Parere del Garante europeo della protezione dei dati sulleproposte della Commissione riguardanti il regolamento del Parlamento europeo edel Consiglio relativo all'abuso di informazioni privilegiate e alla manipolazionedel mercato e la direttiva del Parlamento europeo e del Consiglio relativa allesanzioni penali in caso di abuso di informazioni privilegiate e dimanipolazione del mercato

(Pubblicato sulla GUUE n. C 177 del 20.6.2012)

IL GARANTE EUROPEO DELLA PROTEZIONEDEI DATI,

visto il trattato sul funzionamentodell'Unione europea, in particolare l'articolo 16,

vista la Carta dei dirittifondamentali dell'Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati ⁽²⁾, in particolare l'articolo 28,paragrafo 2,

HA ADOTTATO IL SEGUENTE PARERE

1. INTRODUZIONE

1.1. Consultazione del GEPD

1. Il presente parere è parte di unpacchetto di quattro pareri del GEPD relativi al settore finanziario, adottatitutti il medesimo giorno ⁽³⁾.

2. Il 20 ottobre 2011, la Commissioneha adottato una proposta di regolamento del Parlamento europeo e del Consigliorelativo all'abuso di informazioni privilegiate e alla manipolazione delmercato (´proposta di regolamentoª) e una proposta di direttiva del Parlamentoeuropeo e del Consiglio relativa alle sanzioni penali in caso di abuso diinformazioni privilegiate e di manipolazione del mercato (´proposta didirettivaª). Il 31 ottobre 2011 il GEPD ha ricevuto dalla Commissione leproposte di regolamento e di direttiva (denominate congiuntamente ´leproposteª) a fini di consultazione. Il 6 dicembre 2011 il Consiglio dell'Unioneeuropea ha consultato il GEPD in merito alle suddette proposte.

3. Il GEPD è stato consultato in modoinformale prima dell'adozione della proposta di regolamento e constata che laproposta tiene conto di diverse delle sue osservazioni.

4. Il GEPD si compiace di esserestato consultato dalla Commissione e dal Consiglio.

1.2. Obiettivi e ambito diapplicazione delle proposte

5. La direttiva sugli abusi dimercato (´MADª) ⁽⁴⁾, adottata agli inizi del 2003,ha introdotto un quadro normativo comune a livello dell'UE allo scopo diprevenire, individuare e sanzionare sia l'abuso di informazioni privilegiate,sia la manipolazione del mercato.

6. Dopo alcuni anni dall'entrata invigore della MAD, la Commissione ne ha valutato l'applicazione individuando unaserie di problemi costituiti, ad esempio, da lacune nella regolamentazione dialcuni strumenti e mercati, applicazione scarsamente efficace (le autorità diregolamentazione non dispongono di determinati poteri e informazioni e lesanzioni sono carenti o non sufficientemente dissuasive), assenza di chiarezzasu alcuni concetti fondamentali e oneri amministrativi per gli emittenti.

7. Alla luce dei problemi sopraindicati e dei cambiamenti importanti che hanno caratterizzato il panoramafinanziario attraverso gli sviluppi sul piano normativo, di mercato etecnologico, la Commissione ha adottato due proposte legislative per la riformadella MAD, ossia la proposta di regolamento e la proposta di direttiva.Nell'ambito degli obiettivi strategici, la proposta di revisione mira adaccrescere la fiducia degli investitori e l'integrità del mercato e arispondere ai nuovi sviluppi che investono il settore finanziario.

8. In particolare, la proposta diregolamento estende il campo di applicazione del quadro normativo sugli abusidi mercato, riconosce come reati specifici i tentativi di manipolare il mercatoe il tentativo di abuso d'informazioni privilegiate, rafforza i poteri diindagine concessi alle autorità competenti e introduce delle regole minimerelative a misure amministrative, sanzioni e ammende.

9. La proposta di direttiva imponeagli Stati membri di introdurre sanzioni penali per l'abuso d'informazioniprivilegiate o la manipolazione del mercato perpetrati intenzionalmente, nonchéper l'istigazione, il favoreggiamento e il concorso o il tentativo nellacommissione di uno di questi reati. La proposta estende anche la responsabilitàalle persone giuridiche, compresa la responsabilità penale delle personegiuridiche, se del caso.

1.3. Scopo del parere del GEPD

10. Alcune delle misure contenutenelle proposte mirano a potenziare l'impatto dell'integrità del mercato e dellatutela degli investitori sui diritti degli individui in materia di trattamentodei loro dati personali.

11. In particolare, nell'ambitod'indagini o cooperazioni effettuate dalle autorità competenti allo scopo dirilevare, segnalare e/o sanzionare un abuso di informazioni privilegiate o unabuso di mercato, si verifica la raccolta, il trattamento e lo scambio di unaserie di dati personali. Inoltre, il meccanismo che esorta le persone asegnalare le violazioni comporterà anche il trattamento dei dati personali siadella persona che segnala le violazioni, sia della persona ´accusataª. Infine,il regime sanzionatorio inciderà sul diritto alla protezione dei datipersonali, nella misura in cui saranno pubblicate le sanzioni in cui vieneidentificato l'autore della violazione della proposta di regolamento.

12. Mentre la proposta di regolamentocontiene diverse disposizioni suscettibili di ledere il diritto dell'individuoalla protezione dei propri dati personali, la proposta di direttiva non prevededi per sé il trattamento dei dati personali. Pertanto, il presente parere sisoffermerà sulla proposta di regolamento e, in particolare, sulle seguentiquestioni: 1) applicabilità della normativa in materia di protezione dei dati,2) elenchi di persone che hanno accesso a informazioni privilegiate, 3) poteridelle autorità competenti, 4) sistemi in atto per rilevare e segnalare leoperazioni sospette, 5) scambio d'informazioni con paesi terzi, 6)pubblicazione delle sanzioni e segnalazione di violazioni.

