Parere del Garante europeo della protezione dei dati sulleproposte della Commissione concernenti la direttiva del Parlamento europeo edel Consiglio relativa ai mercati degli strumenti finanziari che abroga ladirettiva 2004/39/CE del Parlamento europeo e del Consiglio e il regolamentodel Parlamento europeo e del Consiglio sui mercati degli strumenti finanziari eche modifica il regolamento sugli strumenti derivati OTC, le controparticentrali e i repertori di dati sulle negoziazioni

(Pubblicato sulla GUUE n. C 147 del 25/5/2012)

IL GARANTE EUROPEO DELLA PROTEZIONEDEI DATI,

visto il trattato sul funzionamentodell'Unione europea, in particolare l'articolo 16, vista la Carta dei dirittifondamentali dell'Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati ⁽²⁾, in particolare l'articolo 28,paragrafo 2,

HA ADOTTATO IL SEGUENTE PARERE:

1. INTRODUZIONE

1.1. Consultazione del GEPD

1. Il presente parere è parte di unpacchetto di quattro pareri del GEPD riguardanti il settore finanziario, tuttiadottati il medesimo giorno ⁽³⁾.

2. Il 20 ottobre 2011 la Commissioneha adottato una proposta di direttiva del Parlamento europeo e del Consigliorelativa ai mercati degli strumenti finanziari che abroga la direttiva2004/39/CE del Parlamento europeo e del Consiglio ⁽⁴⁾ (´la proposta di direttivaª) e una proposta di regolamento delParlamento europeo e del Consiglio sui mercati degli strumenti finanziari e chemodifica il regolamento (EMIR) sugli strumenti derivati OTC, le controparticentrali e i repertori di dati sulle negoziazioni (´la proposta diregolamentoª) (di seguito denominate congiuntamente ´le proposteª).

3. Prima dell'adozione il GEPD erastato consultato in modo informale e constata che le proposte tengono conto didiverse sue osservazioni.

1.2. Obiettivo e ambito diapplicazione delle proposte

4. La direttiva relativa ai mercatidegli strumenti finanziari (´MiFIDª), in vigore da novembre 2007, rappresentauno dei pilastri fondamentali dell'integrazione dei mercati finanziari dell'UE.Attualmente si compone di una direttiva quadro (direttiva 2004/39/CE), unadirettiva di esecuzione (direttiva 2006/73/CE) e un regolamento di esecuzione[regolamento (CE) n. 1287/2006].

5. La direttiva MiFID istituisce unquadro normativo volto a disciplinare la fornitura di servizi di investimentoin strumenti finanziari (quali intermediazione, consulenza, negoziazione,gestione del portafoglio, sottoscrizione, ecc.) da parte di istituti di creditoe imprese di investimento e la gestione dei mercati regolamentati da parte deigestori del mercato. Definisce inoltre i poteri e i compiti delle autoritànazionali competenti in relazione a tali attività. In termini concreti,abolisce la facoltà degli Stati membri di imporre che tutte le negoziazioni distrumenti finanziari avvengano presso borse specifiche e permette laconcorrenza a livello europeo tra sedi di negoziazione tradizionali ealternative.

6. A più di tre anni e mezzodall'entrata in vigore della direttiva, è emersa una maggiore concorrenza trale sedi di negoziazione di strumenti finanziari e si è ampliata la scelta pergli investitori in termini di fornitori di servizi e strumenti finanziaridisponibili. Tuttavia sono anche emersi alcuni problemi. Per esempio, ibenefici derivanti da una maggiore concorrenza non si sono distribuitiuniformemente fra tutti i partecipanti al mercato e non sempre sono statitrasferiti agli investitori finali, sia al dettaglio sia all'ingrosso, glisviluppi di mercato e tecnologici hanno reso obsolete diverse disposizionicontenute nella direttiva MiFID e la crisi finanziaria ha evidenziato lecarenze nella regolamentazione di alcuni strumenti.

7. Scopo del riesame della direttivaMiFID è aggiornare le norme vigenti adeguandole agli sviluppi del mercato, ivicompresi la crisi finanziaria e gli sviluppi tecnologici, nonché migliorarnel'efficacia.

1.3. Scopo del parere del GEPD

8. Vari aspetti delle proposteincidono sui diritti delle persone in relazione al trattamento dei datipersonali, cioè: 1) l'obbligo di mantenere registri e l'obbligo di segnalare leoperazioni; 2) i poteri delle autorità competenti (tra cui il potere dieseguire ispezioni e il potere di richiedere le registrazioni riguardanti lecomunicazioni telefoniche e gli scambi di dati); 3) la pubblicazione dellesanzioni; 4) la segnalazione di violazioni, in particolare le disposizionirelative alle denunce; 5) la collaborazione tra le autorità competenti degliStati membri e con l'AESFEM.

2. ANALISI DELLEPROPOSTE

2.1. Applicabilità della normativa inmateria di protezione dei dati

9. Alcuni considerando ⁽⁵⁾ delle proposte rimandano alla Carta dei diritti fondamentali,alla direttiva 95/46/CE e al regolamento (CE) n. 45/2001. Tuttavia si dovrebbeinserire un riferimento alla normativa applicabile in materia di protezione deidati in un articolo sostanziale delle proposte.

10. Un buon esempio di taledisposizione sostanziale è fornito dall'articolo 22 della proposta diregolamento del Parlamento europeo e del Consiglio relativo all'abuso diinformazioni privilegiate e alla manipolazione del mercato ⁽⁶⁾, il quale prevede espressamente l'applicazione generale delledisposizioni della direttiva 95/46/CE e del regolamento (CE) n. 45/2001 altrattamento di dati personali nel quadro della proposta. Il GEPD ha appenaadottato un parere su tale proposta, nel quale accoglie con grande favorequesto tipo di disposizione generale. Il GEPD propone tuttavia di chiarire ilriferimento alla direttiva 95/46/CE, precisando che le disposizioni siapplicano conformemente alle normative nazionali di attuazione della direttivastessa.

11. Il GEPD propone quindi diinserire una disposizione sostanziale analoga a quella di cui all'articolo 22della proposta di regolamento del Parlamento europeo e del Consiglio relativoall'abuso di informazioni privilegiate e alla manipolazione del mercato ⁽⁷⁾, ferme restando le raccomandazioni formulate su detta proposta ⁽⁸⁾, cioè dare risalto all'applicabilità della legislazione vigentein materia di protezione dei dati e chiarire il riferimento alla direttiva95/46/CE, precisando che le disposizioni si applicano in conformità dellenormative nazionali di attuazione della direttiva stessa.

12. Nei considerando si dovrebberoinoltre usare sistematicamente formulazioni assertive, cioè gli Stati membri´devonoª, non ´dovrebberoª, rispettare la legislazione pertinente in materia diprotezione dei dati, dal momento che tale normativa è in vigore e la suaapplicabilità non è discrezionale.

2.2. Obbligo di mantenere registri eobbligo di segnalare le operazioni 2.2.1. Obblighi nell'ambito della propostadi regolamento

13. Il considerando 27 e gli articolida 21 a 23 della proposta di regolamento introducono il principio secondo cuile autorità competenti coordinate dall'AESFEM sorvegliano le attività delleimprese di investimento al fine di assicurarsi che esse operino in modo onesto,equo e professionale e in maniera da rafforzare l'integrità del mercato. A talfine, le autorità dovrebbero essere in grado di identificare il soggetto che hapreso la decisione di investimento e quelli responsabili della sua esecuzione(considerando 28).

14. Ai fini di tale attività divigilanza, l'articolo 22 impone alle imprese di investimento l'obbligo ditenere a disposizione dell'autorità competente, per almeno cinque anni, i datiriguardanti tutte le operazioni su strumenti finanziari che hanno concluso.Questi dati contengono tutte le informazioni e i dettagli relativi all'identitàdel cliente. Le informazioni sulle operazioni su strumenti finanziari devonoessere segnalate alle autorità competenti per consentire loro di rilevare eaccertare potenziali abusi di mercato, nonché monitorare il regolare e correttofunzionamento dei mercati e le attività delle imprese di investimento. Anchel'AESFEM può chiedere di accedere a tali informazioni.

15. Le imprese di investimento devonocomunicare i dettagli di tali operazioni, compresa l'identità dei clienti,all'autorità competente il più rapidamente possibile (articolo 23). Se iclienti in questione sono persone fisiche, dette operazioni comportano il trattamentodi dati personali ai sensi della direttiva 95/46/CE e del regolamento (CE) n.45/2001 e forse la creazione di banche dati generali.

