GARANTE EUROPEO
  DELLA PROTEZIONE DATI PERSONALI

Parere del Garante europeo della protezione dei dati sulleproposte della Commissione concernenti la direttiva sull'accesso all'attivitàdegli enti creditizi e sulla vigilanza prudenziale degli enti creditizi e delleimprese di investimento e il regolamento relativo ai requisiti prudenziali pergli enti creditizi e le imprese di investimento

(Pubblicato sulla GUUE n. C 175 del 19.6.2012)

 

IL GARANTE EUROPEO DELLA PROTEZIONEDEI DATI,

visto il trattato sul funzionamentodell'Unione europea, in particolare l'articolo 16, vista la Carta dei dirittifondamentali dell'Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati (1),

visto il regolamento (CE) n. 45/2001del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati (2), in particolare l'articolo 28,paragrafo 2,

HA ADOTTATO IL SEGUENTE PARERE:

 

1. INTRODUZIONE

1.1. Consultazione del GEPD

1. Il presente parere fa parte di unpacchetto di quattro pareri del GEPD relativi al settore finanziario, tuttiadottati lo stesso giorno (3).

2. Il 20 luglio 2011 la Commissioneha adottato due proposte concernenti la revisione della legislazione bancaria.La prima proposta riguarda una direttiva sull'accesso all'attività degli enticreditizi e sulla vigilanza prudenziale degli enti creditizi e delle imprese diinvestimento («la direttiva proposta») (4). La seconda riguarda un regolamento relativo ai requisitiprudenziali per gli enti creditizi e le imprese di investimento («ilregolamento proposto») (5). Il giorno stesso le propostesono state inviate al GEPD a fini di consultazione. Il 18 novembre 2011 ilConsiglio dell'Unione europea ha consultato il GEPD in merito alla direttivaproposta.

3. Prima dell'adozione delregolamento proposto il GEPD era già stato consultato in modo informale econstata che la proposta tiene conto di diverse sue osservazioni.

4. Il GEPD si compiace di esserestato consultato dalla Commissione e dal Consiglio e raccomanda di inserire unriferimento al presente parere nel preambolo degli strumenti adottati.

1.2. Obiettivi e ambito diapplicazione delle proposte

5. La normativa proposta comprendedue strumenti giuridici: una direttiva sull'accesso all'attività degli enticreditizi e sulla vigilanza prudenziale degli enti creditizi e delle imprese diinvestimento e un regolamento relativo ai requisiti prudenziali per gli enticreditizi e le imprese di investimento. Gli obiettivi politici della revisioneproposta sono essenzialmente quelli di garantire il buon funzionamento delsettore bancario e recuperare la fiducia degli operatori e del pubblico. Glistrumenti proposti sostituiranno la direttiva 2006/48/CE e la direttiva2006/49/CE, che di conseguenza saranno abrogate.

6. I principali nuovi elementi delladirettiva proposta sono le disposizioni sulle sanzioni, le disposizioni su unefficace governo societario e le disposizioni intese a prevenire l'eccessivoaffidamento sui rating esterni. In particolare, la direttiva proposta mira aintrodurre un regime sanzionatorio efficace e proporzionato, un idoneo ambitodi applicazione personale delle sanzioni amministrative, la pubblicazione dellesanzioni e meccanismi che incoraggino la segnalazione delle violazioni. Mirainoltre a rafforzare il quadro legislativo relativo al governo societario e aridurre l'eccessivo affidamento sui rating esterni (6).

7. Il regolamento proposto integra ladirettiva stabilendo requisiti prudenziali uniformi e direttamente applicabiliper gli enti creditizi e le imprese di investimento. Come indicato nellarelazione di accompagnamento, l'obiettivo principale dell'iniziativa èrafforzare l'efficacia della regolamentazione sui requisiti in materia di fondipropri degli enti dell'UE e contenerne l'impatto negativo sul sistemafinanziario (7).

1.3. Scopo del parere del GEPD

8. Sebbene la maggior parte delledisposizioni degli strumenti proposti riguardi l'esercizio dell'attività deglienti creditizi, l'attuazione e l'applicazione del quadro giuridico in alcunicasi può incidere sui diritti delle persone fisiche in relazione al trattamentodei dati personali.

9. Alcune disposizioni delladirettiva proposta prevedono lo scambio di informazioni tra le autorità degliStati membri e anche di paesi terzi (8). Tali informazioni possono facilmente riguardare personefisiche, per esempio i membri degli organi di gestione degli enti creditizi,nonché i loro dipendenti e azionisti. Inoltre, in forza della direttivaproposta, le autorità competenti possono applicare sanzioni direttamente allepersone fisiche e sono tenute a pubblicare le sanzioni inflitte, compresal'identità dei responsabili (9). Al fine di facilitarel'individuazione delle violazioni, la proposta introduce l'obbligo delle autoritàcompetenti di mettere in atto meccanismi per incoraggiarne la segnalazione (10). Inoltre, il regolamento proposto impone agli enti creditizi ealle imprese di investimento l'obbligo di pubblicare informazioni sulla loropolitica in materia di remunerazioni, compresi gli importi corrisposti,ripartiti per categoria del personale e per fascia retributiva (11). Tutte queste disposizioni possono avere implicazioni per laprotezione dei dati personali degli interessati.