2. ANALISI DELLEPROPOSTE

2.1. Applicabilità della normativa inmateria di protezione dei dati

13. Sia i considerando ⁽⁵⁾ che le disposizioni ⁽⁶⁾ della proposta di regolamento contengono un riferimento allaCarta dei diritti fondamentali, alla direttiva 95/46/CE e al regolamento (CE)n. 45/2001. In particolare, l'articolo 22 della proposta di regolamento prevedeespressamente come regola generale che ´per quanto riguarda il trattamento didati personali effettuato dagli Stati membri nel quadro del presenteregolamento, le autorità competenti applicano le disposizioni della direttiva95/46/CE. Per quanto riguarda il trattamento di dati personali effettuatodall'AESFEM nel quadro del presente regolamento, l'AESFEM si conforma alledisposizioni del regolamento (CE) n. 45/2001ª. Inoltre, dispone che i datipersonali vengano conservati per un periodo massimo di 5 anni.

14. Il GEPD accoglie con grandefavore questa disposizione generale e apprezza nel complesso che la proposta diregolamento abbia riservato particolare attenzione alla normativa in materia diprotezione dei dati. Tuttavia, suggerisce che la disposizione venga riformulatamettendo in rilievo l'applicabilità della normativa vigente in materia diprotezione dei dati. Inoltre, dovrebbe essere chiarito il riferimento alladirettiva 95/46/CE specificando che le disposizioni si applicano conformementealle norme nazionali di recepimento della direttiva 95/46/CE. Il GEPD rilevache alcune disposizioni della proposta di regolamento fanno esplicitoriferimento alla direttiva 95/46/CE e/o al regolamento (CE) n. 45/2001. Questoevidenzia l'applicazione delle norme pertinenti in materia di protezione deidati in casi specifici, ma non implica l'impossibilità di applicarle qualoranon siano esplicitamente menzionate in ogni disposizione (potenzialmente)relativa al trattamento dei dati personali.

15. Come per il considerando 33,anche gli altri considerando dovrebbero usare in modo coerente la formulazioneche gli Stati membri ´devonoª e non solo ´dovrebberoª rispettare la normativapertinente in materia di protezione dei dati, dal momento che detta normativa èin vigore e non vi è alcun margine di discrezionalità per quanto concerne lasua applicabilità.

2.2. Elenchi di persone che hannoaccesso a informazioni privilegiate

16. La proposta di regolamentoprevede per gli emittenti di uno strumento finanziario o i partecipanti almercato delle quote di emissione l'obbligo di redigere un elenco di tutticoloro con i quali esiste un rapporto di collaborazione professionale, sitratti di un contratto di lavoro dipendente o altro, e che hanno accesso alleinformazioni privilegiate (articolo 13, paragrafo 1). Gli emittenti di unostrumento finanziario i cui strumenti finanziari sono ammessi alla negoziazionesu un mercato di crescita per le PMI sono esentati da tale obbligo, tranne serichiesto dall'autorità competente (articolo 13, paragrafo 2).

17. Il GEPD riconosce la necessità ditale elenco come strumento importante per le autorità competenti nell'ambito diindagini su eventuali abusi di informazioni privilegiate o abusi di mercato.Tuttavia, nella misura in cui tali elenchi riguardano il trattamento di datipersonali, le regole e le garanzie principali per la protezione dei dati devonoessere previste nella norma fondamentale Pertanto, il GEPD raccomanda di fareesplicito riferimento alla finalità di tale elenco in una disposizionesostanziale della proposta di regolamento. Difatti la finalità costituisce unodegli elementi essenziali di qualsiasi trattamento, ai sensi dell'articolo 6della direttiva 95/46/CE.

18. Ai sensi dell'articolo 13, paragrafo4, della proposta di regolamento, la Commissione adotta, tramite atti delegati,misure che stabiliscono il contenuto dell'elenco (incluse le informazionirelative all'identità e ai motivi per cui delle persone debbano essere inseritein un elenco di questo tipo), nonché le condizioni alle quali gli emittentidevono redigere un elenco di questo tipo (incluse le condizioni alle quali talielenchi devono essere aggiornati, la durata del periodo durante il quale devonoessere conservati e le responsabilità delle persone che vi figurano). Tuttavia,il GEPD raccomanda di:

— inserire nella stessaproposta di regolamento i principali elementi dell'elenco (in ogni caso, leragioni per cui le persone vi figurano),

— inserire un riferimento allanecessità di consultare il GEPD nella misura in cui gli atti delegatiriguardano il trattamento dei dati personali.

2.3. Poteri delle autorità competenti19. L'articolo 17, paragrafo 2, elenca i poteri di vigilanza e di indagine chele autorità competenti devono

almeno disporre per adempiere ai loroobblighi in conformità alla proposta di regolamento.

20. Due poteri, segnatamente,meritano particolare attenzione data la loro interferenza con i diritti dellavita privata e della protezione dei dati: il potere di accedere a localiprivati per sequestrare documenti sotto qualsiasi forma e il potere dirichiedere le registrazioni esistenti relative al traffico telefonico e alloscambio di dati.

2.3.1. Il potere di accedere a localiprivati

21. Il potere di accedere a localiprivati per sequestrare documenti sotto qualsiasi forma è altamente intrusivo einterferisce con il diritto alla vita privata. Per questo motivo, tale poteredovrebbe essere subordinato a condizioni rigorose e accompagnato da idoneemisure di salvaguardia ⁽⁷⁾. L'articolo 17, paragrafo 2,lettera e), prescrive che l'accesso a locali privati avviene dopo aver ottenutola preventiva autorizzazione dell'autorità giudiziaria dello Stato membro inquestione in conformità alla legislazione nazionale e quando esista un ragionevolesospetto che documenti connessi all'oggetto dell'ispezione possano avererilevanza per provare un caso di abuso di informazioni privilegiate o dimanipolazione del mercato. Il GEPD plaude al fatto che il testo tenga conto deipoteri delle autorità competenti, disponendo come condizioni per poter accederea locali privati il ragionevole sospetto di una violazione della proposta diregolamento o di direttiva e la preventiva autorizzazione dell'autoritàgiudiziaria. Tuttavia, il GEPD ritiene che il requisito generale di unapreventiva autorizzazione giudiziaria, indipendentemente dal fatto se lorichieda o meno la legislazione nazionale, sia giustificato e al tempo stessonecessario, vista la potenziale natura intrusiva del potere in questione.