16. La valutazione d'impatto nonsembra esaminare il periodo di conservazione di cinque anni per le segnalazionidelle operazioni. Come prescritto dall'articolo 6, paragrafo 1, lettera e),della direttiva 95/46/CE, i dati personali devono essere conservati per un arcodi tempo non superiore a quello necessario al conseguimento delle finalità perle quali sono rilevati. Per ottemperare a questa disposizione, il GEPD proponedi sostituire il periodo minimo di conservazione di cinque anni con un periodomassimo di conservazione. Tale periodo dovrà essere quello necessario eproporzionato al conseguimento delle finalità per le quali i dati sonoraccolti.

2.2.2. Obblighi nell'ambito dellaproposta di direttiva

17. L'articolo 16 della direttivaelenca i requisiti di organizzazione che le imprese di investimento devonorispettare. In particolare, le imprese devono tenere, per tutti i serviziprestati e tutte le operazioni effettuate, registrazioni che consentano alleautorità competenti di controllare il rispetto dei requisiti previsti dalladirettiva. Tali registrazioni permettono di verificare che le imprese diinvestimento abbiano adempiuto gli obblighi nei confronti dei clienti opotenziali clienti. Pur non essendo specificato nel testo, si presume che taliinformazioni contengano dati personali dei clienti e dei dipendenti.

18. L'articolo 16, paragrafo 12,conferisce alla Commissione il potere di adottare atti delegati chespecifichino i requisiti di organizzazione concreti elencati nell'articolostesso. In proposito, il GEPD invita la Commissione a consultarlo al momentodell'adozione degli atti delegati. In ogni caso, tali misure devono mirare aridurre al minimo l'archiviazione e il trattamento dei dati personali che leimprese di investimento sono tenute a registrare. Come già osservato riguardoal regolamento, la Commissione dovrebbe inoltre valutare con cura il periodo diconservazione da prevedere per tali dati, in modo da garantire che sia adeguatoe proporzionato.

2.3. Obbligo di registrazione delleconversazioni telefoniche o delle comunicazioni elettroniche

19. La proposta di direttiva prevedela registrazione delle conversazioni telefoniche o delle comunicazioni elettroniche.

20. Le registrazioni delleconversazioni telefoniche o delle comunicazioni elettroniche di normacontengono i dati personali delle parti, anche se riguardano operazionifinanziarie o attività professionali. I dati relativi alle comunicazionielettroniche possono comprendere un'ampia gamma di informazioni personali, tracui i dati relativi al traffico ma anche il contenuto. Inoltre, l'uso deltermine ´conversazioneª implica che il contenuto della comunicazione saràregistrato.

21. Allorché sitrattano dati personali ai sensi della direttiva 95/46/CE e del regolamento(CE) n. 45/2001, si applicano le norme principali in materia di protezione deidati, in particolare i principi di limitazione delle finalità, di necessità edi proporzionalità e l'obbligo di non conservare i dati per un periodosuperiore a quello necessario.

L i m i t a z i on e d e l l e     fi n a l i t à

22. Ai sensi dell'articolo 6,paragrafo 1, lettera b), della direttiva 95/46/CE, i dati personali devonoessere rilevati per finalità determinate, esplicite e legittime esuccessivamente trattati in modo non incompatibile con tali finalità.

23. L'articolo 16, paragrafo 7, dellaproposta di direttiva non indica specificamente la finalità della registrazionedelle conversazioni telefoniche e delle comunicazioni elettroniche. Alcunefinalità sono però indicate nel considerando 42 e nell'articolo 16, paragrafo6, della proposta di direttiva, nonché nella consulenza tecnica del CESR e nellavalutazione d'impatto.

24. L'articolo 16, paragrafo 6, dellaproposta di direttiva stabilisce che, per tutti i servizi prestati e tutte leoperazioni effettuate, le imprese di investimento tengono registrazioni ´atte aconsentire all'autorità competente di controllare il rispetto dei requisitiprevisti dalla presente direttiva e, in particolare, di verificare che leimprese di investimento hanno adempiuto tutti gli obblighi nei confronti deiclienti o potenziali clientiª.

25. Il considerando 42 della propostadi direttiva spiega che ´La registrazione delle conversazioni telefoniche odelle comunicazioni elettroniche concernenti gli ordini dei clienti [...] ègiustificata al fine di rafforzare la protezione degli investitori, migliorarela sorveglianza del mercato e aumentare la certezza del diritto nell'interessedelle imprese di investimento e dei loro clientiª. Il considerando rimandaaltresì alla consulenza tecnica alla Commissione europea formulata dal comitatodelle autorità europee di regolamentazione dei valori mobiliari (CESR) il 29luglio 2010, nella quale è menzionata l'importanza di tali registrazioni ⁽⁹⁾.

26. La consulenza del CESR rilevache, secondo le autorità competenti, la registrazione delle conversazionisarebbe necessaria i) per assicurare che siano disponibili elementi perrisolvere le controversie tra un'impresa di investimento e i suoi clienti sullecondizioni delle operazioni; ii) per coadiuvare l'attività di vigilanza inrelazione alle norme di comportamento; iii) per contribuire a scoraggiare e aindividuare gli abusi di mercato e facilitare l'applicazione delle norme inquesto settore. 27. La registrazione non sarebbe l'unico strumento atto agarantire la vigilanza da parte delle autorità, ma "può contribuire" adassistere l'autorità competente nel verificare il rispetto, per esempio, delledisposizioni della direttiva MiFID in materia di informazione dei clienti epotenziali clienti, di esecuzione alle condizioni migliori e di gestione degliordini dei clienti.

28. La valutazione d'impatto spiegache ´le autorità competenti hanno bisogno di queste informazioni (cioè leregistrazioni telefoniche ed elettroniche) al fine di garantire l'integrità delmercato e il controllo dell'ottemperanza alle norme di comportamentoª ⁽¹⁰⁾.

28. Le diverse finalità indicate nelconsiderando 42 e nell'articolo 16, paragrafo 6, della proposta di direttiva,nella consulenza tecnica del CESR e nella valutazione d'impatto non sonodescritte in modo logico e coerente, ma si trovano in vari punti della propostae dei documenti collaterali. Secondo l'articolo 6, paragrafo 1, della direttiva95/46/CE, i dati devono essere rilevati per finalità determinate, esplicite elegittime. Il GEPD esorta pertanto il legislatore a definire in modo chiaro epreciso la finalità della registrazione delle conversazioni telefoniche e dellecomunicazioni elettroniche nell'articolo 16, paragrafo 7, della proposta didirettiva.

N e c e s s i t à e pr o po r z io n a l i t à

29. Secondo l'articolo 6, paragrafo1, lettera c), della direttiva 95/46/CE, i dati personali devono essereadeguati, pertinenti e non eccedenti rispetto alle finalità per le qualivengono rilevati e/o per le quali vengono successivamente trattati, cioè i datiraccolti devono limitarsi a quelli necessari per conseguire l'obiettivoperseguito e non andare oltre quanto è necessario per raggiungerlo.

30. L'articolo 16, paragrafo 7,menziona le conversazioni telefoniche o le comunicazioni elettroniche cheriguardino almeno le operazioni concluse in caso di negoziazione per contoproprio e gli ordini dei clienti quando sono prestati i servizi di ricezione etrasmissione di ordini e di esecuzione di ordini per conto dei clienti.

31. In primo luogo, eccetto per leoperazioni esplicitamente menzionate, l'articolo 16, paragrafo 7, non specificaa quali conversazioni telefoniche e comunicazioni elettroniche si riferiscanole registrazioni. Il GEPD ritiene che riguardino le comunicazioni relative aiservizi prestati e alle operazioni effettuate da un'impresa di investimento.Tuttavia ciò dovrebbe essere chiaramente indicato. L'uso dell'espressione ´cheriguardino almenoª consente inoltre la registrazione di vari tipi diconversazioni telefoniche o comunicazioni elettroniche. La disposizionedovrebbe invece definire in modo preciso le comunicazioni che sarannoregistrate e limitarle a quelle necessarie ai fini della registrazione.