10. Alla luce di quanto precede, ilpresente parere esaminerà i seguenti aspetti del pacchetto riguardanti latutela della vita privata e la protezione dei dati personali: 1)l'applicabilità della normativa in materia di protezione dei dati; 2) iltrasferimento dei dati verso paesi terzi; 3) il segreto d'ufficio e l'uso diinformazioni riservate; 4) l'obbligo di pubblicazione delle sanzioni; 5) imeccanismi per la segnalazione delle violazioni; 6) gli obblighi dipubblicazione riguardanti la politica in materia di remunerazioni.

 

2. ANALISI DELLEPROPOSTE

2.1. Applicabilità della normativa inmateria di protezione dei dati

11. Il considerando 74 delladirettiva proposta contiene un riferimento alla piena applicabilità dellanormativa in materia di protezione dei dati. Occorre tuttavia inserire unriferimento a tale normativa in un articolo sostanziale delle proposte. Un buonesempio di tale disposizione sostanziale è fornito dall'articolo 22 dellaproposta di regolamento del Parlamento europeo e del Consiglio relativoall'abuso di informazioni privilegiate e alla manipolazione del mercato (12), che prevede espressamente l'applicazione generale delledisposizioni della direttiva 95/46/CE e del regolamento (CE) n. 45/2001 altrattamento di dati personali nel quadro della proposta.

12. Ciò è particolarmente importante,per esempio, per quanto riguarda le varie disposizioni relative allo scambio diinformazioni personali. Tali disposizioni sono perfettamente legittime, madevono essere applicate in modo compatibile con la normativa in materia di protezionedei dati. In particolare, occorre scongiurare il rischio che possano essereinterpretate come un'autorizzazione generale a scambiare qualsiasi tipo di datipersonali. Un riferimento alla normativa in materia di protezione dei dati,anche nelle disposizioni sostanziali, ridurrebbe sensibilmente tale rischio.

13. Il GEPD propone quindi diinserire una disposizione sostanziale analoga a quella di cui all'articolo 22della proposta di regolamento del Parlamento europeo e del Consiglio relativoall'abuso di informazioni privilegiate e alla manipolazione del mercato (13), ferme restando le raccomandazioni del GEPD sulla proposta inesame (14), cioè dare risaltoall'applicabilità della legislazione vigente in materia di protezione dei datie chiarire il riferimento alla direttiva 95/46/CE, precisando che ledisposizioni si applicano in conformità delle norme nazionali di attuazionidella direttiva stessa.

2.2. Trasferimento dei dati versopaesi terzi

14. L'articolo 48 della direttivaproposta stabilisce che la Commissione può presentare al Consiglio proposte pernegoziare accordi con paesi terzi volti a garantire, tra l'altro, che leautorità competenti dei paesi terzi siano in grado di ottenere le informazioninecessarie alla vigilanza delle imprese madri situate sul loro territorio chehanno una filiazione in uno o più Stati membri.

15. Nella misura in cui taliinformazioni contengono dati personali, la direttiva 95/46/CE e il regolamento(CE) n. 45/2001 sono pienamente applicabili al trasferimento dei dati versopaesi terzi. Il GEPD propone di precisare all'articolo 48 che in tal caso gliaccordi devono conformarsi alle condizioni previste per il trasferimento deidati personali verso paesi terzi di cui al capo IV della direttiva 95/46/CE eal regolamento (CE) n. 45/2001. Ciò andrebbe previsto anche per quanto riguardal'articolo 56, concernente gli accordi di cooperazione con le autoritàcompetenti dei paesi terzi conclusi dagli Stati membri e dall'ABE.

16. Inoltre, alla luce dei rischicomportati da tali trasferimenti, il GEPD raccomanda di prevedere salvaguardiespecifiche, come è stato fatto all'articolo 23 della proposta di regolamentodel Parlamento europeo e del Consiglio relativo all'abuso di informazioniprivilegiate e alla manipolazione del mercato. Nel parere su tale proposta, ilGEPD accoglie con favore il ricorso a una disposizione che contiene idoneesalvaguardie, quali la valutazione individuale, la garanzia che iltrasferimento sia necessario e l'assicurazione di un adeguato livello diprotezione dei dati personali nel paese terzo che riceve i dati.

2.3. Segreto d'ufficio e uso diinformazioni riservate

17. L'articolo 54 della direttivaproposta stabilisce che il personale delle autorità competenti ha l'obbligo dirispettare il segreto d'ufficio. L'articolo 54, paragrafo 1, secondo comma,vieta la divulgazione di informazioni riservate, «se non in forma sommaria oglobale, cosicché non si possano individuare i singoli enti creditizi [...]».Così com'è formulato, non è chiaro se il divieto si applichi anche alladivulgazione di informazioni personali.