22. Il considerando 30 della propostadi regolamento enuncia i casi in cui l'accesso a locali privati è necessario,ossia quando la persona cui è già stato chiesto di fornire l'informazione nonha dato seguito (in tutto o in parte) a tale richiesta; oppure quando vi sonobuone ragioni di ritenere che se anche si producesse una richiesta diinformazioni ad essa non verrebbe dato seguito o che i documenti o leinformazioni a cui la richiesta si riferisce verrebbero rimossi, manomessi odistrutti. Il GEPD si compiace di queste enunciazioni. Tuttavia, ritiene chequeste siano salvaguardie supplementari necessarie ad assicurare il rispettodel diritto alla vita privata e che andrebbero quindi inserite in unadisposizione sostanziale quale condizione per accedere a locali privati.

2.3.2. Il potere di chiedere leregistrazioni esistenti relative al traffico telefonico e allo scambio di dati

23. L'articolo 17, paragrafo 2,lettera f), autorizza le autorità competenti a ´chiedere le registrazioniesistenti relative al traffico telefonico e allo scambio di dati conservate daun operatore di telecomunicazioni o da una società di investimentoª, tuttaviachiarisce che la richiesta è subordinata all'esistenza di un ´ragionevolesospettoª che tali registrazioni ´possano essere rilevanti al fine didimostrare l'abuso di informazioni privilegiate o la manipolazione del mercatoªai sensi della proposta di regolamento e della proposta di direttiva. Taliregistrazioni non riguardano tuttavia ´il contenuto della comunicazione alla qualesi riferisconoª. Inoltre, l'articolo 17, paragrafo 3, dispone che i poteri dicui al paragrafo 2 siano esercitati in conformità alla legislazione nazionale.

24. I dati riguardanti l'uso distrumenti di comunicazione elettronici possono comprendere un'ampia gammad'informazioni personali, quali l'identità delle persone che fanno e ricevonola telefonata, la data e la durata della stessa, la rete utilizzata, laposizione geografica dell'utente in caso di dispositivi mobili ecc. Alcuni daticoncernenti l'uso di Internet e della posta elettronica (per esempio, l'elencodei siti Internet visitati) possono rivelare altresì particolari importanti delcontenuto della comunicazione. Inoltre, il trattamento dei dati sul trafficoentra in conflitto con la segretezza della corrispondenza. Alla luce di quantoesposto, la direttiva 2002/58/CE ⁽⁸⁾ (direttiva e-privacy) ha stabilito il principio secondo cui idati sul traffico devono essere cancellati o resi anonimi quando non sono piùnecessari ai fini della trasmissione di una comunicazione ⁽⁹⁾. Secondo l'articolo 15, paragrafo 1, della direttiva inquestione, gli Stati membri possono disporre deroghe nelle legislazioninazionali per specifici scopi legittimi, ma queste devono essere necessarie,opportune e proporzionate all'interno di una società democratica, perraggiungere questi scopi ⁽¹⁰⁾.

25. Il GEPD riconosce che gliobiettivi perseguiti dalla Commissione nella proposta di regolamento sonolegittimi. Comprende la necessità d'iniziative volte a rafforzare la vigilanzadei mercati finanziari al fine di preservarne la solidità e tutelare meglio gliinvestitori e l'economia in generale. Tuttavia, considerata la potenzialenatura intrusiva che comportano, i poteri di indagine direttamente collegatiallo scambio di dati devono soddisfare i requisiti di necessità eproporzionalità, cioè devono essere limitati a quanto è opportuno perrealizzare l'obiettivo perseguito e non devono andare oltre quanto è necessarioper raggiungerlo ⁽¹¹⁾. In tale prospettiva, èpertanto essenziale che detti poteri siano formulati chiaramente per quantoriguarda il campo di applicazione personale e materiale nonché le circostanze ele condizioni del loro esercizio. Inoltre, dev'essere fornita idoneasalvaguardia dal rischio di abusi.

26. Le registrazioni in questionerelative al traffico telefonico e allo scambio di dati coinvolgono ovviamentedati personali ai sensi della direttiva 95/46/CE, della direttiva 2002/58/CE edel regolamento (CE) n. 45/2001. Il considerando 31 della proposta di regolamentoespone quanto segue: ´Le registrazioni relative al traffico telefonico e alloscambio di dati possono determinare l'identità del responsabile delladiffusione di informazioni false o fuorvianti, stabilire che sono intervenuticontatti tra alcune persone per un certo periodo e che due o più persone sonoin relazione fra loroª ⁽¹²⁾. Pertanto, occorre garantireil totale rispetto delle condizioni di un trattamento equo e legittimo dei datipersonali, come previsto dalle direttive e dal regolamento.

2.3.3. Requisito di un'autorizzazionegiudiziaria

27. Il GEPD constata che, ai sensidell'articolo 17, paragrafo 3, questo potere deve essere esercitato inconformità alla legislazione nazionale, ma non viene fatto esplicitoriferimento alla preventiva autorizzazione giudiziaria, come nel caso delpotere di accesso a locali privati. Il GEPD ritiene che l'introduzione in tuttii casi dell'obbligo generale di preventiva autorizzazione giudiziaria,indipendentemente dal fatto se la legislazione nazionale lo preveda o meno, siagiustificata vista la potenziale natura intrusiva del potere in questione enell'interesse di un'applicazione armonizzata della legislazione in tutti gliStati membri dell'UE. Va inoltre considerato che diverse leggi degli Statimembri dispongono garanzie particolari per quanto concerne l'inviolabilitàdella sfera privata a fronte di ispezioni, perquisizioni o sequestrisproporzionati e non attentamente regolamentati, soprattutto a opera diistituzioni di natura amministrativa.

28. Inoltre, il GEPD raccomanda diintrodurre l'obbligo per le autorità competenti di chiedere le registrazionirelative al traffico telefonico e allo scambio di dati mediante decisioneformale che indichi specificamente la base giuridica e lo scopo dellarichiesta, nonché le informazioni richieste, i termini entro cui devono esserefornite e il diritto del destinatario della richiesta di ricorrere contro ladecisione presso la Corte di giustizia.

2.3.4. Definizione di registrazionirelative al traffico telefonico e allo scambio di dati

29. La proposta di regolamento nonreca una definizione delle nozioni di ´registrazioni relative al trafficotelefonico e allo scambio di datiª. La direttiva 2002/58/CE (e-privacy) fariferimento solo ai ´dati relativi al trafficoª ma non alle ´registrazionirelative al traffico telefonico e allo scambio di datiª. Va da sé che l'esattosignificato di queste nozioni determina l'impatto che il potere d'indagine puòavere sulla tutela della vita privata e sulla protezione dei dati delle personeinteressate. Il GEPD suggerisce di utilizzare la terminologia in uso nelladefinizione di ´dati relativi al trafficoª contenuta nella direttiva2002/58/CE.