32. In secondo luogo, la disposizionenon precisa le categorie di dati che saranno conservate. Come già rilevato, idati riguardanti le comunicazioni elettroniche possono comprendere un'ampiagamma di informazioni personali, quali l'identità delle persone che fanno ericevono la comunicazione, le indicazioni relative a data, ora e durata, larete utilizzata, la posizione geografica dell'utente in caso di dispositivimobili, eccetera. Ciò comprende anche il possibile accesso al contenuto dellecomunicazioni. Il riferimento alle "conversazioni" implica inoltre che ilcontenuto delle comunicazioni sarà registrato. Conformemente al principio diproporzionalità, i dati personali contenuti nelle registrazioni delleconversazioni telefoniche e delle comunicazioni elettroniche devono limitarsi aquanto è necessario per le finalità per le quali vengono rilevati.

33. Se, per esempio, la finalitàdella registrazione delle comunicazioni è conservare prova delle operazioni,non sembrano esistere alternative se non registrare il contenuto dellecomunicazioni per poter poi recuperare la prova di un'operazione. Laregistrazione del contenuto delle comunicazioni a fini di assistenza e diindividuazione degli abusi di mercato o per la vigilanza generale sullaconformità alle disposizioni della proposta di direttiva sarebbe inveceeccessiva e sproporzionata. Al riguardo, l'articolo 71, paragrafo 2, letterad), della proposta di direttiva, che conferisce all'autorità competente ilpotere di richiedere le registrazioni detenute dalle imprese di investimentoriguardanti le comunicazioni telefoniche e gli scambi di dati se esiste ilragionevole sospetto di una violazione della direttiva, esclude esplicitamenteil contenuto della comunicazione. Analogamente, l'articolo 17, paragrafo 2,lettera f), della proposta di regolamento del Parlamento europeo e delConsiglio relativo all'abuso di informazioni privilegiate e alla manipolazionedel mercato ⁽¹¹⁾, che conferisce alle autoritàcompetenti i medesimi poteri di indagine al fine di dimostrare l'abuso diinformazioni privilegiate o la manipolazione del mercato, escludeesplicitamente il contenuto della comunicazione.

34. Il GEPD pertanto raccomandacaldamente di precisare, all'articolo 16, paragrafo 7, della proposta didirettiva, il tipo di conversazioni telefoniche e di comunicazioni elettronichee le categorie di dati relativi a tali conversazioni e comunicazioni chesaranno registrati. Tali dati devono essere adeguati, pertinenti e noneccedenti rispetto alla finalità per la quale sono raccolti.

P e r i o d o          d i   c o n s e r v a z i o n e   d e i   da t i

35. Secondo l'articolo 6, paragrafo1, lettera e), della direttiva 95/46/CE, i dati personali sono conservati inmodo da consentire l'identificazione delle persone interessate per un arco ditempo non superiore a quello necessario al conseguimento delle finalità per lequali sono rilevati ⁽¹²⁾. L'articolo 16, paragrafo 7,prevede un periodo di conservazione di tre anni. La valutazione d'impattoriconosce che eventuali misure in questo ambito devono rispettare le norme diprotezione dei dati dell'UE stabilite dalla direttiva 95/46/CE. Viene tuttaviarilevato che il periodo di conservazione da fissare deve tenere conto dellalegislazione vigente nell'UE in materia di conservazione dei dati generati otrattati nell'ambito della fornitura di servizi di comunicazione elettronicaaccessibili al pubblico ai fini della lotta contro i reati gravi. Si affermache tale periodo massimo di tre anni è stato considerato conforme ai principidi necessità e proporzionalità richiesti per garantire una legittima ingerenzain un diritto fondamentale ⁽¹³⁾.

36. A parere delGEPD, l'analisi della necessità e della proporzionalità della durata dellamisura non è adeguata. Nessuna delle diverse (e poco chiare) finalità dellaregistrazione delle conversazioni telefoniche e delle comunicazionielettroniche di cui all'articolo 16, paragrafo 6, al considerando 42, allavalutazione d'impatto e alla consulenza tecnica del CESR menzionano la lottacontro i reati gravi.

37. La valutazione deve essereeffettuata in funzione delle finalità della registrazione nel quadro dellaproposta di direttiva. Se, per esempio, la finalità è ´assicurare che sianodisponibili elementi per risolvere le controversie tra un'impresa diinvestimento e i suoi clienti sulle condizioni delle operazioniª ⁽¹⁴⁾, la valutazione d'impatto deve stabilire la durata del periododi conservazione dei dati in relazione allo stato di limitazione dei diritti inbase al quale si possono avviare tali controversie.

38. Il GEPD invita pertanto illegislatore a valutare attentamente il periodo di conservazione necessario aconseguire la finalità della registrazione delle conversazioni telefoniche edelle comunicazioni elettroniche nell'ambito di applicazione specifico dellaproposta.

2.4. Poteri delle autorità competenti

39. L'articolo 71 della direttivaelenca i poteri di vigilanza e di indagine conferiti alle autorità competenti.

40. L'articolo 71, paragrafo 4,rimanda alla direttiva 95/46/CE e stabilisce che il trattamento dei datipersonali raccolti nell'esercizio dei poteri di vigilanza e di indagine èeffettuato in ogni caso nel rispetto dei diritti fondamentali alla protezionedella vita privata e dei dati personali. Il GEPD accoglie con favore questadisposizione, che affronta specificamente il nesso tra il ruolo delle autoritànel condurre indagini e il trattamento dei dati personali nell'ambito delleloro attività.

2.4.1. Il potere di eseguireispezioni in loco

41. L'articolo 71, paragrafo 2,lettera c), stabilisce che le autorità competenti possono eseguire ispezioni inloco. A differenza della proposta di regolamento del Parlamento europeo e delConsiglio relativo all'abuso di informazioni privilegiate e alla manipolazionedel mercato ⁽¹⁵⁾, questa disposizione non fariferimento al potere delle autorità competenti di ´entrare in locali privatiallo scopo di sequestrare documentiª. Ciò può indurre a ritenere che il poteredi eseguire ispezioni si limiti ai locali delle imprese di investimento e noncomprenda i locali privati. A fini di chiarezza, si propone quindi diesplicitare questa limitazione nel testo. Qualora la Commissione intendesseinvece consentire le ispezioni nei locali privati, il GEPD rimandaall'osservazione formulata nel suo parere sulla proposta summenzionata ⁽¹⁶⁾, secondo cui ritiene che l'obbligo generale di ottenere lapreventiva autorizzazione di un'autorità giudiziaria, a prescindere da se siaprescritta o no dalla legislazione nazionale, sia giustificato alla luce dellapotenziale natura intrusiva del potere in questione.

2.4.2. Il potere di richiedere leregistrazioni riguardanti le comunicazioni telefoniche e gli scambi di dati

42. L'articolo 71, paragrafo 2,lettera d), della proposta di direttiva conferisce alle autorità competenti ilpotere di ´richiedere le registrazioni esistenti, detenute dalle imprese diinvestimento, riguardanti le comunicazioni telefoniche e gli scambi di datiª.Precisa che la richiesta è subordinata all'esistenza di un ´ragionevolesospettoª che tali registrazioni ´possano essere rilevanti per dimostrare unaviolazione degli obblighi previsti dalla presente direttiva da partedell'impresa di investimentoª. In ogni caso le registrazioni non devonoriguardare ´il contenuto della comunicazione cui si riferisconoª. Il GEPDvaluta positivamente il fatto che il testo limiti i poteri delle autoritàcompetenti stabilendo quale condizione per poter accedere alle registrazioni ilragionevole sospetto di una violazione ed escludendo l'accesso al contenutodelle comunicazioni da parte delle autorità competenti.

43. Tuttavia la proposta di direttivanon contiene una definizione del concetto di ´registrazioni riguardanti le comunicazionitelefoniche e gli scambi di datiª. La direttiva 2002/58/CE (´direttivae-Privacyª) menziona il ´traffico relativo ai datiª, ma non le ´registrazioniriguardanti le comunicazioni telefoniche e gli scambi di datiª. Va da sé che ilsignificato preciso di tali concetti determina l'impatto che i poteri diindagine possono avere sulla protezione della vita privata e dei dati personalidegli interessati. Il GEPD propone di adoperare la terminologia già utilizzatanella definizione di ´dati relativi al trafficoª di cui alla direttiva2002/58/CE.

