Parere del Garante europeo della protezione dei dati sulla proposta della Commissione relativa al regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (CE) n. 1060/2009 relativo alle agenzie di rating del credito

Parere del Garante europeo della protezione dei dati sullaproposta della Commissione relativa al regolamento del Parlamento europeo e delConsiglio che modifica il regolamento (CE) n. 1060/2009 relativo alle agenziedi rating del credito

(Pubblicato sulla GUUE n. C 139 del 15/5/2012)

IL GARANTE EUROPEO DELLA PROTEZIONEDEI DATI,

visto il trattato sul funzionamentodell'Unione europea, in particolare l'articolo 16, vista la Carta dei dirittifondamentali dell'Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati ⁽²⁾, in particolare l'articolo 28,paragrafo 2,

HA ADOTTATO IL SEGUENTE PARERE:

1. INTRODUZIONE

1.1. Consultazione del GEPD

1. Il presente parere fa parte di unpacchetto di quattro pareri del GEPD riguardanti il settore finanziario, tuttiadottati lo stesso giorno.

2. Il 15 novembre 2011 la Commissioneha adottato una proposta concernente la modifica del regolamento (CE) n.1060/2009 relativo alle agenzie di rating del credito (di seguito ilregolamento sulle agenzie di rating) ⁽³⁾. Il 18 novembre 2011 la proposta è stata inviata al GEPD a finidi consultazione.

3. Il GEPD si compiace di essereconsultato dalla Commissione e raccomanda di inserire un riferimento alpresente parere nel preambolo dello strumento adottato.

4. Il GEPD si rammarica tuttavia dinon essere stato consultato ufficialmente dalla Commissione né durante lapreparazione del regolamento sulle agenzie di rating originale, entrato invigore il 7 dicembre 2010, né riguardo alla recente modifica di dettoregolamento ⁽⁴⁾.

5. Nel presente parere il GEPDritiene dunque opportuno e utile esaminare alcuni aspetti del regolamento sulleagenzie di rating già in vigore. In primo luogo, il GEPD pone in evidenza lepotenziali implicazioni per la protezione dei dati di detto regolamento. Insecondo luogo, l'analisi elaborata nel presente parere ha pertinenza direttacon l'applicazione della normativa vigente e con altre proposte già in esame ofuture contenenti disposizioni analoghe, quali quelle esaminate nei pareri delGEPD sul pacchetto legislativo relativo alla revisione della legislazionebancaria, ai mercati degli strumenti finanziari (MiFID/ MiFIR) e agli abusi dimercato.

1.2. Obiettivi e ambito diapplicazione della proposta e del regolamento attuale

6. La Commissione ritiene che le agenziedi rating del credito svolgano un ruolo importante nei mercati finanziari e chedebbano essere disciplinate da un adeguato quadro giuridico. Il primoregolamento sulle agenzie di rating, entrato in vigore il 7 dicembre 2010,impone alle agenzie di rating del credito di rispettare norme di comportamentorigorose per attenuare possibili conflitti di interesse e garantire che irating e il processo di rating siano di elevata qualità e sufficientetrasparenza. Le agenzie di rating esistenti hanno dovuto registrarsi econformarsi ai requisiti stabiliti dal regolamento entro il 7 settembre 2010.

7. La modifica del regolamento sulleagenzie di rating [regolamento (UE) n. 513/2011], entrata in vigore il 1o giugno 2011, affida all'Autoritàeuropea degli strumenti finanziari e dei mercati (AESFEM) la vigilanzaesclusiva sulle agenzie di rating registrate nell'UE in modo da centralizzarnee semplificarne la registrazione e vigilanza a livello europeo.

8. La proposta legislativa in esameintroduce modifiche nel regolamento sulle agenzie di rating, ma non losostituisce. Il principale obiettivo politico della revisione proposta ètrattare una serie di questioni inerenti alle agenzie di rating del credito eall'uso dei rating che non sono state affrontate in misura sufficiente nelregolamento vigente.

1.3. Scopo del parere del GEPD

9. Sebbene la maggior parte delledisposizioni del regolamento in esame riguardi l'esercizio delle attività delleagenzie di rating del credito e la vigilanza su tali attività, l'attuazione el'applicazione del quadro giuridico in alcuni casi può incidere sui dirittidelle persone fisiche in relazione al trattamento dei dati personali.

10. Il regolamento sulle agenzie dirating prevede lo scambio di informazioni tra l'AESFEM, le autorità competenti,le autorità settoriali competenti ed eventualmente i paesi terzi ⁽⁵⁾. Tali informazioni possono facilmente riguardare personefisiche, per esempio le persone che partecipano alle attività di rating delcredito e le persone altrimenti collegate o connesse strettamente e in modosostanziale con le agenzie di rating del credito o con le attività di rating.Queste disposizioni possono avere implicazioni per la protezione dei datipersonali degli interessati.

11. Alla luce di quanto precede, ilpresente parere esamina i seguenti aspetti del regolamento sulle agenzie dirating riguardanti la protezione della vita privata e dei dati personali: 1)l'applicabilità della normativa in materia di protezione dei dati; 2) iltrasferimento dei dati verso paesi terzi; 3) l'accesso alla documentazionerelativa al traffico telefonico e al traffico dati; 4) l'obbligo dipubblicazione delle informazioni sugli strumenti finanziari strutturati e sullesanzioni reiterate.

2. ANALISI DELLAPROPOSTA

2.1. Applicabilità della normativa inmateria di protezione dei dati ⁽⁶⁾

12. Alcuni considerando ⁽⁷⁾ del regolamento sulle agenzie di rating rimandano alla Cartadei diritti fondamentali, alla direttiva 95/46/CE e al regolamento (CE) n.45/2001. Tuttavia si dovrebbe inserire un riferimento alla normativaapplicabile in materia di protezione dei dati in un articolo sostanziale delregolamento.