30. L'articolo 17, paragrafo 2,lettera f), fa riferimento a ´registrazioni esistenti relative al trafficotelefonico e allo scambio di dati conservate da un operatore ditelecomunicazioniª. La direttiva e-privacy stabilisce il principio secondo ilquale i dati relativi al traffico devono essere cancellati quando non sono piùnecessari ai fini commerciali per cui erano stati raccolti. Tuttavia, in baseall'articolo 15, paragrafo 1, della direttiva e-privacy, gli Stati membripossono derogare a tale obbligo ai fini dell'applicazione della legge. Ladirettiva sulla conservazione di dati si propone di allineare le iniziativedegli Stati membri a norma dell'articolo 15, paragrafo 1, della direttivae-privacy, per quanto riguarda la conservazione dei dati per le indagini,l'accertamento e il perseguimento di reati ´graviª.

31. La questione è quella dicomprendere se le registrazioni relative al traffico telefonico e allo scambiodi dati di cui all'articolo 17, paragrafo 2, lettera f), facciano riferimentoai dati disponibili attraverso la conservazione di dati relativi al traffico eall'ubicazione disciplinati dalla direttiva e-privacy o ai dati complementaririchiesti dalla direttiva sulla conservazione di dati. La seconda opzionepotrebbe destare una serie di preoccupazioni dal momento che le deroghepreviste dall'articolo 15, paragrafo 1, della direttiva e-privacy (vale a direla prevenzione, la ricerca, l'accertamento e il perseguimento dei reati)verrebbero utilizzate per ampliare gli scopi per cui sono conservati i dati aisensi della direttiva sulla conservazione di dati (ossia indagine, accertamentoe perseguimento di reati ´graviª). In altri termini, i dati conservaticonformemente alla direttiva sulla conservazione di dati potrebbero esseredunque utilizzati per scopi non contemplati dalla presente direttiva. In questomodo verrebbe incoraggiato a livello europeo il ricorso alla ´falla giuridicaª,una delle principali lacune dell'attuale direttiva sulla conservazione di dati ⁽¹³⁾.

32. Pertanto, il GEPD raccomandavivamente di indicare le categorie delle registrazioni relative al trafficotelefonico e allo scambio di dati che le autorità competenti possonorichiedere. Tali dati devono essere adeguati, pertinenti e non eccedentirispetto alla finalità per la quale vengono consultati e trattati. In aggiunta,il GEPD raccomanda di limitare l'articolo 17, paragrafo 2, lettera f), ai datinormalmente trattati (´conservatiª) dagli operatori di telecomunicazioni nelquadro della direttiva e-privacy 2002/58/CE. Questo esclude in linea diprincipio l'accesso ai dati conservati ai sensi della direttiva sullaconservazione di dati, nella misura in cui tale accesso non avviene a fini diindagine, accertamento e perseguimento di reati ´graviª ⁽¹⁴⁾.

33. L'articolo 17, paragrafo 2,lettera f), prevede l'accesso alle ´registrazioni esistenti relative altraffico telefonico e allo scambio di dati conservate da una società diinvestimentoª. Il testo dovrebbe specificare le categorie di registrazioni echiarire la tipologia d'imprese cui si riferisce la disposizione. Il GEPDpresume che le registrazioni coincidano con quelle contemplate dalla propostadi direttiva del Parlamento europeo e del Consiglio relativa ai mercati deglistrumenti finanziari (´la proposta di direttiva MiFIDª). Sottolinea di averformulato alcune osservazioni su tale proposta in cui raccomandava di chiarireanche questi concetti ⁽¹⁵⁾. Inoltre, nella misura in cuii dati telefonici e quelli relativi al traffico riguardano le conversazionitelefoniche e le comunicazioni elettroniche di cui all'articolo 16, paragrafo 7della proposta di direttiva MiFID, il GEPD ha raccomandato di definire lo scopodella registrazione di tali comunicazioni e specificare quali comunicazioni equali categorie di dati delle comunicazioni saranno registrate ⁽¹⁶⁾.

34. Infine, il GEPD si compiace diconstatare che il testo richiede come condizione per l'accesso alleregistrazioni il ragionevole sospetto di una violazione della proposta diregolamento o della proposta di direttiva e che esclude esplicitamentel'accesso da parte delle autorità competenti al contenuto delle comunicazioni.

2.4. Sistemi in atto per rilevare esegnalare le operazioni sospette

35. L'articolo 11, paragrafo 1, dellaproposta di regolamento prevede che chiunque gestisca l'attività di una sede dinegoziazione adotti e mantenga dispositivi e procedure efficaci diretti aprevenire e individuare abusi di mercato. Inoltre, il paragrafo 2 prevede chechiunque predisponga o esegua a titolo professionale operazioni in strumentifinanziari dispone di sistemi per individuare o segnalare ordini e operazioniche potrebbero costituire abuso di informazioni privilegiate, manipolazione dimercato o un tentativo di effettuare manipolazioni di mercato o abusare diinformazioni privilegiate. In caso di sospetto, l'autorità competente vieneinformata senza indugio. La Commissione adotterà le norme tecniche diregolamentazione per stabilire dispositivi e procedure appropriate di cui alprimo paragrafo e stabilire sistemi e modelli di notifica di cui al secondoparagrafo (articolo 11, paragrafo 3, ultima frase).

36. Poiché tali sistemi trattanomolto probabilmente i dati personali (per esempio il monitoraggio delleoperazioni effettuate da coloro che figurano nell'elenco di persone che hannoaccesso ad informazioni privilegiate), il GEPD desidera sottolineare che talinorme andrebbero sviluppate in base al principio della ´privacy by designª,ossia integrando la protezione dei dati e della vita privata fin dall'ideazionedi nuovi prodotti, servizi e nuove procedure che comportano il trattamento deidati personali ⁽¹⁷⁾. Inoltre, il GEPD raccomandadi inserire un riferimento quanto alla necessità di consultare il Garante nellamisura in cui tali standard normativi riguardano il trattamento di datipersonali.