44. I dati riguardanti l'uso distrumenti di comunicazione elettronici possono comprendere un'ampia gamma diinformazioni personali, quali l'identità delle persone che fanno e ricevono latelefonata, la data, l'ora e la durata della stessa, la rete utilizzata, laposizione geografica dell'utente in caso di dispositivi mobili, eccetera.Alcuni dati concernenti l'uso di Internet e della posta elettronica (peresempio, l'elenco dei siti Internet visitati) possono inoltre rivelareparticolari importanti del contenuto della comunicazione. Inoltre, iltrattamento dei dati sul traffico entra in conflitto con la segretezza dellacorrispondenza. Per questo motivo, la direttiva 2002/58/CE ha sancito ilprincipio secondo cui i dati sul traffico devono essere cancellati o resianonimi quando non sono più necessari ai fini della trasmissione di unacomunicazione ⁽¹⁷⁾. Secondo l'articolo 15,paragrafo 1, di detta direttiva, gli Stati membri possono prevedere nellalegislazione nazionale deroghe per finalità specifiche e legittime, purchésiano necessarie, opportune e proporzionate all'interno di una societàdemocratica per conseguire tali finalità ⁽¹⁸⁾.

45. Il GEPD riconosce che gliobiettivi perseguiti dalla Commissione nel regolamento sulle agenzie di ratingsono legittimi e comprende la necessità di iniziative volte a rafforzare lavigilanza dei mercati finanziari allo scopo di preservarne la solidità eproteggere meglio gli investitori e l'economia in generale. Tuttavia il poteredi condurre indagini direttamente collegate agli scambi di dati, considerata lasua potenziale natura intrusiva, deve soddisfare i criteri di necessità eproporzionalità, cioè deve essere limitato a quanto è opportuno per realizzarel'obiettivo perseguito e non deve andare oltre quanto è necessario perraggiungerlo ⁽¹⁹⁾. In questa prospettiva èpertanto essenziale che le disposizioni siano formulate in modo preciso perquanto riguarda il relativo ambito di applicazione personale e materiale,nonché le circostanze e le condizioni in cui tale potere può essere esercitato.Si devono inoltre prevedere idonee salvaguardie contro il rischio di abusi.

46. Le registrazioni in questioneriguardanti le comunicazioni telefoniche e gli scambi di dati ovviamente comprendonodati personali ai sensi della direttiva 95/46/CE, della direttiva 2002/58/CE edel regolamento (CE) n. 45/2001. Occorre dunque garantire il pieno rispettodelle condizioni di un trattamento equo e legittimo dei dati personali, comeprevisto dalle direttive e dal regolamento.

47. Il GEPD prende atto del fatto chel'articolo 71, paragrafo 3, prevede l'obbligo di ottenere l'autorizzazione diun'autorità giudiziaria se tale autorizzazione è richiesta ai sensi dellalegislazione nazionale. Tuttavia il GEPD ritiene che un obbligo generale diottenere la preventiva autorizzazione di un'autorità giudiziaria in ogni caso,a prescindere da se tale autorizzazione sia prescritta dalla legislazionenazionale, sia giustificato alla luce della potenziale natura intrusiva deipoteri in parola e nell'interesse di un'applicazione armonizzata dellanormativa in tutti gli Stati membri dell'UE. Va altresì considerato che lalegislazione di alcuni Stati membri prevede garanzie specifichesull'inviolabilità del domicilio per quanto riguarda i controlli, leperquisizioni e i sequestri sproporzionati e non regolamentati in modoscrupoloso, specialmente se effettuati da istituzioni amministrative.

48. Il GEPD raccomanda inoltre diintrodurre l'obbligo per l'AESFEM di richiedere le registrazioni riguardanti lecomunicazioni telefoniche e gli scambi di dati tramite una decisione formale,che specifichi la base giuridica e la finalità della richiesta, nonché leinformazioni richieste, il termine entro il quale devono essere fornite e ildiritto del destinatario di ottenere la revisione della decisione da partedella Corte di giustizia.

49. L'espressione ´registrazioniesistenti riguardanti le comunicazioni telefoniche e gli scambi di datiª nonsembra sufficientemente chiara. Non esiste una definizione di ´registrazioniriguardanti le comunicazioni telefoniche e gli scambi di datiª, sebbenel'articolo 71, paragrafo 2, lettera d), della proposta di direttiva MiFIDspecifichi che si tratta soltanto di quelle ´detenute dalle imprese di investimentoª.I dati conservati dalle imprese di investimento probabilmente sono quelliindicati all'articolo 16, paragrafi 6 e 7, esaminato nei punti precedenti. Inteoria, ciò significa che il testo esclude le registrazioni in possesso deifornitori di servizi di comunicazione elettronica che hanno un contratto difornitura con l'impresa di investimento in questione. A fini di chiarezza, ilGEPD raccomanda di precisare a quali registrazioni riguardanti le comunicazionitelefoniche e gli scambi di dati detenuti dalle imprese di investimenti sifaccia riferimento.

2.5. Pubblicazione delle sanzioni odi altre misure

2.5.1. Obbligo di pubblicazione dellesanzioni

50. L'articolo 74 della proposta didirettiva impone agli Stati membri di provvedere affinché le autoritàcompetenti pubblichino ogni sanzione o misura applicata per violazione delledisposizioni della proposta di regolamento o delle disposizioni nazionaliadottate in attuazione della proposta di direttiva, senza indebito ritardo,fornendo anche informazioni sul tipo e la natura della violazione e l'identitàdelle persone responsabili, a meno che la pubblicazione non metta gravemente arischio la stabilità dei mercati finanziari. L'obbligo si attenua soltanto sela pubblicazione può arrecare un ´danno sproporzionatoª alle parti coinvolte,nel qual caso le autorità competenti pubblicano le sanzioni in forma anonima.

51. La pubblicazione delle sanzionicontribuirebbe a rafforzare l'effetto deterrente, scoraggiando i responsabilieffettivi e potenziali dal commettere reati onde evitare gravi danni allareputazione. Al contempo, rafforzerebbe la trasparenza, in quanto gli operatoridi mercato verrebbero a conoscenza del fatto che una determinata persona hacommesso una violazione ⁽²⁰⁾. Questo obbligo si attenuasoltanto se la pubblicazione può arrecare un danno sproporzionato alle particoinvolte, nel qual caso le autorità competenti pubblicano le sanzioni in formaanonima. Inoltre, pur riconoscendo che l'introduzione di un regimesanzionatorio (tramite un'armonizzazione minima o totale) avrebbe un impattosui diritti fondamentali, quali quelli sanciti dall'articolo 7 (rispetto dellavita privata e della vita familiare) e dall'articolo 8 (protezione dei dati dicarattere personale), e potenzialmente anche sull'articolo 47 (diritto a unricorso effettivo e a un giudice imparziale) e sull'articolo 48 (presunzione diinnocenza e diritti della difesa) della Carta dell'Unione europea ⁽²¹⁾, la valutazione d'impatto non sembra esaminare i possibilieffetti della pubblicazione delle sanzioni su tali diritti.

52. Ai sensi dell'articolo 75,paragrafo 2, lettera a), le autorità competenti hanno già, tra i loro poterisanzionatori, il potere di diffondere una dichiarazione pubblica indicante lapersona fisica o giuridica responsabile e la natura della violazione ⁽²²⁾. Non è chiaro come l'obbligo di pubblicazione di cuiall'articolo 74 possa conciliarsi con il potere di diffondere una dichiarazionepubblica di cui all'articolo 75, paragrafo 2, lettera a). L'inclusione del poteredi diffondere una dichiarazione pubblica nell'articolo 75, paragrafo 2, letteraa), dimostra che la pubblicazione è di per sé una sanzione, che dovrebbe essereoggetto di una valutazione individuale alla luce dei criteri di proporzionalitàenunciati all'articolo 76 ⁽²³⁾.

53. Il GEPD non è convinto chel'obbligo di pubblicazione delle sanzioni, così com'è attualmente formulato,soddisfi le condizioni relative alla protezione dei dati stabilite dalla Cortedi giustizia nella sentenza Schecke ⁽²⁴⁾. » del parere che la finalità, la necessità e laproporzionalità della misura non siano dimostrate in modo adeguato e che, inogni caso, si debbano prevedere idonee salvaguardie dei diritti individuali.

2.5.2. Necessità e proporzionalitàdella pubblicazione

54. Nella sentenza Schecke la Corteha dichiarato invalide le disposizioni di un regolamento del Consiglio e di unregolamento della Commissione che prevedevano la pubblicazione obbligatoria diinformazioni riguardanti i beneficiari dei fondi agricoli, tra cui l'identitàdei beneficiari e gli importi percepiti. Secondo la Corte, detta pubblicazionecostituisce un trattamento di dati personali ai sensi dell'articolo 8,paragrafo 2, della Carta dei diritti fondamentali dell'Unione europea (´laCartaª) e, pertanto, una lesione dei diritti riconosciuti dagli articoli 7 e 8della Carta stessa.