13. Un buon esempio di taledisposizione sostanziale è fornito dall'articolo 22 della proposta diregolamento del Parlamento europeo e del Consiglio relativo all'abuso diinformazioni privilegiate e alla manipolazione del mercato ⁽⁸⁾, il quale prevede espressamente l'applicazione generale delledisposizioni della direttiva 95/46/CE e del regolamento (CE) n. 45/2001 altrattamento di dati personali nel quadro della proposta. Il GEPD ha adottatooggi un parere su tale proposta, nel quale accoglie con grande favore questotipo di disposizione generale. Il GEPD propone tuttavia di chiarire ilriferimento alla direttiva 95/46/CE, precisando che le disposizioni siapplicano conformemente alle normative nazionali di attuazione della direttivastessa.

14. Ciò è importante, per esempio,per quanto riguarda le varie disposizioni relative allo scambio di informazionipersonali. Tali disposizioni sono perfettamente legittime, ma devono essereapplicate in modo compatibile con la normativa in materia di protezione deidati. In particolare, occorre scongiurare il rischio che possano essereinterpretate come un'autorizzazione generale a scambiare qualsiasi tipo di datipersonali. Un riferimento alla normativa in materia di protezione dei dati,anche nelle disposizioni sostanziali, ridurrebbe sensibilmente tale rischio ⁽⁹⁾.

15. Il GEPDpropone quindi di inserire una disposizione sostanziale analoga a quella di cuiall'articolo 22 della proposta di regolamento del Parlamento europeo e delConsiglio relativo all'abuso di informazioni privilegiate e alla manipolazionedel mercato ⁽¹⁰⁾, ferme restando leraccomandazioni formulate su detta proposta ⁽¹¹⁾, cioè dare risalto all'applicabilità della legislazione vigentein materia di protezione dei dati e chiarire il riferimento alla direttiva95/46/CE, precisando che le disposizioni si applicano in conformità dellenormative nazionali di attuazione della direttiva stessa.

2.2. Scambio di informazioni con ipaesi terzi ⁽¹²⁾

16. Il GEPD prende atto delriferimento al regolamento (CE) n. 45/2001 di cui all'articolo 34, paragrafo 3,del regolamento sulle agenzie di rating, riguardante il trasferimento di datipersonali a paesi terzi.

17. Tuttavia, considerati i rischiassociati a tali trasferimenti, il GEPD raccomanda di prevedere salvaguardiespecifiche, come è stato fatto all'articolo 23 della proposta di regolamentodel Parlamento europeo e del Consiglio relativo all'abuso di informazioniprivilegiate e alla manipolazione del mercato. Nel parere su tale proposta, ilGEPD accoglie con favore il ricorso a una disposizione che contienesalvaguardie adeguate, quali la valutazione individuale, la garanzia che iltrasferimento sia necessario e l'assicurazione di un adeguato livello diprotezione dei dati personali nel paese terzo che riceve i dati.

2.3. Potere dell'AESFEM di richiederela documentazione relativa al traffico telefonico e al traffico dati ⁽¹³⁾

2.3.1. Autorizzazione di un'autoritàgiudiziaria

18. L'articolo 23 quater, paragrafo1, lettera e), stabilisce che, per adempiere alle funzioni attribuitele aisensi del regolamento, l'AESFEM ha facoltà di svolgere tutte le indagininecessarie. A tal fine, i funzionari dell'AESFEM e altre persone da essaautorizzate sono abilitati a richiedere la documentazione relativa al trafficotelefonico e al traffico dati. A causa della sua formulazione generica, ladisposizione solleva alcuni dubbi riguardo al relativo ambito di applicazionemateriale e personale. Il regolamento sulle agenzie di rating stabilisceinoltre che, per richiedere l'accesso alla documentazione del trafficotelefonico e del traffico di dati, l'AESFEM deve ottenere l'autorizzazione diun'autorità giudiziaria, qualora tale autorizzazione sia richiesta ai sensidella legislazione nazionale ⁽¹⁴⁾.

19. Il regolamento proposto noncontiene una definizione del concetto di ´documentazione relativa al trafficotelefonico e al traffico datiª. La direttiva 2002/58/CE (nota anche come´direttiva e-Privacyª, così come modificata dalla direttiva 2009/136/CE) fariferimento ai ´dati relativi al trafficoª, ma non alla ´documentazionerelativa al traffico telefonico e al traffico datiª. Va da sé che ilsignificato preciso di tali concetti determina l'impatto che il potere dicondurre indagini può avere sulla protezione della vita privata e dei datipersonali degli interessati. Il GEPD propone di adoperare la terminologia giàutilizzata nella definizione di ´dati relativi al trafficoª di cui alladirettiva 2002/58/CE.

20. I dati riguardanti l'uso distrumenti di comunicazione elettronici possono comprendere un'ampia gamma diinformazioni personali, quali l'identità delle persone che fanno e ricevono latelefonata, la data, l'ora e la durata della stessa, la rete utilizzata, laposizione geografica dell'utente in caso di dispositivi mobili, eccetera.Alcuni dati concernenti l'uso di Internet e della posta elettronica (peresempio, l'elenco dei siti Internet visitati) possono inoltre rivelareparticolari importanti del contenuto della comunicazione. Inoltre, iltrattamento dei dati sul traffico entra in conflitto con la segretezza dellacorrispondenza. Per questo motivo, la direttiva 2002/58/CE ha sancito ilprincipio secondo cui i dati sul traffico devono essere cancellati o resianonimi quando non sono più necessari ai fini della trasmissione di unacomunicazione ⁽¹⁵⁾. Secondo l'articolo 15,paragrafo 1, di detta direttiva, gli Stati membri possono prevedere nellalegislazione nazionale deroghe per finalità specifiche e legittime, purchésiano necessarie, opportune e proporzionate all'interno di una societàdemocratica per conseguire tali finalità ⁽¹⁶⁾.

