Parere del Garante europeo della protezione dei dati sulla proposta di regolamento del Parlamento europeo e del Consiglio che istituisce un'ordinanza europea di sequestro conservativo su conti bancari per facilitare il recupero transfrontaliero dei crediti in materia civile e commerciale

Parere del Garante europeo della protezione dei dati sullaproposta di regolamento del Parlamento europeo e del Consiglio che istituisceun'ordinanza europea di sequestro conservativo su conti bancari per facilitareil recupero transfrontaliero dei crediti in materia civile e commerciale

(Pubblicato sulla GUUE n. C 373 del 21.12.2011)

IL GARANTE EUROPEO DELLA PROTEZIONEDEI DATI,

visto il trattato sul funzionamentodell’Unione europea, in particolare l’articolo 16,

vista la Carta dei dirittifondamentali dell’Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati ⁽¹⁾,

vista la richiesta di parere a normadell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati ⁽²⁾,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. Il 25 luglio 2011 la Commissioneha adottato la proposta di regolamento del Parlamento europeo e del Consiglioche istituisce un’ordinanza europea di sequestro conservativo su conti bancari(di seguito «OESC») per facilitare il recupero transfrontaliero dei crediti inmateria civile e commerciale ⁽³⁾.

2. Conformemente all’articolo 28,paragrafo 2, del regolamento (CE) n. 45/2001, il giorno stesso dell’adozione laproposta è stata inviata al GEPD. Prima dell’adozione della proposta il GEPDera stato consultato in modo informale. Il Garante ha accolto con favore taleconsultazione informale ed è lieto di constatare che quasi tutte le sueosservazioni sono state prese in considerazione nella versione definitiva dellaproposta.

3. Nel presente parere il GEPDfornisce una breve descrizione e un’analisi degli aspetti della propostariguardanti la protezione dei dati.

II. ASPETTI DELLAPROPOSTA RIGUARDANTI LA PROTEZIONE DEI DATI

II.1. Le attività di trattamento deidati nell’ambito del regolamento proposto

4. Il regolamento proposto istituiràuna procedura europea per un provvedimento cautelare che consentirà alcreditore («il ricorrente») di ottenere un’ordinanza europea di sequestroconservativo su conti bancari (di seguito «OESC») per evitare il ritiro o iltrasferimento delle somme detenute dal debitore («il convenuto») in un contobancario ubicato nell’UE. La proposta intende migliorare la situazione attualein cui, a causa di un procedimento «complesso, lungo e costoso», i debitoripossono facilmente sottrarsi a provvedimenti di esecuzione trasferendorapidamente il proprio denaro da un conto bancario in uno Stato membro a unaltro ⁽⁴⁾.

5. Ai sensi del regolamento proposto,i dati personali sono oggetto di trattamento in vari modi e sono trasferiti tradiversi soggetti. Si opera un’importante distinzione tra due situazioni. Inprimo luogo, la situazione in cui un’OESC è richiesta prima dell’inizio di unprocedimento giudiziario o in cui una decisione giudiziaria, una transazionegiudiziaria o un atto pubblico non sono ancora stati dichiarati esecutivi nelloStato membro dell’esecuzione ⁽⁵⁾. In secondo luogo, lasituazione in cui un’OESC è richiesta dopo aver ottenuto una decisionegiudiziaria, una transazione giudiziaria o un atto pubblico che sono esecutivi.

6. Nel primo caso, i dati personalidel ricorrente e del convenuto (dati di identificazione, informazioni sul contobancario del convenuto, descrizione delle circostanze pertinenti e prove delcomportamento) sono forniti dal ricorrente all’autorità giudiziaria nazionalepresso la quale deve essere avviato il procedimento di merito in conformitàdelle norme di competenza applicabili. La domanda è presentata con il modulo dicui all’allegato I della proposta (cfr. articolo 8 della proposta).

7. Nel secondo caso, il ricorrentetrasmette i dati personali del convenuto (dati di identificazione, informazionisul conto bancario del convenuto e copia della decisione giudiziaria, dellatransazione giudiziaria o dell’atto pubblico) all’autorità giudiziaria che hareso la decisione giudiziaria o approvato la transazione giudiziaria oppure,nel caso di un atto pubblico, all’autorità competente dello Stato membro in cuiè stato redatto l’atto pubblico o direttamente all’autorità competente delloStato membro dell’esecuzione. La domanda è presentata con il modulo di cuiall’allegato I della proposta (cfr. articolo 15).

