaguardie necessarie per la protezione dei dati dovrebbero essere chiaramente specificate nel testo della direttiva stessa, in quanto le ritiene essenziali. Ulteriori disposizioni riguardanti l’applicazione di salvaguardie specifiche possono poi essere incluse in atti delegati.

82. Le questioni riguardanti la governance, i ruoli, le competenze e le responsabilità devono essere affrontate nella proposta di direttiva. A tal fine, la direttiva proposta dovrebbe stabilire:

— se la rete elettronica sarà gestita dalla Commissione o da terzi e se avrà una struttura accentrata o decentrata

— la relazione tra il sistema elettronico previsto dalla proposta e altre iniziative quali l’IMI, il portale e-Justice e l’EBR; e

— elementi specifici e inequivocabili per stabilire se un particolare soggetto debba essere considerato «responsabile del trattamento» o «incaricato del trattamento».

83. Ogni attività di trattamento dei dati che utilizzi la rete elettronica dovrebbe basarsi su uno strumento giuridico vincolante, quale un atto specifico dell’Unione che poggi su una solida base giuridica. Ciò dovrebbe essere chiaramente indicato nella direttiva proposta. 84. Le disposizioni relative al diritto applicabile dovrebbero essere chiarite e includere un riferimento al regolamento (CE) n. 45/2001.

85. Per quanto riguarda il trasferimento di dati personali verso paesi terzi, la proposta dovrebbe chiarire che in linea di principio, fatta eccezione per i casi di cui all’articolo 26, paragrafo 1, lettera f), della direttiva 95/46/CE, il trasferimento a entità o persone in un paese terzo che non fornisce una protezione adeguata può avere luogo soltanto se il responsabile del trattamento presenta salvaguardie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti corrispondenti. Tali salvaguardie possono segnatamente risultare da clausole contrattuali appropriate previste ai sensi dell’articolo 26 della direttiva 95/46/CE.

86. La Commissione dovrebbe inoltre valutare con cura quali misure tecniche e organizzative adottare per assicurare che la tutela della vita privata e la protezione dei dati siano integrate nell’architettura della rete elettronica («privacy by design») e che esistano controlli idonei a garantire il rispetto dell’obbligo di protezione dei dati e fornirne prova («responsabilità»).

87. Altre raccomandazioni del GEPD:

— la direttiva proposta dovrebbe precisare che la rete elettronica dovrebbe permettere i) da un lato, lo scambio manuale specifico di dati tra registri delle imprese; e ii) dall’altro, il trasferimento automatizzato dei dati. La proposta dovrebbe inoltre essere modificata al fine di assicurare che gli atti delegati i) tratteranno in modo esauriente lo scambio di dati sia manuale sia automatizzato; ii) comprenderanno tutte le operazioni di trattamento che possono riguardare dati personali (non solo l’archiviazione e il recupero); e iii) conterranno disposizioni specifiche relative alla protezione dei dati atte a garantire l’applicazione pratica delle pertinenti salvaguardie

— la proposta dovrebbe modificare l’articolo 2 della direttiva 2009/101/CE al fine di chiarire quali dati personali, se necessari, oltre ai nomi degli interessati devono essere resi pubblici. Occorre altresì precisare se devono essere messi a disposizione dati riguardanti gli azionisti. A tal fine, si dovrà tenere conto della necessità di assicurare la trasparenza e la corretta identificazione di dette persone, ma anche soppesare tale necessità e altri interessi contrastanti, quali l’esigenza di tutelare il diritto degli interessati alla protezione dei dati personali che li riguardano

— si dovrebbe chiarire nella proposta se gli Stati membri possono rendere pubbliche maggiori informazioni tramite il portale comune (e/o scambiare un maggior numero di dati tra loro) sulla base delle rispettive legislazioni nazionali, prevedendo salvaguardie supplementari per la protezione dei dati

— la direttiva proposta dovrebbe prevedere specificamente che i dati personali messi a disposizione a fini di trasparenza non siano utilizzati per finalità diverse ed estranee e che al riguardo saranno adottate misure tecnologiche e organizzative basate sul principio della «privacy by design»;

— la proposta dovrebbe inoltre prevedere salvaguardie specifiche per quanto concerne l’informazione degli interessati, nonché l’obbligo di stabilire in atti delegati le modalità per consentire agli stessi di far valere i loro diritti.