21. Il GEPD riconosce che gliobiettivi perseguiti dalla Commissione nel regolamento sulle agenzie di ratingsono legittimi e comprende la necessità di iniziative volte a rafforzare lavigilanza dei mercati finanziari allo scopo di preservarne la solidità eproteggere meglio gli investitori e l'economia in generale. Tuttavia il poteredi condurre indagini direttamente collegate ai dati sul traffico, consideratala sua potenziale natura intrusiva, deve soddisfare i criteri di necessità eproporzionalità, cioè deve essere limitato a quanto è opportuno per realizzarel'obiettivo perseguito e non deve andare oltre quanto è necessario perraggiungerlo ⁽¹⁷⁾. In questa prospettiva èpertanto essenziale che le disposizioni siano formulate in modo preciso perquanto riguarda il relativo ambito di applicazione personale e materiale,nonché le circostanze e le condizioni in cui tale potere può essere esercitato.Si devono inoltre prevedere idonee salvaguardie contro il rischio di abusi.

22. L'articolo 23 quater conferisceall'AESFEM la facoltà di svolgere indagini riguardo alle persone chepartecipano alle attività di rating del credito e alle persone altrimenticollegate o connesse strettamente e in modo sostanziale con le agenzie dirating del credito o con le attività di rating. Secondo l'articolo 23 ter,l'AESFEM può anche richiedere a tali persone fisiche di fornirle tutte leinformazioni che ritiene necessarie.

23. Tali disposizioni indicanochiaramente che nel quadro del regolamento sulle agenzie di rating avrà luogouno scambio di dati personali. Appare probabile — o, quanto meno, non sipuò escludere — che la documentazione relativa al traffico telefonico eal traffico dati in questione comprenda dati personali ai sensi della direttiva95/46/CE e del regolamento (CE) n. 45/2001 e, per la parte pertinente, delladirettiva 2002/58/CE, cioè i dati riguardanti il traffico telefonico e iltraffico di dati di persone fisiche identificate o identificabili ⁽¹⁸⁾. In tale eventualità, occorre garantire il pieno rispetto dellecondizioni di un trattamento equo e legittimo dei dati personali, come previstodalle direttive e dal regolamento.

24. Il GEPD prende atto del fatto chel'articolo 23 quater, paragrafo 5, prevede l'obbligo di ottenereun'autorizzazione giudiziaria se tale autorizzazione è richiesta ai sensi dellalegislazione nazionale. Tuttavia, data la potenziale natura intrusiva deipoteri in parola e la scelta del regolamento quale strumento giuridicoadeguato, il GEPD ritiene giustificato un obbligo generale di autorizzazionegiudiziaria in ogni caso, a prescindere da se tale autorizzazione sia prescrittao no dalla normativa nazionale. Va altresì considerato che la legislazione dialcuni Stati membri prevede garanzie speciali sull'inviolabilità del domicilioper quanto riguarda i controlli, le perquisizioni e i sequestri sproporzionatie non regolamentati in modo scrupoloso, specialmente se effettuati daistituzioni amministrative.

25. Come indicato al paragrafo 2.1, ipoteri delle autorità di vigilanza di richiedere accesso alla documentazionerelativa al traffico telefonico e al traffico dati non rappresentano una novitàper la legislazione europea. Disposizioni in tal senso sono già previste invarie direttive e regolamenti vigenti in materia finanziaria. In particolare,la direttiva sugli abusi di mercato ⁽¹⁹⁾, la direttiva MiFID ⁽²⁰⁾ e la direttiva OICVM ⁽²¹⁾ prevedono tutte disposizioni di simile tenore. Lo stesso valeper alcune proposte adottate di recente dalla Commissione, ossia la proposta didirettiva sui gestori di fondi di investimento alternativi ⁽²²⁾, la proposta di regolamento relativo alle vendite allo scopertoe ai credit default swaps ⁽²³⁾ e la proposta di regolamentoconcernente l'integrità e la trasparenza del mercato dell'energia ⁽²⁴⁾.

26. Per quanto riguarda questistrumenti legislativi, vigenti e proposti, occorre operare una distinzione trai poteri di indagine concessi alle autorità nazionali e il conferimento di talipoteri alle autorità dell'Unione europea. Diversi strumenti obbligano gli Statimembri a conferire alle autorità nazionali il potere di richiedere ladocumentazione relativa al traffico telefonico e al traffico dati in conformitàdella legislazione nazionale ⁽²⁵⁾. Di conseguenza, l'effettivoadempimento di tale obbligo è necessariamente soggetto alla legislazionenazionale, comprese le norme di attuazione delle direttive 95/46/CE e2002/58/CE e altre leggi nazionali che prevedono ulteriori garanzie proceduraliper le autorità nazionali di vigilanza e di indagine.

27. Né il regolamento sulle agenziedi rating né gli altri strumenti legislativi che conferiscono direttamente alleautorità dell'Unione europea il potere di richiedere la documentazione relativaal traffico telefonico e al traffico dati prevedono condizioni in tal senso. Diconseguenza, in questi casi è ancora più necessario precisare, nello strumentolegislativo stesso, l'ambito di applicazione personale e materiale di talipoteri, nonché in quali circostanze e a quali condizioni possono essereesercitati, e garantire l'esistenza di idonee salvaguardie contro gli abusi.