2.5. Scambio d'informazioni con ipaesi terzi

37. Il GEPD prende atto delriferimento alla direttiva 95/46/CE, in particolare agli articoli 25 e 26 ealle specifiche salvaguardie di cui all'articolo 23 della proposta diregolamento riguardante la comunicazione di dati personali a paesi terzi. Nellafattispecie, la valutazione caso per caso, la garanzia della necessità deltrasferimento, l'obbligo di una preventiva ed espressa autorizzazionedell'autorità competente per un ulteriore trasferimento di dati verso e da unpaese terzo e l'esistenza di un adeguato livello di protezione dei datipersonali nel paese terzo che riceve i dati personali rappresentano idoneesalvaguardie alla luce dei rischi inerenti a tali trasferimenti.

2.6. Pubblicazione delle sanzioni2.6.1. Obbligo di pubblicazione delle sanzioni

38. L'articolo 26, paragrafo 3, dellaproposta di regolamento impone agli Stati membri di garantire che le autoritàcompetenti pubblichino immediatamente ogni misura amministrativa e sanzioneirrogata per violazione della proposta di regolamento, assieme alleinformazioni relative almeno al tipo e alla natura della violazione nonchéall'identità dei soggetti che ne sono responsabili, a meno che talepubblicazione metta gravemente a rischio la stabilità dei mercati finanziari.

39. La pubblicazione delle sanzionicontribuirebbe a rafforzare l'effetto deterrente, scoraggiando i responsabilieffettivi e potenziali di violazioni dal commettere reati onde evitare seridanni alla reputazione. Al contempo rafforzerebbe la trasparenza, in quanto glioperatori di mercato verrebbero a conoscenza del fatto che una determinatapersona ha commesso una violazione. L'obbligo si attenua soltanto se lapubblicazione può arrecare un danno sproporzionato alle parti coinvolte, nelqual caso le autorità competenti pubblicano le sanzioni in forma anonima.

40. Il GEPD accoglie con favore ilriferimento nel considerando 35 alla Carta dei diritti fondamentali e inparticolare al diritto alla protezione dei dati personali quando si adottano epubblicano sanzioni. Tuttavia, non è convinto che l'obbligo di pubblicazionedelle sanzioni, così com'è attualmente formulato, soddisfi le condizionirelative alla protezione dei dati stabilite dalla Corte di giustizia nellasentenza Schecke ⁽¹⁸⁾. » del parere che la finalità,la necessità e la proporzionalità della misura non siano dimostrate in modo sufficientee che, in ogni caso, occorra prevedere idonee salvaguardie dei dirittiindividuali.

2.6.2. Necessità e proporzionalitàdella pubblicazione

41. Nella sentenza Schecke la Corteha dichiarato invalide le disposizioni di un regolamento del Consiglio e di unregolamento della Commissione che prevedevano la pubblicazione obbligatoriad'informazioni riguardanti i beneficiari dei fondi agricoli, tra cui l'identitàdei beneficiari e gli importi percepiti. Secondo la Corte, detta pubblicazionecostituisce un trattamento di dati personali ai sensi dell'articolo 8,paragrafo 2, della Carta dei diritti fondamentali dell'Unione europea (´laCartaª) e, pertanto, una lesione dei diritti riconosciuti dagli articoli 7 e 8della Carta.

42. Dopo aver dichiarato che ´lederoghe e le limitazioni alla protezione dei dati personali devono operareentro i limiti dello stretto necessarioª, la Corte ha proseguito l'analisidella finalità della pubblicazione e della proporzionalità. Ha concluso che,nel caso di specie, nulla indicava che il Consiglio e la Commissione avesseropreso in considerazione, in sede di adozione della legislazione in causa,modalità di pubblicazione delle informazioni conformi all'obiettivo di unasimile pubblicazione pur essendo meno lesive dei diritti di detti beneficiari.

43. L'articolo 26, paragrafo 3 dellaproposta di regolamento sembra viziato dalle stesse carenze evidenziate dallaCorte nella sentenza Schecke. Occorre tenere presente che, per valutare laconformità agli obblighi in materia di protezione dei dati di una disposizioneche impone la pubblicazione d'informazioni personali, è indispensabile che siaindicata una finalità chiara e ben definita per la quale è prevista lapubblicazione. Soltanto in presenza di una finalità chiara e ben definita èpossibile valutare se la pubblicazione dei dati personali di cui trattasi siaeffettivamente necessaria e proporzionata ⁽¹⁹⁾.

44. Dopo aver letto la proposta e idocumenti annessi (cioè la relazione sulla valutazione d'impatto), il GEPDritiene che la finalità e, di conseguenza, la necessità della misura non sianodefinite chiaramente. Al riguardo i considerando della proposta tacciono, e larelazione sulla valutazione d'impatto riferisce solamente gli impatti postivigenerali (cioè l'effetto deterrente degli abusi di mercato, il contributo allatutela degli investitori, la parità di trattamento degli emittenti, unamaggiore applicazione della legge), e si limita ad affermare che ´lapubblicazione delle sanzioni è un elemento importante per migliorare latrasparenza e mantenere la fiducia nel mercato finanziarioª e che ´lapubblicazione delle sanzioni comminate avrà un effetto dissuasivo e favoriràl'integrità del mercato e la tutela degli investitoriª ⁽²⁰⁾. Quest'affermazione generale non sembra sufficiente adimostrare la necessità della misura proposta. Se lo scopo generale è unmaggior effetto dissuasivo, la Commissione avrebbe dovuto dimostrare, inparticolare, perché non sarebbero state sufficienti sanzioni pecuniarie piùgravi (o altre sanzioni che non prevedono il ´segnare a ditoª).

45. La relazione sulla valutazioned'impatto non sembra inoltre tenere in considerazione modalità meno intrusive,come la pubblicazione caso per caso. Soprattutto quest'ultima possibilità aprima vista sembra offrire una soluzione più proporzionata, specialmente se siconsidera che la pubblicazione stessa è una sanzione ai sensi dell'articolo 26,paragrafo 1, lettera d), che deve essere pertanto valutata caso per caso,tenendo conto delle relative circostanze come per esempio la gravità dellaviolazione, il grado di responsabilità personale, la recidiva, le perditesubite dai terzi, eccetera ⁽²¹⁾.