Fatto a Bruxelles, il 6 maggio 2011.

Giovanni BUTTARELLI

Garante europeo aggiunto della protezione dei dati

NOTE

( 1 ) GU L 281 del 23.11.1995, pag. 31.

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) L’espressione «registri centrali, commerciali e delle imprese» è sostituita in tutto il presente parere dalla forma abbreviata «registri delle imprese».

( 4 ) Direttiva 2009/101/CE del Parlamento europeo e del Consiglio, del 16 settembre 2009, intesa a coordinare, per renderle equivalenti, le garanzie che sono richieste, negli Stati membri, alle società a mente dell’articolo 48, secondo comma, del trattato, per proteggere gli interessi dei soci e dei terzi (GU L 258 dell’1.10.2009, pag. 11).

( 5 ) Undicesima direttiva 89/666/CEE del Consiglio, del 21 dicembre 1989, relativa alla pubblicità delle succursali create in uno Stato membro da taluni tipi di società soggette al diritto di un altro Stato (GU L 395 del 30.12.1989, pag. 36).

( 6 ) Direttiva 2005/56/CE del Parlamento europeo e del Consiglio, del 26 ottobre 2005, relativa alle fusioni transfrontaliere delle società di capitali (GU L 310 del 25.11.2005, pag. 1).

( 7 ) Direttiva 2009/101/CE, citata supra. L’articolo 1 limita l’ambito di applicazione delle disposizioni della direttiva alle «società per azioni, società in accomandita per azioni, società a responsabilità limitata».

( 8 ) Direttiva 2003/58/CE del Parlamento europeo e del Consiglio, del 15 luglio 2003, che modifica la direttiva 68/151/CEE del Consiglio per quanto riguarda i requisiti di pubblicità di taluni tipi di società (GU L 221 del 4.9.2003, pag. 13).

( 9 ) Direttiva 2005/56/CE, citata supra.

( 10 ) Regolamento (CE) n. 2157/2001 del Consiglio, dell’8 ottobre 2001, relativo allo statuto della Società europea (SE) (GU L 294 del 10.11.2001, pag. 1).

( 11 ) Regolamento (CE) n. 1435/2003 del Consiglio, del 18 Agosto 2003, relativo allo statuto della Società cooperativa europea (SCE) (GU L 207 del 18.8.2003, pag. 1).

( 12 ) http://www.ebr.org/

( 13 ) http://www.briteproject.eu

( 14 ) https://e-justice.europa.eu/home.do

( 15 ) http://ec.europa.eu/internal_market/imi-net/index_it.html

( 16 ) Esiste infatti un mercato in espansione costituito dalla vendita di questo tipo di informazioni sulle imprese: i fornitori di servizi attivi su questo mercato assegnano punti all’affidailità delle imprese/persone sulla base di informazioni reperite da molte fonti, tra cui i registri delle imprese, i registri dei tribunali, i registri fallimentari, ecc.

( 17 ) Cfr. il testo proposto per l’articolo 4 bis, paragrafo 3, lettera a), della direttiva 2009/101/CE.

( 18 ) Considerato che tale interconnessione al momento non è prevista dalla proposta, il GEPD non esaminerà ulteriormente la questione nel suo parere allo stadio attuale. Richiama nondimeno l’attenzione sul fatto che, qualora l’interconnessione dovesse essere contemplata, potrebbe essere necessario condurre un’analisi distinta della proporzionalità e adottare ulteriori adeguate salvaguardie per la protezione dei dati.