28. L'articolo 23 quater, paragrafo1, lettera e), del regolamento conferisce all'AESFEM il potere di richiedere ladocumentazione relativa al traffico telefonico e al traffico dati. Comespiegato meglio nei punti successivi, l'ambito di applicazione delladisposizione, in particolare il significato preciso di ´documentazione relativaal traffico telefonico e al traffico datiª, non è chiaro.

2.3.2. Definizione di ´documentazionerelativa al traffico telefonico e al traffico datiª

29. La definizione di ´documentazionerelativa al traffico telefonico e al traffico datiª non è del tutto chiara e vadunque precisata. Tale disposizione potrebbe riferirsi alla documentazione sultraffico telefonico e di dati che le agenzie di rating del credito sono tenutea conservare nel corso delle loro attività. Tuttavia il regolamento nonspecifica se le agenzie di rating debbano raccogliere la documentazionerelativa al traffico telefonico e al traffico dati né quale sia taledocumentazione ⁽²⁶⁾. Pertanto, qualora ladisposizione si riferisca alla documentazione in possesso delle agenzie dirating del credito, è essenziale definire precisamente quali categorie di datisul traffico telefonico e di dati devono essere conservate e possono essererichieste dall'AESFEM. Conformemente al principio di proporzionalità, questidati devono essere adeguati, pertinenti e non eccedenti rispetto alle finalitàdi vigilanza per le quali vengono trattati ⁽²⁷⁾.

30. Maggiore precisione è necessariasoprattutto nel caso in esame, alla luce delle onerose sanzioni amministrativepecuniarie e sanzioni reiterate che possono essere imposte alle agenzie dirating del credito e ad altri soggetti interessati (comprese le personefisiche, nel caso delle sanzioni reiterate) a seguito di violazioni delregolamento (cfr. articolo 36 bis e articolo 36 ter).

31. Va altresì rilevato chel'articolo 37 delega alla Commissione il potere di adottare misure che leconsentono di modificare gli allegati del regolamento, i quali specificano irequisiti di conservazione della documentazione da parte delle agenzie dirating del credito, e quindi, indirettamente, anche i poteri di accesso alladocumentazione relativa al traffico telefonico e al traffico dati conferitiall'AESFEM.

L'articolo 290 del TFUE stabilisceche un atto legislativo può delegare alla Commissione il potere di adottareatti non legislativi di portata generale che integrano o modificano determinatielementi non essenziali dell'atto legislativo. A parere del GEPD, ladelimitazione esatta dei poteri di accesso ai dati sul traffico non può essereconsiderata un elemento non essenziale del regolamento. La definizionedell'ambito di applicazione materiale va quindi inserita direttamente nel testodel regolamento e non può essere rinviata ad atti delegati futuri.

32. Il GEPD ritiene che l'articolo 23quater, paragrafo 1, lettera e), non abbia lo scopo di consentire all'AESFEM diottenere l'accesso ai dati sul traffico direttamente dai fornitori di servizidi telecomunicazione. Questa conclusione pare logica soprattutto alla luce delfatto che il regolamento non fa alcun riferimento ai dati in possesso deifornitori di servizi di telecomunicazione né agli obblighi stabiliti dalladirettiva e-Privacy, come indicato al precedente punto 20 ⁽²⁸⁾. A fini di chiarezza, il GEPD raccomanda quindi di rendere piùesplicita tale conclusione nell'articolo 23 quater del regolamento sulleagenzie di rating, escludendo specificamente i dati sul traffico in possessodei fornitori di servizi di telecomunicazione.

33. Tuttavia, nell'ipotesi in cui ildiritto di ottenere l'accesso ai dati sul traffico direttamente dai fornitoridi servizi di telecomunicazione sia previsto, il GEPD nutre seri dubbi inmerito alla sua necessità e proporzionalità e raccomanda quindi che talediritto sia esplicitamente escluso.

2.3.3. Accesso ai dati personali

34. L'articolo 23 quater, paragrafo1, lettera e), non indica in quali circostanze e a quali condizioni è possibilerichiedere l'accesso ai dati, né prevede importanti garanzie procedurali osalvaguardie contro il rischio di abusi. Nei punti seguenti il GEPD proponealcune soluzioni concrete in proposito.

35. A norma dell'articolo 23 quater,paragrafo 1, l'AESFEM può richiedere l'accesso alla documentazione relativa altraffico telefonico e al traffico dati per adempiere alle funzioni attribuiteleai sensi del regolamento sulle agenzie di rating. A parere del GEPD, ènecessario definire in termini più precisi le circostanze e le condizioni perl'esercizio di tale potere. Il GEPD raccomanda di limitare l'accesso alladocumentazione relativa al traffico telefonico e al traffico dati ai casi diviolazioni gravi e specificamente individuate del regolamento proposto e aicasi in cui sussista un ragionevole sospetto (da suffragare con prove inizialiconcrete) che sia stata commessa una violazione. Tale limitazione èparticolarmente importante anche al fine di evitare che i poteri di accessopossano essere usati per attività di phishing o di estrazione di dati, o perfinalità diverse da quelle previste.

36. Il GEPD raccomanda inoltre diintrodurre l'obbligo per l'AESFEM di richiedere la documentazione relativa altraffico telefonico e al traffico dati tramite una decisione formale, chespecifichi la base giuridica e la finalità della richiesta, nonché leinformazioni richieste, il termine entro il quale devono essere fornite e ildiritto del destinatario di ottenere la revisione della decisione da partedella Corte di giustizia.