46. La relazione sulla valutazioned'impatto non spiega il motivo per cui la pubblicazione caso per caso non siasufficiente. La relazione menziona soltanto che la pubblicazione delle sanzionicomminate ´contribuirà al conseguimento dell'obiettivo di eliminare opzioni efacoltà, ove possibile, annullando l'attuale facoltà degli Stati membri di nonesigere tale pubblicazioneª ⁽²²⁾. Tuttavia, a parere del GEPD,è proprio questo aspetto — cioè la possibilità di valutare il caso allaluce delle circostanze specifiche — a rendere questa soluzione piùproporzionata e quindi preferibile all'obbligo di pubblicazione in ogni caso.Questa discrezione permetterebbe all'autorità competente, per esempio, di evitarela pubblicazione nei casi in cui la violazione sia meno grave, la violazionenon provochi danni significativi, la parte si sia mostrata disposta acollaborare, ecc. Di conseguenza, la valutazione d'impatto non fuga i dubbicirca la necessità e la proporzionalità della misura.

2.6.3. La necessità di idoneesalvaguardie

47. La proposta di regolamentoavrebbe dovuto prevedere idonee salvaguardie per garantire il giusto equilibriotra i diversi interessi in gioco. In primo luogo, sono necessarie salvaguardierelative al diritto dell'accusato di impugnare la decisione dinanzi a ungiudice e alla presunzione di innocenza. Al riguardo, si sarebbe dovuto usareun linguaggio specifico nel testo dell'articolo 26, paragrafo 3, in modo daimporre alle autorità competenti di adottare opportuni provvedimenti nei casiin cui la decisione sia oggetto di ricorso e in cui venga infine revocata da ungiudice ⁽²³⁾.

48. In secondo luogo, la proposta diregolamento dovrebbe garantire il rispetto dei diritti degli interessati inmodo proattivo. Il GEPD riconosce che la versione finale della proposta prevedela possibilità di escludere la pubblicazione nel caso in cui provochi dannisproporzionati. Tuttavia un approccio proattivo dovrebbe prevedere che gliinteressati siano preventivamente informati del fatto che la decisione diapplicare sanzioni nei loro confronti sarà pubblicata e che, in forzadell'articolo 14 della direttiva 95/46/CE, è loro riconosciuto il diritto diopporsi per motivi preminenti e legittimi ⁽²⁴⁾.

49. In terzo luogo, la proposta di regolamentonon specifica il mezzo attraverso il quale l'informazione sarà pubblicata, ma,nella pratica, è immaginabile che nella maggior parte degli Stati membri lapubblicazione avverrà su Internet. Le pubblicazioni su Internet presentanopericoli e criticità specifiche riguardanti, in particolare, la necessità digarantire che le informazioni siano a disposizione online solo per il periodostrettamente necessario e che i dati non possano essere manipolati o alterati.L'uso di motori di ricerca esterni comporta inoltre il rischio che leinformazioni siano estrapolate dal contesto e inoltrate attraverso e al difuori di Internet in modo difficile da controllare ⁽²⁵⁾.

50. Alla luce di quanto precede, ènecessario imporre agli Stati membri di assicurare che i dati personali degliinteressati siano a disposizione online solo per un periodo di temporagionevole, al termine del quale saranno sistematicamente cancellati ⁽²⁶⁾. Gli Stati membri dovrebbero inoltre essere tenuti a garantireidonee salvaguardie e misure di sicurezza, soprattutto contro i rischi connessiall'uso dei motori di ricerca esterni ⁽²⁷⁾.

2.6.4. Conclusione

51. Il GEPD è del parere che ladisposizione relativa all'obbligo di pubblicazione delle sanzioni — cosìcom'è attualmente formulata — non sia compatibile con il dirittofondamentale al rispetto della vita privata e alla protezione dei dati. Illegislatore dovrebbe valutare con attenzione la necessità del sistema propostoe verificare se l'obbligo di pubblicazione non vada oltre lo stretto necessarioper conseguire l'obiettivo di interesse pubblico perseguito e se non esistanomisure meno restrittive per ottenere il medesimo obiettivo. Subordinatamenteall'esito di questo test della proporzionalità, l'obbligo di pubblicazionedovrebbe in ogni caso essere sostenuto da salvaguardie idonee a garantire ilrispetto della presunzione di innocenza, il diritto degli interessati diopporsi, la sicurezza/esattezza dei dati e la loro cancellazione dopo unadeguato periodo di tempo.

2.7. Segnalazione di violazioni

52. L'articolo 29 della proposta diregolamento impone agli Stati membri di istituire meccanismi efficaci per lasegnalazione di violazioni, noti anche come sistemi di denuncia. Pur potendoessere uno strumento efficace per garantire la conformità, tali sistemisollevano questioni significative dal punto di vista della protezione dei dati ⁽²⁸⁾.

53. Il GEPD accoglie con favore ilfatto che la proposta di regolamento contenga salvaguardie specifiche, dasviluppare ulteriormente a livello nazionale, riguardanti la protezione dellepersone che segnalano sospette violazioni e, più in generale, la protezione deidati personali. Il GEPD è consapevole del fatto che la proposta di regolamentosi limita a stabilire gli elementi principali del regime che gli Stati membridovranno istituire. Desidera nondimeno richiamare l'attenzione sugli aspettiseguenti.

Come in altri pareri ⁽²⁹⁾, il GEPD sottolinea la necessità di introdurre un riferimentospecifico alla necessità di tutelare la riservatezza dei denuncianti e degliinformatori. Il GEPD segnala che la posizione dei denuncianti è delicata.Occorre garantire alle persone che forniscono tali informazioni che i datisulla loro identità non saranno rivelati a terzi, in particolare al presuntoautore dell'illecito denunciato ⁽³⁰⁾. La riservatezza dell'identitàdel denunciante deve essere garantita in tutte le fasi della procedura, purchéciò non sia in contrasto con le normative nazionali che disciplinano iprocedimenti giudiziari. In particolare, potrebbe essere necessario rivelarel'identità del denunciante nel contesto di ulteriori indagini o di successiviprocedimenti giudiziari (compreso il caso in cui si accerti che il denuncianteha dichiarato il falso in malafede) ⁽³¹⁾. In considerazione di quanto precede, il GEPD raccomanda diaggiungere alla lettera b) dell'articolo 29, paragrafo 1, la seguentedisposizione: ´l'identità di queste persone è garantita in tutte le fasi dellaprocedura, fatte salve le disposizioni nazionali che ne impongano lacomunicazione nel contesto di ulteriori indagini o di successivi procedimentigiudiziariª.