55. Dopo aver dichiarato che ´lederoghe e le limitazioni alla protezione dei dati personali devono operareentro i limiti dello stretto necessarioª, la Corte ha proseguito l'analisidella finalità della pubblicazione e della proporzionalità. Ha concluso chenulla indicava che il Consiglio e la Commissione avessero preso inconsiderazione, in sede di adozione della legislazione in causa, modalità dipubblicazione delle informazioni conformi all'obiettivo di una similepubblicazione pur essendo meno lesive dei diritti di detti beneficiari.

56. L'articolo 74 della proposta didirettiva sembra viziato dalle stesse carenze evidenziate dalla Corte nellasentenza Schecke. Occorre tenere presente che, per valutare la conformità agliobblighi in materia di protezione dei dati di una disposizione che impone lapubblicazione di informazioni personali, è indispensabile che sia indicata unafinalità chiara e ben definita per la quale è prevista la pubblicazione.Soltanto in presenza di una finalità chiara e ben definita è possibile valutarese la pubblicazione dei dati personali di cui trattasi sia effettivamentenecessaria e proporzionata ⁽²⁵⁾.

57. Dopo aver letto la proposta e idocumenti annessi (cioè la relazione sulla valutazione d'impatto), il GEPDritiene che la finalità e, di conseguenza, la necessità della misura non sianodefinite chiaramente. Al riguardo i considerando della proposta tacciono, e larelazione sulla valutazione d'impatto si limita ad affermare che ´lapubblicazione delle sanzioni è un elemento importante per garantire che abbianoun effetto dissuasivo sui destinatari, ed è necessaria per garantire cheproducano un effetto dissuasivo sul pubblico in generaleª ⁽²⁶⁾. Una siffatta affermazione generale non sembra esseresufficiente a dimostrare la necessità della misura proposta. Se la finalitàgenerale è rafforzare l'effetto deterrente, la Commissione avrebbe forse dovutospiegare, in particolare, perché sanzioni pecuniarie più onerose (o altri tipidi sanzione che non comportino la pubblicazione dei nomi degli inadempienti)non sarebbero state sufficienti.

58. La relazione sulla valutazioned'impatto non sembra inoltre tenere in sufficiente considerazione modalità dipubblicazione delle informazioni meno intrusive, come limitare la pubblicazioneagli istituti di credito o decidere se procedere alla pubblicazione caso percaso. Soprattutto quest'ultima possibilità a prima vista sembra offrire unasoluzione più proporzionata, specialmente se si considera che — comericonosciuto all'articolo 75, paragrafo 2, lettera a) — la pubblicazionestessa è una sanzione, che deve quindi essere oggetto di una valutazioneindividuale che tenga conto di tutte le circostanze pertinenti, per esempio lagravità della violazione, il grado di responsabilità personale, la recidiva, leperdite subite da terzi, eccetera ⁽²⁷⁾.

59. A parere del GEPD, la possibilitàdi valutare il caso alla luce delle circostanze specifiche rende questasoluzione più proporzionata e quindi preferibile all'obbligo di pubblicazionein ogni caso. Tale discrezionalità permetterebbe all'autorità competente, peresempio, di evitare la pubblicazione nei casi in cui la violazione sia menograve, la violazione non provochi danni significativi, la parte si sia mostratadisposta a collaborare, eccetera.

60. L'articolo 35, paragrafo 6, dellaproposta di regolamento riguarda la pubblicazione sul sito Internet dell'AESFEMdell'avviso di ogni decisione di imporre o prorogare una misura che limita lacapacità di un soggetto di stipulare un derivato su merci. L'identità deisoggetti la cui capacità di negoziazione sia stata limitata dall'AESFEM devequindi essere pubblicata, insieme con gli strumenti finanziari applicabili, lemisure quantitative, come il numero massimo di contratti che il soggetto o lacategoria di soggetti possono stipulare, e la relativa motivazione. L'entratain vigore della misura è vincolata alla pubblicazione stessa (articolo 35,paragrafo 7). Sulla base del ragionamento elaborato in relazione con ledisposizioni della direttiva, il GEPD invita il legislatore a valutare se lapubblicazione sia necessaria e se non esistano misure meno restrittive nei casiin cui siano coinvolte persone fisiche.

2.5.3. La necessità di idoneesalvaguardie

61. La proposta di direttiva avrebbedovuto prevedere idonee salvaguardie per garantire il giusto equilibrio tra idiversi interessi in gioco. In primo luogo, sono necessarie garanzie inrelazione al diritto delle persone accusate di impugnare la decisione dinanzi aun giudice e alla presunzione di innocenza. Al riguardo, si sarebbe dovutousare un linguaggio specifico nel testo dell'articolo 74, in modo da imporrealle autorità competenti di adottare opportuni provvedimenti nei casi in cui ladecisione sia oggetto di ricorso e in cui venga infine revocata da un giudice ⁽²⁸⁾.

62. In secondo luogo, la proposta didirettiva dovrebbe garantire il rispetto dei diritti degli interessati in modoproattivo. Il GEPD riconosce che la versione finale della proposta prevede lapossibilità di escludere la pubblicazione nel caso in cui provochi dannisproporzionati. Tuttavia un approccio proattivo dovrebbe prevedere che gliinteressati siano informati preventivamente del fatto che la decisione diapplicare una sanzione nei loro confronti sarà pubblicata e che, in forzadell'articolo 14 della direttiva 95/46/CE, è loro riconosciuto il diritto diopporsi per motivi preminenti e legittimi ⁽²⁹⁾.

63. In terzo luogo, la proposta didirettiva non specifica il mezzo attraverso il quale l'informazione saràpubblicata ma, nella pratica, è immaginabile che nella maggior parte degliStati membri la pubblicazione avverrà su Internet. Le pubblicazioni su Internetpresentano pericoli e criticità specifiche riguardanti, in particolare, lanecessità di garantire che le informazioni siano a disposizione online solo peril periodo strettamente necessario e che i dati non possano essere manipolati oalterati. L'uso di motori di ricerca esterni comporta inoltre il rischio che leinformazioni siano estrapolate dal contesto e inoltrate attraverso e al difuori di Internet in modo difficile da controllare ⁽³⁰⁾.

64. Alla luce di quanto precede, ènecessario imporre agli Stati membri di garantire che i dati personali degliinteressati siano a disposizione online solo per un periodo di temporagionevole, al termine del quale saranno sistematicamente cancellati ⁽³¹⁾. Gli Stati membri dovrebbero inoltre essere tenuti a garantireidonee salvaguardie e misure di sicurezza, soprattutto contro i rischi connessiall'uso dei motori di ricerca esterni ⁽³²⁾.

2.5.4. Conclusioni sullapubblicazione

65. Il GEPD è del parere che ladisposizione relativa all'obbligo di pubblicazione delle sanzioni — cosìcom'è attualmente formulata — non sia compatibile con il dirittofondamentale alla protezione della vita privata e dei dati personali. Illegislatore dovrebbe valutare con attenzione la necessità del sistema propostoe verificare se l'obbligo di pubblicazione non vada oltre quanto è necessarioper conseguire l'obiettivo di interesse pubblico perseguito e se non esistanomisure meno restrittive per raggiungere il medesimo obiettivo. Subordinatamenteall'esito di questo test della proporzionalità, l'obbligo di pubblicazionedovrebbe in ogni caso essere sostenuto da salvaguardie idonee a garantire ilrispetto della presunzione di innocenza, il diritto degli interessati diopporsi, la sicurezza/esattezza dei dati e la loro cancellazione dopo unadeguato periodo di tempo.

2.6. Segnalazione di violazioni

66 L'articolo 77 della proposta didirettiva riguarda i meccanismi per la segnalazione di violazioni, anche dettisistemi di denuncia. Pur potendo essere uno strumento efficace per garantire laconformità, tali sistemi sollevano questioni significative dal punto di vistadella protezione dei dati ⁽³³⁾. Il GEPD accoglie con favoreil fatto che la proposta di direttiva preveda salvaguardie specifiche, dasviluppare ulteriormente a livello nazionale, riguardanti la protezione dellepersone che segnalano sospette violazioni e, più in generale, la protezione deidati personali. La valutazione d'impatto menziona i sistemi di denuncianell'ambito delle possibilità di introdurre sanzioni nella valutazione deidiritti fondamentali ⁽³⁴⁾ e richiama l'attenzione sullanecessità che la legislazione di attuazione si conformi ai principi e aicriteri relativi alla protezione dei dati indicati dalle autorità competenti inmateria. Il GEPD è consapevole del fatto che la direttiva si limita a stabiliregli elementi principali del regime che gli Stati membri dovranno istituire.Desidera nondimeno richiamare l'attenzione sugli aspetti seguenti.