2.4. Disposizioni riguardanti lapubblicazione di informazioni

2.4.1. Informazioni sugli strumentifinanziari strutturati

37. Nell'attuale proposta di modificadel regolamento sulle agenzie di rating ⁽²⁹⁾, l'articolo 8 bis, concernente le informazioni sugli strumentifinanziari strutturati, stabilisce che l'emittente, il cedente e il promotoredi uno strumento finanziario strutturato rendono pubbliche le informazionisulla qualità creditizia e le prestazioni delle singole attività sottostantiallo strumento finanziario strutturato, la struttura dell'operazione dicartolarizzazione, i flussi di cassa e le garanzie reali a sostegno delleesposizioni inerenti a cartolarizzazione e le informazioni necessarie acondurre prove di stress complete e ben documentate sui flussi di cassa e ivalori delle garanzie reali a sostegno delle esposizioni sottostanti. L'obbligodi fornire informazioni non si applica alle informazioni che violerebberodisposizioni di legge che disciplinano la tutela della riservatezza delle fontiinformative o il trattamento dei dati personali.

38. L'articolo si riferisceall'emittente, al cedente e al promotore di uno strumento finanziariostrutturato. Il GEPD valuta positivamente il fatto che, nell'attuale propostadi modifica del regolamento sulle agenzie di rating, l'articolo 8 bis prevedache l'obbligo di rendere pubbliche le informazioni non si applichi alle informazioniche violerebbero disposizioni di legge che disciplinano la tutela dellariservatezza delle fonti informative o il trattamento dei dati personali.

39. A parere del GEPD, questo modo didare risalto alle garanzie previste dalle normative che disciplinano iltrattamento dei dati personali è un passo nella giusta direzione; tuttavia,conformemente alle raccomandazioni formulate ai punti precedenti, occorreinserire un riferimento chiaro ed esplicito alle norme nazionali di attuazionedella direttiva 95/46/CE in un articolo sostanziale del regolamento sulleagenzie di rating.

2.4.2. Informazioni sulle sanzionireiterate ⁽³⁰⁾

40. L'articolo 36 quinquies delregolamento sulle agenzie di rating stabilisce che l'AESFEM comunica alpubblico eventuali sanzioni reiterate imposte, salvo il caso in cui talecomunicazione possa mettere gravemente a rischio i mercati finanziari o possaarrecare un danno sproporzionato alle parti coinvolte.

41. Secondo l'articolo 36 ter el'articolo 23 ter, paragrafo 1, possono essere imposte sanzioni reiterate allepersone che partecipano alle attività di rating del credito e alle personealtrimenti collegate o connesse strettamente e in modo sostanziale con leagenzie di rating del credito o con le attività di rating.

42. Il regolamento sulle agenzie dirating conferisce quindi all'AESFEM il potere di imporre sanzioni non solo aglienti creditizi, ma anche ai soggetti materialmente responsabili dellaviolazione. Analogamente, l'articolo 36 quinquies obbliga l'AESFEM a pubblicareogni sanzione reiterata inflitta per una violazione del regolamento proposto.

43. La pubblicazione delle sanzionicontribuirebbe a rafforzare l'effetto deterrente, scoraggiando i responsabilieffettivi e potenziali di violazioni dal commettere reati onde evitare gravidanni alla reputazione. Al contempo, rafforzerebbe la trasparenza, in quantogli operatori di mercato verrebbero a conoscenza del fatto che una determinatapersona ha commesso una violazione. L'obbligo si attenua soltanto se lapubblicazione può arrecare un danno sproporzionato alle parti coinvolte, nelqual caso le autorità competenti pubblicano le sanzioni in forma anonima.

44. Il GEPD non è convinto chel'obbligo di pubblicazione delle sanzioni, così com'è attualmente formulato,soddisfi le condizioni relative alla protezione dei dati stabilite dalla Cortedi giustizia nella sentenza Schecke ⁽³¹⁾. » del parere che la finalità, la necessità e laproporzionalità della misura non siano dimostrate in modo adeguato e che, inogni caso, si debbano prevedere idonee salvaguardie dei diritti individuali.

2.4.3. Necessità e proporzionalitàdell'obbligo di pubblicazione delle sanzioni

45. Nella sentenza Schecke la Corteha dichiarato invalide le disposizioni di un regolamento del Consiglio e di unregolamento della Commissione che prevedevano la pubblicazione obbligatoria diinformazioni riguardanti i beneficiari dei fondi agricoli, tra cui l'identitàdei beneficiari e gli importi percepiti. Secondo la Corte, detta pubblicazionecostituisce un trattamento di dati personali ai sensi dell'articolo 8,paragrafo 2, della Carta dei diritti fondamentali dell'Unione europea (´laCartaª) e, pertanto, una lesione dei diritti riconosciuti dagli articoli 7 e 8della Carta stessa.

46. Dopo aver dichiarato che ´lederoghe e le limitazioni alla protezione dei dati personali devono operareentro i limiti dello stretto necessarioª, la Corte ha proseguito l'analisidella finalità della pubblicazione e della proporzionalità. Ha concluso che,nel caso di specie, nulla indicava che il Consiglio e la Commissione avesseropreso in considerazione, in sede di adozione della legislazione in causa,modalità di pubblicazione delle informazioni conformi all'obiettivo di unasimile pubblicazione pur essendo meno lesive dei diritti di detti beneficiari.

47. L'articolo 36 quinquies delregolamento sulle agenzie di rating sembra viziato dalle stesse carenzeevidenziate dalla Corte nella sentenza Schecke. Occorre tenere presente che,per valutare la conformità agli obblighi in materia di protezione dei dati diuna disposizione che impone la pubblicazione di informazioni personali, èindispensabile che sia indicata una finalità chiara e ben definita per la qualeè prevista la pubblicazione. Soltanto in presenza di una finalità chiara e bendefinita è possibile valutare se la pubblicazione dei dati personali di cuitrattasi sia effettivamente necessaria e proporzionata ⁽³²⁾.