8. In entrambi i casi, il ricorrentedeve fornire tutte le informazioni relative al convenuto e al suo conto o aisuoi conti bancari affinché la banca o le banche possano identificare ilconvenuto e il suo conto o i suoi conti bancari (cfr. articolo 16 dellaproposta). Per le persone fisiche, tali informazioni comprendono il nome peresteso del convenuto, il nome della banca, il numero del conto o dei contibancari, l’indirizzo completo del convenuto e la sua data di nascita o ilnumero d’identità nazionale o del passaporto. Tutto ciò è specificato nelmodulo di cui all’allegato I (cfr. punto 4.7 dell’allegato I). I datifacoltativi da inserire nel modulo sono il numero di telefono e l’indirizzo diposta elettronica del convenuto (cfr. punto 3 dell’allegato I).

9. Qualora non disponga delleinformazioni sul conto bancario del convenuto, il ricorrente può richiedere chel’autorità competente dello Stato membro dell’esecuzione ottenga leinformazioni necessarie ai sensi dell’articolo 17 della proposta. La richiestadeve essere presentata con la domanda di OESC e deve riportare «tutte leinformazioni di cui dispone il ricorrente» relative al convenuto e ai suoiconti bancari (cfr. articolo 17, paragrafi 1 e 2). L’autorità giudiziaria ol’autorità emittente emette l’OESC e la trasmette all’autorità competente delloStato membro dell’esecuzione, la quale si avvale di «tutti i mezzi opportuni eragionevoli a disposizione nello Stato membro dell’esecuzione per ottenere leinformazioni» (articolo 17, paragrafi 3 e 4). I modi per ottenere informazionisono uno dei seguenti: obbligare tutte le banche del territorio a rendere notose il convenuto abbia un conto depositato presso di loro e accessodell’autorità competente alle informazioni, se detenute da autorità oamministrazioni pubbliche in registri o altrove (articolo 17, paragrafo 5).

10. All’articolo 17, paragrafo 6, siprecisa che le informazioni di cui all’articolo 17, paragrafo 4, sono«proporzionate alla finalità di identificare il conto o i conti bancari delconvenuto, sono pertinenti e non eccessive e devono limitarsi: a) all’indirizzodel convenuto, b) alla banca o alle banche presso cui sono depositati i contidel convenuto, c) al numero del conto o dei conti bancari del convenuto».

11. Alcune disposizioni dellaproposta comportano lo scambio transfrontaliero di informazioni, tra cui datipersonali. Il trasferimento dell’OESC dall’autorità giudiziaria o dall’autoritàemittente all’autorità competente dello Stato membro dell’esecuzione èeffettuato con il modulo di cui all’allegato II della proposta (cfr. articoli21 e 24 della proposta). Tale modulo contiene un minor numero di informazionisul convenuto, in quanto non vi figurano la data di nascita, il numerod’identità nazionale o del passaporto, il numero di telefono o l’indirizzo diposta elettronica del convenuto. In base alle diverse fasi descritte nelregolamento proposto, ciò sembra dovuto al fatto che il numero del conto o deiconti bancari del convenuto sia già stato accertato al di là di qualsiasidubbio o che tali informazioni debbano ancora essere reperite dall’autoritàcompetente dello Stato membro dell’esecuzione a norma dell’articolo 17 dellaproposta.

12. L’articolo 20 riguarda lacomunicazione e la cooperazione tra autorità giudiziarie. Le informazioni sututte le circostanze pertinenti possono essere richieste direttamente o tramitei punti di contatto della rete giudiziaria europea in materia civile ecommerciale istituita con decisione 2001/470/CE ⁽⁶⁾.

13. Entro tre giorni lavorativi dalricevimento di un’OESC, la banca informa l’autorità competente dello Statomembro dell’esecuzione e il ricorrente, con il modulo di cui all’allegato IIIdella proposta (cfr. articolo 27). Tale modulo richiede le stesse informazionisul convenuto del modulo di cui all’allegato II. L’articolo 27, paragrafo 3,dispone che la banca può trasmettere la dichiarazione con mezzi dicomunicazione elettronici sicuri.

II.2. Obblighi in materia diprotezione dei dati

14. Le varie attività di trattamentodei dati personali previste dal regolamento proposto devono essere effettuatenel dovuto rispetto delle disposizioni in materia di protezione dei dati di cuialla direttiva 95/46/CE e alla normativa nazionale adottata per il suorecepimento. Il GEPD constata con soddisfazione che ciò è evidenziato alconsiderando 21 e all’articolo 46, paragrafo 3, della proposta. Il Garanteaccoglie inoltre con favore il riferimento agli articoli 7 e 8 della Carta suidiritti fondamentali dell’Unione europea di cui al considerando 20 dellaproposta.