67. Come in altri pareri ⁽³⁵⁾, il GEPD sottolinea la necessità di introdurre un riferimentospecifico alla necessità di tutelare la riservatezza dei denuncianti e degliinformatori. Il GEPD segnala che la posizione dei denuncianti è delicata.Occorre garantire alle persone che forniscono tali informazioni che i datisulla loro identità non saranno rivelati a terzi, in particolare al presuntoautore dell'illecito denunciato ⁽³⁶⁾. La riservatezza dell'identitàdel denunciante deve essere garantita in tutte le fasi della procedura, purchéciò non sia in contrasto con le normative nazionali che disciplinano iprocedimenti giudiziari. In particolare, potrebbe essere necessario rivelarel'identità del denunciante nel contesto di ulteriori indagini o di successiviprocedimenti giudiziari (compreso il caso in cui si accerti che il denuncianteha dichiarato il falso in malafede) ⁽³⁷⁾. Alla luce di quanto precede, il GEPD raccomanda di aggiungereall'articolo 77, paragrafo 1, lettera b), la disposizione seguente: ´l'identitàdi detti dipendenti è garantita in tutte le fasi della procedura, fatte salvele disposizioni nazionali che ne impongano la comunicazione nel contesto diulteriori indagini o di successivi procedimenti giudiziariª.

68. Il GEPD evidenzia altresìl'importanza di prevedere norme adeguate a garantire il diritto di accessodelle persone accusate, che è strettamente legato ai diritti di difesa ⁽³⁸⁾. Le procedure per il ricevimento di segnalazioni e per ilrelativo seguito di cui all'articolo 77, paragrafo 1, lettera a), dovrebberogarantire che i diritti di difesa delle persone accusate, quali il diritto diessere informato, il diritto di accesso al fascicolo e la presunzione diinnocenza, siano adeguatamente rispettati e limitati soltanto nella misurastrettamente necessaria ⁽³⁹⁾. Al riguardo il GEPD proponedi inserire anche nella proposta di direttiva in esame la disposizione di cuiall'articolo 29, paragrafo 1, lettera d), della proposta della Commissioneconcernente il regolamento del Parlamento europeo e del Consiglio relativoall'abuso di informazioni privilegiate e alla manipolazione del mercato, cheimpone agli Stati membri di adottare ´procedure adeguate per garantire ildiritto di difesa del presunto responsabile, nonché il diritto a essere sentitoprima che venga presa una decisione che lo riguarda e il diritto a un effettivoricorso giurisdizionale nei confronti di qualsiasi decisione o misura che loriguardiª.

69. Infine, per quanto riguardal'articolo 77, paragrafo 1, lettera c), il GEPD è lieto di constatare che ladisposizione impone agli Stati membri di garantire la protezione dei datipersonali concernenti sia la persona accusata sia la persona che segnala laviolazione, conformemente ai principi stabiliti dalla direttiva 95/46/CE.Propone tuttavia di eliminare ´i principi stabiliti dallaª, al fine di rendereil rimando alla direttiva più completo e vincolante. Per quanto riguarda la necessitàdi rispettare la normativa in materia di protezione dei dati nell'attuazionepratica dei regimi, il GEPD desidera sottolineare, in particolare, leraccomandazioni formulate dal gruppo di lavoro ´articolo 29ª nel parere del2006 relativo alla denuncia di irregolarità. Tra l'altro, nell'attuare isistemi nazionali, gli enti interessati devono tenere presente la necessità dirispettare la proporzionalità limitando il più possibile le categorie di soggettiautorizzati a presentare denunce, le categorie di soggetti denunciabili e leviolazioni per le quali possono essere denunciati; la necessità di promuoveredenunce nominative e riservate rispetto alle denunce anonime; la necessità diprevedere la possibilità di rivelare l'identità del denunciante nel caso in cuiabbia dichiarato il falso in malafede; e la necessità di rispettare terminirigorosi di conservazione dei dati.

2.7. Collaborazione tra le autoritàcompetenti degli Stati membri e con l'AESFEM

2.7.1. Collaborazione nell'ambitodella proposta di direttiva

70. L'articolo 83 introduce l'obbligodi collaborazione tra le autorità competenti degli Stati membri e tra taliautorità e l'AESFEM. In particolare, l'articolo 83, paragrafo 5, impone alleautorità competenti di comunicare all'AESFEM e alle altre autorità competentile informazioni relative a a) eventuali richieste a qualsiasi persona che hafornito informazioni sull'esposizione totale di adottare misure per ridurrel'entità della posizione o esposizione (a norma dell'articolo 72, paragrafo 1,lettera f)); b) eventuali limitazioni alla possibilità delle persone diconcludere un contratto derivato su merci (a norma dell'articolo 72, paragrafo1, lettera g)). La notifica deve includere informazioni dettagliatesull'identità della persona cui sono indirizzate tali misure, nonché la portatadelle limitazioni, il tipo di strumenti finanziari compresi e altreinformazioni.

71. La disposizione stabiliscealtresì che un'autorità competente di uno Stato membro che riceva la notificadi cui sopra ´può adottare misure in conformità dell'articolo 72, paragrafo 1,lettere f) o g), quando sia convinta che la misura è necessaria per conseguirel'obiettivo dell'altra autorità competenteª. Il GEPD desidera segnalare chequesto tipo di decisione, adottata dall'autorità competente, potrebbe essereconsiderata conforme ai criteri relativi a una ´decisione individualeautomatizzataª, di cui all'articolo 15 della direttiva 95/46/CE. Questainterpretazione deriva dal fatto che l'articolo 72 impone all'autoritàcompetente ricevente l'obbligo di verificare se la misura in questione possaconseguire l'obiettivo dell'altra autorità competente. L'autorità competentedello Stato membro che riceve la notifica non è quindi specificamente tenuta asvolgere un'analisi indipendente delle circostanze del caso — basata anchesui dati personali dell'interessato — al fine di adottare una misura chelimita i suoi diritti. L'articolo 15 della direttiva 95/46/CE stabilisce che aqualsiasi persona è riconosciuto il diritto di non essere sottoposta a unadecisione che produca effetti giuridici o abbia effetti significativi nei suoiconfronti fondata esclusivamente su un trattamento automatizzato di datidestinati a valutare taluni aspetti della sua personalità, quali il rendimentoprofessionale, il credito, l'affidabilità, eccetera. Per quanto riguarda ilcontesto in esame, si applica l'articolo 15, paragrafo 2, della direttiva95/46/CE, il quale stabilisce che una persona può essere sottoposta a unadecisione del tipo sopra descritto, a condizione che tale decisione ´siaautorizzata da una leggeª e siano previsti provvedimenti atti a salvaguardarel'interesse legittimo della persona interessata. Le normative nazionali diattuazione della direttiva costituiscono la base giuridica per la deroga di cuiall'articolo 15, paragrafo 2, della direttiva 95/46/CE, tuttavia non sonoprevisti provvedimenti specifici atti a salvaguardare gli interessi legittimidelle persone interessate.

72. Il testo della proposta didirettiva sembra quindi introdurre la possibilità che una decisioneautomatizzata che produca effetti sulla capacità di concludere contratti siaadottata da un'autorità di uno Stato membro diverso da quello in cui lasanzione era stata inizialmente irrogata. Considerato l'impatto che unadecisione del genere può avere sui diritti di una persona che svolgeprofessionalmente attività di investimento, il GEPD rileva che il testodovrebbe contenere un riferimento specifico al diritto di opporsi a unadecisione individuale automatizzata ai sensi dell'articolo 15 della direttiva95/46/CE. Si dovrebbero espressamente introdurre misure atte a garantire che lapersona interessata sia messa al corrente del trasferimento e dell'esistenza diuna procedura avviata dall'autorità competente ricevente ai fini dell'adozionedi tale decisione, affinché possa effettivamente esercitare il diritto diopporsi.

2.7.2. Collaborazione nell'ambitodella proposta di regolamento

73. L'articolo 34, paragrafo 2, delregolamento stabilisce che, dopo aver ricevuto la comunicazione di una misuraai sensi dell'articolo 83, paragrafo 5, della direttiva, l'AESFEM registra lamisura e la sua motivazione e, in relazione alle misure adottate ai sensidell'articolo 72, paragrafo 1, lettere f) e g), della direttiva, mantiene epubblica sul proprio sito Internet una banca dati contenente una brevedescrizione delle misure in vigore, ´comprese le informazioni sul soggetto ocategoria di soggetti interessatiª.