48. Il GEPD ritiene quindi che lafinalità e, di conseguenza, la necessità della misura non siano definitechiaramente. Al riguardo i considerando del regolamento sulle agenzie di ratingtacciono. Se la finalità generale è rafforzare l'effetto deterrente, laCommissione avrebbe forse dovuto spiegare, per esempio, perché sanzionipecuniarie più onerose (o altri tipi di sanzione che non comportino lapubblicazione dei nomi degli inadempienti) non sarebbero state sufficienti.

49. Si sarebbero inoltre dovuteprendere in considerazione modalità di pubblicazione meno intrusive, comelimitare la pubblicazione alle agenzie di rating del credito o decidere seprocedere alla pubblicazione caso per caso. Quest'ultima possibilità, inparticolare, a prima vista sembra offrire una soluzione più proporzionata.

50. A parere del GEPD, la possibilitàdi valutare il caso alla luce delle circostanze specifiche rende questasoluzione più proporzionata e quindi preferibile all'obbligo di pubblicazionein ogni caso. Tale discrezionalità permetterebbe all'AESFEM, per esempio, dievitare la pubblicazione nei casi in cui la violazione sia meno grave, laviolazione non provochi danni significativi, la parte si sia mostrata dispostaa collaborare, eccetera.

2.4.4. La questione dellesalvaguardie adeguate

51. Il regolamento sulle agenzie dirating avrebbe dovuto prevedere idonee salvaguardie per garantire il giusto equilibriotra i diversi interessi in gioco. In primo luogo, sono necessarie garanzie inrelazione al diritto dell'interessato di presentare ricorso e alla presunzionedi innocenza. In proposito, si sarebbe dovuto usare un linguaggio specifico neltesto dell'articolo 36 quinquies, in modo da imporre all'AESFEM di adottareopportuni provvedimenti nei casi in cui la decisione sia oggetto di ricorso ein cui venga infine revocata da un giudice ⁽³³⁾.

52. In secondo luogo, il regolamentosulle agenzie di rating dovrebbe garantire il rispetto dei diritti degliinteressati in modo proattivo. Il GEPD riconosce che il regolamento sulleagenzie di rating prevede la possibilità di escludere la pubblicazione nel casoin cui provochi danni sproporzionati. Tuttavia un approccio proattivo dovrebbeprevedere che gli interessati siano preventivamente informati del fatto che ladecisione di applicare una sanzione reiterata nei loro confronti saràpubblicata e che, in forza dell'articolo 14 della direttiva 95/46/CE, è lororiconosciuto il diritto di opporsi per motivi preminenti e legittimi ⁽³⁴⁾.

53. In terzo luogo, il regolamentosulle agenzie di rating non specifica il mezzo attraverso il qualel'informazione sarà pubblicata ma, nella pratica, è immaginabile che lapubblicazione avverrà su Internet. Le pubblicazioni su Internet presentanopericoli e criticità specifiche riguardanti, in particolare, la necessità digarantire che le informazioni siano a disposizione online solo per il periodostrettamente necessario e che i dati non possano essere manipolati o alterati.L'uso di motori di ricerca esterni comporta inoltre il rischio che leinformazioni siano estrapolate dal contesto e inoltrate attraverso e al difuori di Internet in modo difficile da controllare ⁽³⁵⁾.

54. Alla luce di quanto precede, ènecessario imporre all'AESFEM di assicurare che i dati personali degliinteressati siano a disposizione online solo per un periodo di tempo ragionevole,al termine del quale saranno sistematicamente cancellati ⁽³⁶⁾. Gli Stati membri dovrebbero inoltre essere tenuti a garantireidonee salvaguardie e misure di sicurezza, soprattutto contro i rischi connessiall'uso dei motori di ricerca esterni ⁽³⁷⁾.

2.4.5. Conclusione relativa allapubblicazione di informazioni sulle sanzioni reiterate

55. Il GEPD è del parere che ladisposizione relativa all'obbligo di pubblicazione delle sanzioni reiterate— così com'è attualmente formulata — non sia compatibile con idiritti fondamentali al rispetto della vita privata e alla protezione dei datipersonali. Il legislatore dovrebbe valutare con attenzione la necessità delsistema proposto e verificare se l'obbligo di pubblicazione non vada oltrequanto è necessario per conseguire l'obiettivo di interesse pubblico perseguitoe se non esistano misure meno restrittive per raggiungere il medesimoobiettivo. Subordinatamente all'esito di questo test della proporzionalità,l'obbligo di pubblicazione dovrebbe in ogni caso essere sostenuto dasalvaguardie idonee a garantire il rispetto della presunzione di innocenza, ildiritto degli interessati di opporsi, la sicurezza/esattezza dei dati e la lorocancellazione dopo un adeguato periodo di tempo.

3. CONCLUSIONI

56. Il GEPD formula le seguentiraccomandazioni:

— inserire una disposizionesostanziale nel regolamento sulle agenzie di rating, così formulata: ´Perquanto riguarda il trattamento di dati personali effettuato dagli Stati membrinel quadro del presente regolamento, le autorità competenti e le autoritàsettoriali competenti applicano le disposizioni della normativa nazionale diattuazione della direttiva 95/46/CE. Per quanto riguarda il trattamento di datipersonali effettuato dall'AESFEM nel quadro del presente regolamento, l'AESFEMsi conforma alle disposizioni del regolamento (CE) n. 45/2001ª,

— introdurre salvaguardiespecifiche all'articolo 34 del regolamento sulle agenzie di rating, analoghe aquelle previste dall'articolo 23 della proposta di regolamento del Parlamentoeuropeo e del Consiglio relativo all'abuso di informazioni privilegiate e allamanipolazione del mercato. Nel parere su tale proposta, il GEPD accoglie confavore il ricorso a una disposizione che contiene salvaguardie adeguate, qualila valutazione individuale, la garanzia che il trasferimento sia necessario el'assicurazione di un adeguato livello di protezione dei dati personali nelpaese terzo che riceve i dati,