15. Alcune informazioni sulricorrente e sul convenuto sono indispensabili per il corretto funzionamentodell’OESC. Le disposizioni in materia di protezione dei dati impongono di usaresoltanto le informazioni effettivamente necessarie e proporzionateall’obiettivo perseguito. Il GEPD è lieto di constatare che la Commissione hatenuto in seria considerazione la proporzionalità e la necessità deltrattamento dei dati personali ai fini della proposta in esame.

16. Ciò è illustrato innanzituttodall’elenco limitato di informazioni personali richieste agli articoli 8, 15 e16 e negli allegati della proposta. Il GEPD rileva con soddisfazione che i datipersonali richiesti diminuiscono nei diversi allegati che seguono le varie fasidella procedura OESC. In generale, il Garante non ha motivo di ritenere che leinformazioni richieste vadano al di là di quanto necessario ai fini del regolamentoproposto. Nel merito, il GEPD ha soltanto due osservazioni da fare.

17. La prima riguarda i dati relativiall’indirizzo del ricorrente negli allegati del regolamento proposto. Secondol’articolo 25 della proposta, al convenuto sono notificati o comunicati l’OESCe tutti i documenti presentati all’autorità giudiziaria o all’autoritàcompetente per l’emissione dell’ordinanza, i quali dovrebbero contenere leinformazioni fornite negli allegati I, II e III. Non vi è alcun rimando allapossibilità del ricorrente di richiedere la cancellazione dei dati relativi alsuo indirizzo nei vari documenti prima che siano trasmessi al convenuto. Inalcune circostanze la comunicazione al convenuto dei dati relativiall’indirizzo del ricorrente può esporre quest’ultimo al rischio di subirepressioni extragiudiziarie da parte del convenuto. Il Garante propone quindi allegislatore di prevedere, all’articolo 25, che il ricorrente possa richiederel’eliminazione di tali dati dalle informazioni fornite al convenuto.

18. La seconda osservazione riguardai dati facoltativi da inserire nell’allegato I, cioè il numero di telefono el’indirizzo di posta elettronica. Se queste informazioni sono incluse come daticui si può fare ricorso per contattare il convenuto in assenza di altreinformazioni, ciò dovrebbe essere precisato. In caso contrario non sembranosussistere motivi per mantenere tali sezioni.

19. Un altro esempio della seriaattenzione prestata dalla Commissione alla proporzionalità e alla necessità deltrattamento dei dati personali ai fini della proposta in esame è il riferimentoesplicito al principio di necessità di cui all’articolo 16 e all’articolo 17,paragrafi 1 e 6, della proposta. L’articolo 16 fa riferimento a tutte leinformazioni «affinché la banca o le banche possano» identificare il convenuto,l’articolo 17, paragrafo 1, alle informazioni «necessarie» e l’articolo 17,paragrafo 6, riprende la formulazione dell’articolo 6, paragrafo 1, lettera c),della direttiva 95/46/CE, che prevede che i dati siano adeguati, pertinenti enon eccedenti. Il GEPD è soddisfatto di queste disposizioni, in quanto rendonovisibile il fatto che la raccolta di dati personali deve essere effettuata nelrispetto del principio di necessità. L’articolo 17 solleva tuttavia alcuneperplessità.

20. L’articolo 17, paragrafo 2,impone al ricorrente di fornire «tutte le informazioni di cui dispone ilricorrente» relative al

convenuto e ai suoi conti bancari. Sitratta di una formulazione generica che potrebbe comportare il trasferimento diogni tipo di informazione sul convenuto. La disposizione non precisa che taliinformazioni devono limitarsi a quelle necessarie per identificare il convenutoe i suoi conti bancari. Il GEPD raccomanda di inserire tale limitazionenell’articolo 17, paragrafo 2.

21. All’articolo 17, paragrafo 4, ilriferimento a «tutti i mezzi opportuni e ragionevoli» potrebbe includere metodidi indagine che interferiscono indebitamente nella vita privata del convenuto.Letto in combinato disposto con l’articolo 17, paragrafo 5, è però chiaro chetali mezzi si limitano ai due modi descritti al punto 9 del presente parere.Tuttavia, onde evitare interpretazioni erronee della portata dei mezzi adisposizione dell’autorità competente, il legislatore potrebbe valutare lapossibilità di sostituire «tutti i mezzi opportuni e ragionevoli» con «uno deidue modi di cui al paragrafo 5».