74. Tale pubblicazione costituisceun'ulteriore attività di trattamento di dati personali. Le osservazioniformulate al precedente paragrafo 2.5 riguardo alla pubblicazione dellesanzioni valgono anche in questo caso. La valutazione d'impatto non sembracontenere una valutazione dell'impatto sui diritti fondamentali di questo tipodi pubblicazione su Internet. Il GEPD invita pertanto il legislatore ariflettere sull'effettiva necessità e proporzionalità della misura inquestione.

2.8. Scambio di informazioni con ipaesi terzi 75.

75. Il GEPD prende atto delriferimento alla direttiva 95/46/CE, in particolare al capo IV, e alregolamento (CE) n. 45/2001 di cui all'articolo 92 della proposta di direttiva.

76. Tuttavia, considerati i rischiassociati a tali trasferimenti, il GEPD raccomanda di prevedere salvaguardiespecifiche, quali la valutazione individuale, la garanzia che il trasferimentosia necessito, l'obbligo di ottenere l'autorizzazione esplicita preventivadell'autorità competente per un ulteriore trasferimento di dati verso e da unpaese terzo e l'assicurazione di un adeguato livello di protezione dei datipersonali nel paese terzo che riceve i dati.

77. Un buon esempio di disposizionecontenente garanzie adeguate è fornito dall'articolo 23 della proposta diregolamento del Parlamento europeo e del Consiglio relativo all'abuso di informazioniprivilegiate e alla manipolazione del mercato ⁽⁴⁰⁾.

3. CONCLUSIONI

78. Il GEPD formula le seguentiraccomandazioni:

— inserire una disposizionesostanziale nelle proposte, così formulata: ´Per quanto riguarda il trattamentodi dati personali effettuato dagli Stati membri nel quadro del presenteregolamento, le autorità competenti applicano le disposizioni della normativanazionale di attuazione della direttiva 95/46/CE. Per quanto riguarda iltrattamento di dati personali effettuato dall'AESFEM nel quadro del presenteregolamento, l'AESFEM si conforma alle disposizioni del regolamento (CE) n.45/2001ª,

— all'articolo 22 dellaproposta di regolamento, sostituire il periodo minimo di conservazione dicinque anni con un periodo massimo di conservazione,

— all'articolo 16, paragrafo 7,della proposta di direttiva indicare i) la finalità della registrazione delleconversazioni telefoniche e delle comunicazioni elettroniche e ii) il tipo diconversazioni telefoniche e di comunicazioni elettroniche di cui trattasi e lecategorie di dati relativi a tali conversazioni e comunicazioni che sarannoregistrati,

— all'articolo 71, paragrafo 2,lettera c), della proposta di direttiva precisare che il potere di eseguireispezioni si limita ai locali delle imprese di investimento e non comprende ilocali privati,

— all'articolo 71, paragrafo 2,lettera d), concernente il potere di richiedere le registrazioni riguardanti lecomunicazioni telefoniche e gli scambi di dati, introdurre l'obbligo generaledi ottenere la preventiva autorizzazione di un'autorità giudiziaria e l'obbligodi adottare una decisione formale che specifichi: i) la base giuridica, ii) lafinalità della richiesta, iii) le informazioni richieste, iv) il termine entroil quale devono essere fornite, e v) il diritto del destinatario di ottenere larevisione della decisione da parte della Corte di giustizia,

— precisare a qualiregistrazioni riguardanti le comunicazioni telefoniche e gli scambi di dati siriferisca l'articolo 71, paragrafo 2, lettera d),

— alla luce dei dubbi espressinel presente parere, valutare la necessità e la proporzionalità del sistemaproposto che impone l'obbligo di pubblicazione delle sanzioni. Subordinatamenteall'esito del test di necessità e proporzionalità, prevedere in ogni casosalvaguardie idonee a garantire il rispetto della presunzione di innocenza, ildiritto degli interessati di opporsi, la sicurezza/esattezza dei dati e la lorocancellazione dopo un adeguato periodo di tempo,

— per quanto riguarda l'articolo77, paragrafo 1: i) inserire, alla lettera b), una disposizione che reciti:´l'identità di detti dipendenti è garantita in tutte le fasi della procedura,fatte salve le disposizioni nazionali che ne impongano la comunicazione nelcontesto di ulteriori indagini o di successivi procedimenti giudiziariª; ii)aggiungere una lettera d) che imponga agli Stati membri di introdurre´procedure adeguate per garantire il diritto di difesa del presuntoresponsabile, nonché il diritto a essere sentito prima che venga presa unadecisione che lo riguarda e il diritto a un effettivo ricorso giurisdizionalenei confronti di qualsiasi decisione o misura che lo riguardiª; iii) eliminare,alla lettera c), ´i principi stabiliti dallaª.

Fatto a Bruxelles, il 10 febbraio 2012

Giovanni BUTTARELLI

Garante europeo aggiunto dellaprotezione dei dati

NOTE                                      

(1) GU L 281del 23.11.1995, pag. 31.

(2) GU L 8 del12.1.2001, pag. 1.

(3) Pareri delGEPD del 10 febbraio 2012 sul pacchetto legislativo relativo alla revisionedella legislazione bancaria, alle agenzie di rating del credito, ai mercatidegli strumenti finanziari (MiFID/MiFIR) e agli abusi di mercato.

(4) GU L 145del 30.4.2004, pag. 1.

(5) Cfr.considerando 20, 30 e 45 della proposta di regolamento e considerando 41, 43, 69e 103 della proposta di direttiva.

(6) COM(2011)651.

(7) Proposta diregolamento del Parlamento europeo e del Consiglio relativo all'abuso diinformazioni privilegiate e alla manipolazione del mercato, COM(2011) 651.

(8) Cfr. pareredel GEPD del 10 febbraio 2012 sulla proposta di regolamento del Parlamentoeuropeo e del Consiglio relativo all'abuso di informazioni privilegiate e allamanipolazione del mercato, COM(2011) 651.

(9) CESR,consulenza tecnica alla Commissione europea nel contesto del riesame dellaMiFID — Protezione degli investitori e intermediari, 29 luglio 2010,CESR/10-417 pag. 7, http://www.esma.europa.eu/system/files/10_417.pdf

(10) Valutazioned'impatto, pag. 150.

(11) COM(2011)651 definitivo.

(12) Articolo 6,paragrafo 1, lettera e), della direttiva 95/46/CE.

(13) Valutazioned'impatto, pag. 150.

(14) Cfr. studiodel CESR di cui al punto 26.

(15) COM(2011)651.

(16) Cfr. ilrecente parere del GEPD, del 10 febbraio 2012, sulla proposta di regolamentodel Parlamento europeo e del Consiglio relativo all'abuso di informazioniprivilegiate e alla manipolazione del mercato.

(17) Cfr.articolo 6, paragrafo 1, della direttiva 2002/58/CE (GU L 201 del 31.7.2002,pag. 37).

(18) L'articolo15, paragrafo 1, della direttiva 2002/58/CE prevede che tale restrizione´costituisca, ai sensi dell'articolo 13, paragrafo 1, della direttiva 95/46/CE,una misura necessaria, opportuna e proporzionata all'interno di una societàdemocratica per la salvaguardia della sicurezza nazionale (cioè della sicurezzadello Stato), della difesa, della sicurezza pubblica; e la prevenzione,ricerca, accertamento e perseguimento dei reati, ovvero dell'uso nonautorizzato del sistema di comunicazione elettronica. A tal fine gli Statimembri possono tra l'altro adottare misure legislative le quali prevedano che idati siano conservati per un periodo di tempo limitato per i motivi enunciatinel presente

paragrafo [...]ª.

(19) Cfr., peresempio, cause riunite C-92/09 e C-93/09, Volker und Markus Schecke GbR(C-92/09), Hartmut Eifert/Land Hessen (C-93/09), non ancora pubblicate nellaRaccolta, punto 74.

(20) Cfr. relazionesulla valutazione d'impatto, pag. 42 e segg.