— indicare specificamente lecategorie di dati relativi al traffico telefonico e al traffico di dati che leagenzie di rating sono tenute a conservare e/o fornire all'AESFEM. Tali datidevono essere adeguati, pertinenti e non eccedenti rispetto alle finalità perle quali vengono trattati,

— escludere esplicitamente lapossibilità di ottenere l'accesso ai dati relativi al traffico telefonico e altraffico di dati direttamente dai fornitori di servizi di telecomunicazione,

Al riguardo cfr. anche il documentopubblicato dal Garante italiano per la protezione dei dati, Linee guida inmateria di trattamento di dati personali contenuti anche in atti e documentiamministrativi, effettuato da soggetti pubblici per finalità di pubblicazione ediffusione sul web, disponibile all'indirizzo:http://www.garanteprivacy.it/garante/doc. jsp?ID=1803707

Questa preoccupazione riguarda ancheil più generale diritto all'oblio, la cui inclusione nel nuovo quadrolegislativo per la protezione dei dati personali è in discussione. Questemisure e salvaguardie possono consistere, per esempio, nell'escluderel'indicizzazione dei dati da parte dei motori di ricerca esterni.

— limitare l'accesso alladocumentazione relativa al traffico telefonico e al traffico dati ai casi diviolazioni gravi e individuate del regolamento proposto e ai casi in cuisussista un ragionevole sospetto (da suffragare con prove iniziali concrete)che sia stata commessa una violazione,

— valutare la necessità delsistema proposto, che prevede l'obbligo di pubblicazione delle sanzionireiterate, e verificare se tale obbligo non vada oltre quanto è necessario perconseguire l'obiettivo di interesse pubblico perseguito e se non esistanomisure meno restrittive per raggiungere il medesimo obiettivo. Subordinatamenteall'esito del test della proporzionalità, l'obbligo di pubblicazione dovrebbein ogni caso essere sostenuto da salvaguardie idonee a garantire il rispettodella presunzione di innocenza, il diritto degli interessati di opporsi, lasicurezza/esattezza dei dati e la loro cancellazione dopo un adeguato periododi tempo.

Fatto a Bruxelles, il 10 febbraio2012

Giovanni BUTTARELLI

Garante europeo aggiunto dellaprotezione dei dati

NOTE

(1) GU L 281del 23.11.1995, pag. 31.

(2) GU L 8 del12.1.2001, pag. 1.

(3) COM(2011)747.

(4) Regolamento(UE) n. 513/2011, entrato in vigore il 1o giugno 2011.

(5) Cfr., inparticolare, gli articoli 23 e 27 del regolamento sulle agenzie di rating.

(6) Cfr. anchei recenti pareri del GEPD sul pacchetto legislativo relativo alla revisionedella legislazione bancaria (paragrafo 2.1), ai mercati degli strumentifinanziari (MiFID/MiFIR) (paragrafo 2.1) e agli abusi di mercato (paragrafo2.1).

(7) Cfr.considerando 8, 33 e 34 del regolamento sulle agenzie di rating.

(8) COM(2011)651.

(9) Ilregolamento sulle agenzie di rating contiene disposizioni che consentono oimpongono alle autorità competenti e alle autorità settoriali competenti discambiare informazioni tra loro o con l'AESFEM. In particolare, l'articolo 27del regolamento impone all'AESFEM, alle autorità competenti e alle autoritàsettoriali competenti di comunicare le une alle altre le informazioni richiesteai fini dell'esercizio delle funzioni loro assegnate dal regolamento.L'articolo 23 quater conferisce all'AESFEM la facoltà di svolgere indaginiriguardo a persone che partecipano alle attività di rating del credito e allepersone altrimenti collegate o connesse strettamente e in modo sostanziale conle agenzie di rating del credito o con le attività di rating. Secondol'articolo 23 ter, l'AESFEM può anche richiedere a tali persone fisiche difornire tutte le informazioni che ritiene necessarie. Queste disposizioniindicano chiaramente che nel quadro del regolamento sulle agenzie di ratingavrà luogo uno scambio di informazioni.

(10) Proposta dellaCommissione relativa al regolamento del Parlamento europeo e del Consigliorelativo all'abuso di informazioni privilegiate e alla manipolazione delmercato, COM(2011) 651.

(11) Cfr. pareredel GEPD, del 10 febbraio 2012, sulla proposta di regolamento del Parlamento europeoe del Consiglio relativo all'abuso di informazioni privilegiate e allamanipolazione del mercato, COM(2011) 651.

(12) Cfr. anche irecenti pareri del GEPD sul pacchetto legislativo relativo alla revisione dellalegislazione bancaria (paragrafo 2.2), ai mercati degli strumenti finanziari(MiFID/MiFIR) (paragrafo 2.8) e agli abusi di mercato (paragrafo 2.5).

(13) Cfr. anche irecenti pareri del GEPD relativi ai mercati degli strumenti finanziari(MiFID/MiFIR) (paragrafo 2.3) e agli abusi di mercato (paragrafo 2.3.2).

(14) Articolo 23quater, paragrafo 5.

(15) Cfr. articolo6, paragrafo 1, della direttiva 2002/58/CE (GU L 201 del 31.7.2002, pag. 37).