il GEPD è lieto di constatare chel'articolo 29, paragrafo 1, lettera c) impone agli Stati membri di garantire laprotezione dei dati personali concernenti sia la persona che segnala leviolazioni sia la persona fisica presunta responsabile della violazione, inconformità ai principi stabiliti nella direttiva 95/46/CE. Propone tuttavia dieliminare ´i principi stabiliti nellaª, al fine di rendere il rimando alladirettiva più completo e vincolante. Per quanto riguarda la necessità dirispettare la normativa in materia di protezione dei dati nell'attuazionepratica dei regimi, il GEPD desidera sottolineare, in particolare, leraccomandazioni formulate dal gruppo di lavoro ´articolo 29ª nel parere del2006 relativo alla denuncia di irregolarità. Tra l'altro, nell'attuare isistemi nazionali, gli enti interessati devono tenere presente la necessità dirispettare la proporzionalità limitando il più possibile le categorie disoggetti autorizzati a presentare denunce, le categorie di soggettidenunciabili e le violazioni per le quali possono essere denunciati; lanecessità di promuovere denunce nominative e riservate rispetto alle denunceanonime; la necessità di prevedere la possibilità di rivelare l'identità deldenunciante nel caso in cui abbia dichiarato il falso in malafede; e lanecessità di rispettare termini rigorosi di conservazione dei dati.

3. CONCLUSIONI

Il GEPD accoglie con favorel'attenzione particolare rivolta alla protezione dei dati nella proposta di

regolamento.

Il GEPD formula le seguentiraccomandazioni:

— indicare all'articolo 13 lafinalità dell'elenco di persone che hanno accesso ad informazioni privilegiate,

— introdurre all'articolo 17,paragrafo 2, lettera e), concernente il potere di accedere a locali privati, lapreventiva autorizzazione giudiziaria come requisito generale,

— introdurre all'articolo 17,paragrafo 2, lettera f), riguardante il potere di richiedere le registrazionirelative al traffico telefonico e allo scambio di dati, la preventivaautorizzazione giudiziaria come requisito generale e il requisito di unadecisione formale che specifichi: i) la base giuridica, ii) lo scopo dellarichiesta, iii) le informazioni richieste, iv) i tempi entro cui devono esserefornite e v) il diritto del destinatario della richiesta di ricorrere contro ladecisione presso la Corte di giustizia,

— specificare le categorie diregistrazioni relative al traffico telefonico e allo scambio di dati conservateda un operatore di telecomunicazioni o da una società di investimento che leautorità competenti possono richiedere e limitare l'articolo 17, paragrafo 2,lettera f) ai dati normalmente trattati (´conservatiª) da parte degli operatoridi telecomunicazioni nel quadro della direttiva 2002/58/CE,

— aggiungere all'articolo 29,paragrafo 1, lettera b), una clausola così formulata: ´l'identità di queste personeè garantita in tutte le fasi della procedura, fatte salve le disposizioninazionali che ne impongano la comunicazione nel contesto di ulteriori indaginio di successivi procedimenti giudiziariª,

— alla luce dei dubbi espressinel presente parere, valutare la necessità e la proporzionalità del sistemaproposto che impone l'obbligo di pubblicazione delle sanzioni. Subordinatamenteall'esito del test di necessità e proporzionalità, prevedere in ogni casosalvaguardie idonee a garantire il rispetto della presunzione di innocenza, ildiritto degli interessati di opporsi, la sicurezza/esattezza dei dati e la lorocancellazione dopo un adeguato periodo di tempo.

Fatto a Bruxelles, il 10 febbraio2012

Giovanni BUTTARELLI

Garante europeo aggiunto dellaprotezione dei dati

NOTE                                      

(1) GU L 281del 23.11.1995, pag. 31.

(2) GU L 8 del12.1.2001, pag. 1.

(3) Pareri delGEPD del 10 febbraio 2012 sul pacchetto legislativo relativo alla revisionedella legislazione bancaria, alle agenzie di rating del credito, ai mercatidegli strumenti finanziari (MiFID/MiFIR) e agli abusi di mercato.

(4) Direttiva2003/6/CE del Parlamento europeo e del Consiglio, del 28 gennaio 2003, relativaall'abuso di informazioni privilegiate e alla manipolazione del mercato (abusidi mercato), GU L 96 del 12.4.2003, pag. 16.

(5) Cfr. iconsiderando 33, 35, 39 e 40 della proposta di regolamento.

(6) Cfr. gliarticoli 17, paragrafo 4, l'articolo 22, l'articolo 23 e l'articolo 29,paragrafo 1, lettera c), della proposta di regolamento.

(7) Cfr. in particolarela CEDU, 23 febbraio 1993, Funcke v. France, 10828/84.

(8) Direttiva2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativaal trattamento dei dati personali e alla tutela della vita privata nel settoredelle comunicazioni elettroniche (GU L 201, del 31.7.2002, pag. 37).

(9) Cfr.l'articolo 6, paragrafo 1, della direttiva 2002/58/CE (GU L 201 del 31.7.2002,pag. 37).

(10) Cfr.l'articolo 15, paragrafo 1, della direttiva 2002/58/CE, nel quale si stabilisceche tali restrizioni devono ´costituire una misura necessaria, opportuna eproporzionata all'interno di una società democratica per la salvaguardia dellasicurezza nazionale (cioè della sicurezza dello Stato), della difesa, dellasicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento deireati, ovvero dell'uso non autorizzato del sistema di comunicazioneelettronica, come citato nell'articolo 13, paragrafo 1, della direttiva95/46/CE. A tal fine gli Stati membri possono tra l'altro adottare misure legislativele quali prevedano che i dati siano conservati per un periodo di tempo limitatoper i motivi enunciati nel presente paragrafoª.

(11) Cfr., peresempio, cause riunite C-92/09 e C-93/09, Volker und Markus Schecke GbR(C-92/09), Hartmut Eifert (C-92/09) contro Land Hessen, non ancora pubblicatanella Raccolta, punto 74.