22. Per quanto riguarda i due modidescritti all’articolo 17, paragrafo 5, lettera b), il GEPD nutre dubbi inmerito al secondo. Tale modo riguarda l’accesso alle informazioni da partedell’autorità competente nel caso in cui siano detenute da autorità oamministrazioni pubbliche in registri o altrove. Nell’allegato I della propostasi fa riferimento ai «registri pubblici esistenti» (cfr. punto 4 dell’allegatoI). A fini di chiarezza, si dovrebbe spiegare che cosa s’intende effettivamenteall’articolo 17, paragrafo 5, lettera b), della proposta. Occorre sottolineareche le informazioni raccolte non solo devono essere necessarie ai fini delregolamento proposto; devono anche essere reperite in modo da rispettare iprincipi di necessità e proporzionalità.

23. Riguardo al trasferimentotransfrontaliero dei dati tra i vari soggetti interessati, il GEPD non rilevaparticolari problemi sotto il profilo della protezione dei dati. Soltanto l’articolo27, paragrafo 3, della proposta desta perplessità. Esso dispone che la bancapuò trasmettere la dichiarazione (con il modulo di cui all’allegato III) conmezzi di comunicazione elettronici sicuri. Il termine «può» è dovuto al fattoche l’uso di mezzi di comunicazione elettronici è un’alternativa all’inviodella dichiarazione per posta, come si evince dall’allegato III. L’articolo 27,paragrafo 3, è inteso a consentire alle banche di utilizzare mezzi dicomunicazione elettronici, ma soltanto se tali mezzi sono sicuri. Il GEPDraccomanda al legislatore di chiarire la disposizione, poiché il testo attualepotrebbe essere interpretato nel senso che l’uso di mezzi sicuri siafacoltativo. L’articolo 27, paragrafo 3, potrebbe essere sostituito dal testoseguente: «La banca può trasmettere la dichiarazione con mezzi di comunicazioneelettronici, purché siano sicuri ai sensi degli articoli 16 e 17 delladirettiva 95/46/CE».

III. CONCLUSIONE

24. Il GEPD prende atto consoddisfazione dei provvedimenti adottati per tenere conto dei diversi aspettiriguardanti la protezione dei dati nello strumento proposto, cioè l’OESC. Piùin particolare, apprezza l’applicazione del principio di necessità e i relativiriferimenti. Il Garante ritiene tuttavia che il regolamento proposto richieda ulteriorimiglioramenti e precisazioni e raccomanda di:

— valutare se prevedere,all’articolo 25, che il ricorrente possa richiedere l’eliminazione dei datirelativi al suo indirizzo dalle informazioni fornite dal convenuto,

— eliminare i dati facoltativida inserire nell’allegato I (numero di telefono e indirizzo di postaelettronica del convenuto), se non se ne dimostra l’effettiva necessità,

— limitare le informazioni fornitedal ricorrente ai sensi dell’articolo 17, paragrafo 2, a quelle necessarie peridentificare il convenuto e i suoi conti bancari,

— valutare se sostituire,all’articolo 17, paragrafo 4, la dicitura «tutti i mezzi opportuni eragionevoli» con la dicitura «uno dei due modi di cui al paragrafo 5»,

— precisare che cosa si intendeper i «registri pubblici esistenti» cui rimanda l’articolo 17, paragrafo 5,lettera b),

— riformulare l’articolo 27,paragrafo 3, come segue: «La banca può trasmettere la dichiarazione con mezzidi comunicazione elettronici, purché siano sicuri ai sensi degli articoli 16 e17 della direttiva 95/46/CE».

Fatto a Bruxelles, il 13 ottobre 2011

Giovanni BUTTARELLI

Garante europeo aggiunto dellaprotezione dei dati

NOTE

(1) GU L 281del 23.11.1995, pag. 31.

(2) GU L 8 del12.1.2001, pag. 1.

(3) Cfr.COM(2011) 445 definitivo.

(4) Cfr. larelazione che accompagna la proposta, pag. 4.

(5) Il concettodi «atto pubblico» è definito all’articolo 4, paragrafo 11, della proposta comesegue: «qualsiasi documento che sia stato formalmente redatto o registrato comeatto pubblico in uno Stato membro e la cui autenticità: a) riguardi la firma eil contenuto dell’atto pubblico, e b) sia stata attestata da un’autoritàpubblica o da altra autorità a tal fine autorizzata».

(6) GU L 174 del27.6.2001, pag. 25.