(16) L'articolo15, paragrafo 1, della direttiva 2002/58/CE prevede che tale restrizione´costituisca, ai sensi dell'articolo 13, paragrafo 1, della direttiva 95/46/CE,una misura necessaria, opportuna e proporzionata all'interno di una societàdemocratica per la salvaguardia della sicurezza nazionale (cioè della sicurezzadello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricercae accertamento e perseguimento dei reati, ovvero dell'uso non autorizzato delsistema di comunicazione elettronica. A tal fine gli Stati membri possono tral'altro adottare misure legislative le quali prevedano che i dati sianoconservati per un periodo di tempo limitato per i motivi enunciati nel presenteparagrafo [...]ª.

(17) Cfr., p.es., cause riunite C-92/09 e C-93/09, Volker und Markus Schecke GbR (C-92/09),Hartmut Eifert/Land Hessen (C-92/09), non ancora pubblicata nella Raccolta,punto 74.

(18) Di norma idipendenti ai quali si può far risalire il traffico telefonico e di dati,nonché i destinatari e altri utenti interessati.

(19) Direttiva2003/6/CE del Parlamento europeo e del Consiglio, del 28 gennaio 2003, relativaall'abuso di informazioni privilegiate e alla manipolazione del mercato (abusidi mercato) (GU L 96 del 12.4.2003, pag. 16).

(20) Direttiva2004/39/CE del Parlamento europeo e del Consiglio, del 21 aprile 2004, relativaai mercati degli strumenti finanziari, che modifica le direttive del Consiglio85/611/CEE e 93/6/CEE e la direttiva 2000/12/CE del Parlamento europeo e delConsiglio e che abroga la direttiva 93/22/CEE del Consiglio (GU L 145 del30.4.2004, pag. 1).

(21) Direttiva2009/65/CE del Parlamento europeo e del Consiglio, del 13 luglio 2009,concernente il coordinamento delle disposizioni legislative, regolamentari eamministrative in materia di taluni organismi d'investimento collettivo invalori mobiliari (OICVM) (GU L 302 del 17.11.2009, pag. 32).

(22) Proposta didirettiva del Parlamento europeo e del Consiglio, del 30 aprile 2009, suigestori di fondi di investimento alternativi, che modifica le direttive2004/39/CE e 2009/65/CE, COM(2009) 207. (23) Proposta di regolamento del Parlamentoeuropeo e del Consiglio, del 15 settembre 2010, relativo alle vendite alloscoperto e ai credit default swaps, COM(2010) 482.

(24) Proposta diregolamento del Parlamento europeo e del Consiglio concernente l'integrità e latrasparenza del mercato dell'energia, COM(2010) 726.

(25) Cfr., peresempio, l'articolo 12, paragrafo 2, della direttiva sugli abusi di mercato dicui alla nota 20. Cfr. anche l'articolo 50 della direttiva MiFID, di cui allanota 21.

(26) L'espressione´documentazione relativa al traffico telefonico e al traffico datiª puòcomprendere una grande varietà di informazioni, tra cui la durata, l'ora e ilvolume di una comunicazione, il protocollo usato, l'ubicazionedell'apparecchiatura terminale del mittente/chiamante e del ricevente, la retesulla quale la comunicazione ha origine o termina, l'inizio, la fine e ladurata di una connessione e persino l'elenco dei siti Internet visitati e ilcontenuto delle comunicazioni stesse, qualora siano registrati. Nella misura incui riguardano persone fisiche identificate o identificabili, tutte questeinformazioni costituiscono dati personali.

(27) Cfr. articolo6, paragrafo 1, lettera c), della direttiva 95/46/CE e articolo 4, paragrafo 1,lettera c), del regolamento (CE) n. 45/2001. Occorre inoltre esaminare lapossibilità di adottare specifiche salvaguardie per evitare la raccolta e iltrattamento di dati destinati esclusivamente a uso privato.

(28) Come giàrilevato, la direttiva e-Privacy ha sancito il principio generale secondo cui idati sul traffico devono essere cancellati o resi anonimi quando non sono piùnecessari ai fini della trasmissione di una comunicazione. Tali dati possonoessere sottoposti a ulteriore trattamento soltanto ai fini della fatturazione edel pagamento per l'interconnessione e soltanto sino alla fine del periododurante il quale può essere legalmente contestata la fattura o preteso ilpagamento. Qualsiasi deroga a tale principio deve essere necessaria, opportunae proporzionata all'interno di una società democratica per il perseguimento dispecifiche finalità di ordine pubblico, ossia per la salvaguardia dellasicurezza nazionale (cioè della sicurezza dello Stato), della difesa, dellasicurezza pubblica e la prevenzione, la ricerca, l'accertamento e ilperseguimento dei reati, ovvero dell'uso non autorizzato dei sistemi dicomunicazione elettronica.

(29) COM(2011)747.

(30) Cfr. anchei recenti pareri del GEPD sul pacchetto legislativo relativo alla revisionedella legislazione bancaria (paragrafo 2.4), ai mercati degli strumentifinanziari (MiFID/MiFIR) (paragrafo 2.5) e agli abusi di mercato (paragrafo2.6).

(31) Causeriunite C-92/09 e C-93/09, Schecke, punti 56-64.

(32) Inproposito cfr. anche il parere del GEPD, del 15 aprile 2011, sulle regolefinanziarie applicabili al bilancio annuale dell'Unione (GU C 215 del21.7.2011, pag. 13).

(33) Peresempio, le autorità nazionali potrebbero prendere in considerazione le misureseguenti: rinviare la pubblicazione finché il ricorso viene respinto o, comeproposto nella relazione sulla valutazione d'impatto, indicare chiaramente chela decisione è oggetto di ricorso e che l'interessato è presunto innocentefinché la decisione non diventa definitiva, pubblicare una rettifica qualora ladecisione sia revocata da un giudice.

(34) Cfr. pareredel GEPD, del 10 aprile 2007, sul finanziamento della politica agricola comune(GU C 134 del 16.6.2007, pag. 1).