(12) Cfr.inoltre pag. 12 e segg. della relazione della proposta di regolamento.

(13) Si legga alriguardo il parere del GEPD del 31 maggio 2011 sulla relazione di valutazionerelativa all'applicazione della direttiva sulla conservazione di dati(direttiva 2006/24/CE) presentata dalla Commissione al Consiglio e alParlamento europeo, ad es. il paragrafo 24.

(14) Il GEPDdesidera ribadire i problemi legati alla mancanza di una definizione europea di´reati graviª. Esso, infatti, ha sottolineato che la relazione sullavalutazione della Commissione relativa alla direttiva sulla conservazione didati mostra che la scelta di lasciare la definizione esatta di ciò checostituisce un ´reato graveª a discrezione degli Stati membri, ha dato luogo asvariate finalità d'uso dei dati. La Commissione ha dichiarato che ´La maggiorparte degli Stati membri che hanno recepito la direttiva consente, a normadella rispettiva legislazione, l'accesso e il ricorso ai dati conservati perfini che vanno oltre quelli previsti dalla direttiva stessa, tra cui laprevenzione e il contrasto della criminalità in generale e i rischi per la vitae l'incolumità delle personeª. Si legga il parere del GEPD del 31 maggio 2011sulla relazione di valutazione relativa all'applicazione della direttiva sullaconservazione di dati (direttiva 2006/24/CE) presentata dalla Commissione alConsiglio e al Parlamento europeo, paragrafi 24, 71 e 72.

(15) Ai sensidell'articolo 71, paragrafo 2, lettera d), l'autorità competente ai sensi dellaproposta di direttiva MiFID è autorizzata a chiedere le registrazioni esistentidi traffico telefonico e di scambio di dati conservate dalle società diinvestimento, se esiste il ragionevole sospetto di una violazione dellaproposta di direttiva MiFID.

(16) Cfr. ilparere del GEPD del 10 febbraio 2012 su una proposta di direttiva delParlamento europeo e del Consiglio relativa ai mercati degli strumentifinanziari che abroga la direttiva 2004/39/CE del Parlamento europeo e delConsiglio (Rifusione), e su una proposta di regolamento del Parlamento europeoe del Consiglio sui mercati degli strumenti finanziari e che modifica ilregolamento [EMIR] sugli strumenti derivati OTC, le controparti centrali e i repertoridi dati sulle negoziazioni.

(17) Cfr. ilparere del GEPD del 14 gennaio 2011 sulla comunicazione della Commissione alParlamento europeo, al Consiglio, al Comitato economico e sociale europeo e alComitato delle regioni — ´Un approccio globale alla protezione dei datipersonali nell'Unione europeaª (GU C 181 del 22.6.2011, pag. 1), paragrafi108-115.

(18) Causeriunite C-92/09 e C-93/09, Schecke, punti 56-64.

(19) In propositocfr. anche il parere del GEPD del 15 aprile 2011 sulle regole finanziarieapplicabili al bilancio annuale dell'Unione (GU C 215 del 21.7.2011, pag. 13).

(20) Cfr. larelazione sulla valutazione d'impatto, pag. 166.

(21) Vale adire, conformemente all'articolo 27 della proposta di regolamento chestabilisce i criteri per la determinazione delle sanzioni.

(22) Cfr. larelazione sulla valutazione d'impatto, pag. 167.

(23) Peresempio, le autorità nazionali potrebbero prendere in considerazione le misureseguenti: rinviare la pubblicazione finché il ricorso viene respinto o, comeproposto nella relazione sulla valutazione d'impatto, indicare chiaramente chela decisione è oggetto di ricorso e che l'interessato è presunto innocente finoalla decisione definitiva, pubblicare una rettifica qualora la decisione siarevocata da un giudice.

(24) Cfr. ilparere del GEDP del 10 aprile 2007 relativo al finanziamento della politicaagricola comune (GU C 134 del 16.6.2007, pag. 1).

(25) Al riguardocfr. il documento pubblicato dal Garante italiano per la protezione dei dati,Linee guida in materia di trattamento di dati personali contenuti anche in attie documenti amministrativi, effettuato da soggetti pubblici per finalità dipubblicazione e diffusione sul web, disponibile all'indirizzo,http://www.garanteprivacy.it/garante/doc.jsp?ID= 1793203

(26) Questapreoccupazione riguarda anche il più generale diritto all'oblio, la cuiinclusione nel nuovo quadro legislativo per la protezione dei dati personali èin discussione.

(27) Tali misuree garanzie possono prevedere, per esempio, l'esclusione dell'indicizzazione deidati per mezzo dei motori di ricerca esterni.

(28) Il gruppodi lavoro ´articolo 29ª ha pubblicato un parere su tali regimi nel 2006, in cuiesamina gli aspetti della questione legati alla protezione dei dati: parere1/2006 relativo all'applicazione della normativa UE sulla protezione dei datialle procedure interne per la denuncia delle irregolarità riguardanti la tenutadella contabilità, i controlli contabili interni, la revisione contabile, lalotta contro la corruzione, la criminalità bancaria e finanziaria. Il parere èdisponibile all'indirizzo:http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm

(29) Cfr., peresempio, il parere del GEPD del 15 aprile 2011 sulle regole finanziarieapplicabili al bilancio annuale dell'Unione, e il parere del 1∞ giugno 2011relativo alle indagini svolte dall'Ufficio per la lotta antifrode (OLAF),entrambi disponibili all'indirizzo http://www.edps.europa.eu

(30)L'importanza di garantire che l'identità del denunciante resti segreta è giàstata sottolineata dal GEPD in una lettera al Mediatore europeo del 30 luglio2010, relativa al caso 2010-0458, reperibile nel sito Internet del GEPD (www.edps.europa.eu). Cfr. anche i pareri del GEPD sul controllo preventivo del 3febbraio 2012 e del 23 giugno 2006 (caso 2005-0418), concernente le indaginiinterne dell'OLAF, e del 4 ottobre 2007 (casi 2007-47, 2007-48, 2007-49,2007-50, 2007-72), concernente le indagini esterne dell'OLAF.

(31) Cfr. ilparere del 15 aprile 2011 sulle regole finanziarie applicabili al bilancioannuale dell'Unione, disponibile all'indirizzo: http://www.edps.europa.eu