(21) Cfr. anchepag. 43, valutazione dell'impatto sui diritti fondamentali dell'opzione´armonizzazione minimaª: ´L'opzione incide sugli articoli 7 (rispetto dellavita privata e della vita familiare) e 8 (protezione dei dati di caratterepersonale) e potenzialmente anche sugli articoli 47 (diritto a un ricorsoeffettivo e a un giudice imparziale) e 48 (presunzione di innocenza e dirittidella difesa) della Carta dell'UE. L'opzione prevede la limitazione di dettidiritti de iure, pur rispettandone l'essenza. La limitazione di tali diritti ènecessaria per conseguire l'obiettivo di interesse generale di assicurare l'osservanzadelle disposizioni della MiFID intese a garantire una negoziazione corretta eordinata e la protezione degli investitori. Per essere legittime, le misureamministrative e le sanzioni inflitte devono essere proporzionate allaviolazione, rispettare il diritto di non essere giudicato o punito due volteper lo stesso reato, la presunzione di innocenza, il diritto di difesa e ildiritto a un ricorso effettivo e a un giudice imparziale in ogni circostanza[...]ª.

(22) Cfr. ilrecente parere del GEPD, del 10 febbraio 2012, sulle proposte della Commissioneconcernenti la direttiva sull'accesso all'attività degli enti creditizi e sullavigilanza prudenziale degli enti creditizi e delle imprese di investimento e ilregolamento relativo ai requisiti prudenziali per gli enti creditizi e leimprese di investimento.

(23) ´Gli Statimembri assicurano che, nello stabilire il tipo di sanzione o misuraamministrativa e il livello delle sanzioni pecuniarie amministrative, leautorità competenti tengano conto di tutte le circostanze pertinenti, tra cui:a) la gravità e la durata della violazione; b) il grado di responsabilità dellapersona fisica o giuridica responsabile; c) la capacità finanziaria dellapersona fisica o giuridica responsabile, quale risulta dal fatturatocomplessivo della persona giuridica responsabile o dal reddito annuo dellapersona fisica responsabile; d) l'entità dei profitti realizzati e delleperdite evitate da parte della persona fisica o giuridica responsabile, nellamisura in cui possano essere determinati; e) le perdite subite da terzi a causadella violazione, nella misura in cui possano essere determinate; f) il livellodi collaborazione con l'autorità competente da parte della persona fisica ogiuridica responsabile; g) precedenti violazioni da parte della persona fisicao giuridica responsabile [...]ª.

(24) Cause riuniteC-92/09 e C-93/09, Schecke, punti 56-64.

(25) Inproposito, cfr. anche il parere del GEPD del 15 aprile 2011 sulle regolefinanziarie applicabili al bilancio annuale dell'Unione (GU C 215 del21.7.2011, pag. 13).

(26) Cfr.precedente nota 11.

(27) Cioèconformemente all'articolo 74 della proposta di direttiva, che stabilisce icriteri per determinare le sanzioni.

(28) Per esempio,le autorità nazionali potrebbero prendere in considerazione le misure seguenti:rinviare la pubblicazione finché il ricorso viene respinto o, come propostonella relazione sulla valutazione d'impatto, indicare chiaramente che ladecisione è oggetto di ricorso e che l'interessato è presunto innocente finchéla decisione non diventa definitiva, pubblicare una rettifica qualora ladecisione sia revocata da un giudice.

(29) Cfr. pareredel GEPD del 10 aprile 2007 sul finanziamento della politica agricola comune(GU C 134 del 16.6.2007, pag. 1).

(30) Al riguardocfr. il documento pubblicato dal Garante italiano per la protezione dei dati,Linee guida in materia di trattamento di dati personali contenuti anche in attie documenti amministrativi, effettuato da soggetti pubblici per finalità dipubblicazione e diffusione sul web, disponibile all'indirizzo:http://www.garanteprivacy.it/garante/doc. jsp?ID=1803707

(31) Questapreoccupazione riguarda anche il più generale diritto all'oblio, la cuiinclusione nel nuovo quadro legislativo per la protezione dei dati personali èin discussione.

(32) Queste misuree salvaguardie possono consistere, per esempio, nell'escludere l'indicizzazionedei dati da parte dei motori di ricerca esterni.

(33) Il gruppo dilavoro ´articolo 29ª ha pubblicato un parere su tali sistemi nel 2006, in cuiesamina gli aspetti della questione legati alla protezione dei dati: parere1/2006 relativo all'applicazione della normativa UE sulla protezione dei datialle procedure interne per la denuncia delle irregolarità riguardanti la tenutadella contabilità, i controlli contabili interni, la revisione contabile, lalotta contro la corruzione, la criminalità bancaria e finanziaria. Il parere èdisponibile all'indirizzo:http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm

(34) Cfr.valutazione d'impatto, pagg. 137-138: ´L'introduzione di "sistemi di denuncia"solleva questioni riguardanti la protezione dei dati personali (articolo 8della Carta dell'UE e articolo 16 del TFUE), la presunzione di innocenza e ildiritto di difesa (articolo 48) della Carta dell'UE. Pertanto l'attuazione diqualsiasi sistema di denuncia deve soddisfare e integrare i principi e icriteri relativi alla protezione dei dati indicati dalle autorità europeepreposte alla protezione dei dati e garantire salvaguardie in conformità dellaCarta dei diritti fondamentaliª.

(35) Cfr., peresempio, i pareri del GEPD del 15 aprile 2011 sulle regole finanziarieapplicabili al bilancio annuale dell'Unione e del 1o giugno 2011relativo alle indagini svolte dall'Ufficio per la lotta antifrode (OLAF),entrambi disponibili all'indirizzo: http://www.edps.europa.eu

(36)L'importanza di garantire che l'identità del denunciante resti segreta è giàstata sottolineata dal GEPD in una lettera al Mediatore europeo del 30 luglio2010, relativa al caso 2010-0458, reperibile nel sito Internet del GEPD(http://www. edps.europa.eu). Cfr. anche i pareri del GEPD sul controllopreventivo del 23 giugno 2006 (caso 2005-0418), concernente le indagini internedell'OLAF, e del 4 ottobre 2007 (casi 2007-47, 2007-48, 2007-49, 2007-50,2007-72), concernente le indagini esterne dell'OLAF.

(37) Cfr. pareredel 15 aprile 2011 sulle regole finanziarie applicabili al bilancio annualedell'Unione, disponibile all'indirizzo: http://www.edps.europa.eu

(38) Al riguardocfr. il documento del GEPD Guidelines concerning the processing of personaldata in administrative inquiries and disciplinary proceedings by Europeaninstitutions and bodies, pointing out the close relationship between the rightof access of the data subjects and the right of defence of the persons beingaccused (Linee guida relative al trattamento di dati personali nelle indaginiamministrative e nei procedimenti disciplinari delle istituzioni e degliorganismi europei, in cui si dà risalto alla stretta relazione fra il dirittodi accesso dell'interessato e il diritto di difesa della persona accusata),pagg. 8 e 9, disponibile all'indirizzo:

http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/10-04-23_Guidelines_inquiries_EN.pdf

(39) Cfr. pareredel gruppo di lavoro ´articolo 29ª relativo alla denuncia di irregolarità,pagg. 13-14.

(40) L'articolo23 della proposta di regolamento del Parlamento europeo e del Consigliorelativo all'abuso di informazioni privilegiate e alla manipolazione del mercato[COM (2011) 651] recita:

´1. L'autoritàcompetentediunoStatomembropuòtrasferiredatipersonaliadunpaeseterzoacondizionechesiano soddisfatti i requisiti previsti dalla direttiva 95/46/CE, in particolaregli articoli 25 e 26, e solo su base individuale. L'autorità competente delloStato membro garantisce che il trasferimento sia necessario ai fini delpresente regolamento. L'autorità competente assicura che il paese terzo nontrasferisca i dati ad un altro paese terzo salvo che non sia stata dataesplicita autorizzazione scritta e siano soddisfatte le condizioni specificatedall'autorità competente dello Stato membro. I dati personali possono esseretrasferiti solo ad un paese terzo che offra un adeguato livello di protezionedei dati personali.

2. L'autoritàcompetente di uno Stato membro può comunicare le informazioni ricevute daun'autorità competente di un altro Stato membro ad un'autorità competente di unpaese terzo soltanto quando essa abbia ottenuto l'accordo esplicitodell'autorità competente che ha trasmesso le informazioni e, laddoveapplicabile, comunica tali informazioni esclusivamente per le finalità per lequali l'autorità competente ha espresso il proprio accordo.

3. Un accordo dicooperazione che preveda lo scambio di dati personali deve conformarsi deveconformarsi alla direttiva 95/46/CEª.