( 19 ) Cfr. articolo 2, lettere d) ed e), della direttiva 95/46/CE e regolamento (CE) n. 45/2001, nonché il parere 1/2010 del gruppo di lavoro «articolo 29», del 16 febbraio 2010, sui concetti di «responsabile del trattamento» e «incaricato del trattamento» (WP169).

( 20 ) Considerato che le norme relative alla protezione dei dati non sono completamente armonizzate in tutta Europa, l’identità del responsabile del trattamento è fondamentale per stabilire il diritto nazionale applicabile. È altresì rilevante per determinare se si applichi la direttiva 95/46/CE o il regolamento (CE) n. 45/2001: se la Commissione è (anche) responsabile del trattamento, è applicabile (anche) il regolamento (CE) n. 45/2001, come spiegato al punto 3.11 infra.

( 21 ) Fatta eccezione, in certa misura, per lo scambio di dati nel quadro di operazioni transfrontaliere di fusione, trasferimento di sede e aggiornamento delle informazioni sulle succursali, che sono trattate specificamente nella proposta.

( 22 ) In questo contesto, se sussiste una potenziale necessità di trattamento di dati in un settore del mercato interno non contemplato da un atto specifico dell’Unione, il GEPD invita a svolgere un’ulteriore riflessione sulle modalità di un quadro giuridico che permetta di inserire nella direttiva proposta e in altri atti delegati, eventualmente in combinato disposto con le norme generali del trattato, disposizioni specifiche che stabiliscano una base giuridica adeguata dal punto di vista della protezione dei dati. Nella proposta di direttiva occorre inoltre indicare se i registri delle imprese possono usare la rete elettronica e il punto di accesso comune per scambiare o rendere pubblici dati personali non previsti in un atto dell’Unione, ma permessi o prescritti dal diritto nazionale.

( 23 ) Cfr. il testo proposto per l’articolo 4 bis, paragrafo 3, della direttiva 2009/101/CE.

( 24 ) La valutazione della proporzionalità va effettuata, in particolare, tenendo conto dei criteri stabiliti dalla Corte di giustizia dell’Unione europea nella causa Schecke e Eifert (sentenza della Corte del 9 novembre 2010, cause riunite C-92/09 e C-93/09; cfr., in particolare, i punti 81, 65 e 86). Nella causa Schecke, la Corte ha sottolineato che le deroghe e le limitazioni alla protezione dei dati personali devono operare nei limiti dello stretto necessario. Secondo la Corte, le istituzioni dovrebbero inoltre esaminare diverse modalità di pubblicazione al fine di individuarne una che sia conforme all’obiettivo della pubblicazione pur essendo meno lesiva del diritto degli interessati al rispetto della vita privata, in generale, e alla protezione dei dati personali, in particolare.

( 25 ) Considerato che ciò al momento non è previsto dalla proposta, il GEPD non esaminerà ulteriormente la questione nel suo parere allo stadio attuale. Richiama nondimeno l’attenzione sul fatto che, qualora tale regime dovesse essere contemplato, potrebbe essere necessario condurre un’analisi distinta della proporzionalità e adottare ulteriori adeguate salvaguardie per la protezione dei dati.

( 26 ) Cfr. articolo 6, paragrafo 1, lettera b), della direttiva 95/46/CE e regolamento (CE) n. 45/2001.

( 27 ) Se è possibile che in alcuni casi la Commissione sia fra i soggetti autorizzati a trasferire dati verso paesi terzi, si dovrebbe menzionare anche l’articolo 9, paragrafi 1 e 7, del regolamento (CE) n. 45/2001.

( 28 ) Cfr. punto 7 del parere del GEPD sulla comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni «Un approccio globale alla protezione dei dati personali nell’Unione europea», adottato il 14 gennaio 2011, reperibile all’indirizzo: http://www.edps. europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/ Consultation/Opinions/2011/11-01-14_Personal_Data_Protection_ EN.pdf

( 29 ) Idem.

( 30 ) Un «captcha» è un tipo di test basato su domande e risposte che viene usato nei sistemi informatici per tentare di assicurare che la risposta non sia generata da un computer.