18. Il GEPD raccomanda di estendereil divieto di divulgare informazioni riservate di cui all'articolo 54,paragrafo 1, secondo comma, al caso in cui si possano individuare personefisiche (cioè non solo i «singoli enti creditizi»). In altre parole, ladisposizione dovrebbe essere riformulata in modo da vietare la divulgazione diinformazioni riservate, «se non in forma sommaria o globale, cosicché non sipossano individuare i singoli istituti creditizi e le singole persone fisiche»(sottolineatura dell'autore).

2.4. Disposizioni relative allapubblicazione delle sanzioni

2.4.1. Obbligo di pubblicazione dellesanzioni

19. Uno dei principali obiettivi delpacchetto proposto è rafforzare e armonizzare il quadro giuridico degli Statimembri riguardante le sanzioni e le misure amministrative. La direttivaproposta prevede che le autorità competenti possano applicare sanzioni non soloagli enti creditizi, ma anche alle persone fisiche materialmente responsabilidella violazione (15). L'articolo 68 impone agliStati membri di provvedere affinché le autorità competenti pubblichino ognisanzione o misura applicata per violazione delle disposizioni del regolamentoproposto o delle disposizioni nazionali adottate in attuazione della direttivaproposta, senza indebito ritardo, fornendo anche informazioni sul tipo e lanatura della violazione e l'identità delle persone responsabili.

20. La pubblicazione delle sanzionicontribuirebbe a rafforzare l'effetto deterrente, scoraggiando i responsabilieffettivi e potenziali di violazioni dal commettere reati onde evitare seridanni alla reputazione. Al contempo rafforzerebbe la trasparenza, in quanto glioperatori di mercato verrebbero a conoscenza del fatto che una determinatapersona ha commesso una violazione (16). L'obbligo si attenua soltanto se la pubblicazione può arrecareun danno sproporzionato alle parti coinvolte, nel qual caso le autoritàcompetenti pubblicano le sanzioni in forma anonima.

21. Il GEPD non è convinto chel'obbligo di pubblicazione delle sanzioni, così com'è attualmente formulato,soddisfi le condizioni relative alla protezione dei dati stabilite dalla Cortedi giustizia nella sentenza Schecke (17). È del parere che la finalità, la necessità e la proporzionalitàdella misura non siano dimostrate in modo sufficiente e che, in ogni caso, sidebbano prevedere idonee salvaguardie dei diritti individuali.

2.4.2. Necessità e proporzionalitàdella pubblicazione

22. Nella sentenza Schecke la Corteha dichiarato invalide le disposizioni di un regolamento del Consiglio e di unregolamento della Commissione che prevedevano la pubblicazione obbligatoria diinformazioni riguardanti i beneficiari dei fondi agricoli, tra cui l'identitàdei beneficiari e gli importi percepiti. Secondo la Corte, detta pubblicazionecostituisce un trattamento di dati personali ai sensi dell'articolo 8,paragrafo 2, della Carta dei diritti fondamentali dell'Unione europea («laCarta») e, pertanto, una lesione dei diritti riconosciuti dagli articoli 7 e 8della Carta.

23. Dopo aver dichiarato che «lederoghe e le limitazioni alla protezione dei dati personali devono operareentro i limiti dello stretto necessario», la Corte ha proseguito l'analisidella finalità della pubblicazione e della proporzionalità. Ha concluso che,nel caso di specie, nulla indicava che il Consiglio e la Commissione avesseropreso in considerazione, in sede di adozione della legislazione in causa,modalità di pubblicazione delle informazioni conformi all'obiettivo di unasimile pubblicazione pur essendo meno lesive dei diritti di detti beneficiari.

24. L'articolo 68 della direttivaproposta sembra viziato dalle stesse carenze evidenziate dalla Corte nellasentenza Schecke. Occorre tenere presente che, per valutare la conformità agliobblighi in materia di protezione dei dati di una disposizione che impone lapubblicazione di informazioni personali, è indispensabile che sia indicata unafinalità chiara e ben definita per la quale è prevista la pubblicazione.Soltanto in presenza di una finalità chiara e ben definita è possibile valutarese la pubblicazione dei dati personali di cui trattasi sia effettivamentenecessaria e proporzionata (18).

25. Dopo aver letto la proposta e idocumenti annessi (cioè la relazione sulla valutazione d'impatto), il GEPDritiene che la finalità e, di conseguenza, la necessità della misura non sianodefinite chiaramente. Al riguardo i considerando della proposta tacciono, e larelazione sulla valutazione d'impatto si limita ad affermare che «lapubblicazione delle sanzioni è un elemento importante per garantire che abbianoun effetto dissuasivo sui destinatari, ed è necessaria per garantire cheproducano un effetto dissuasivo sul pubblico in generale». Tuttavia larelazione non esamina se modalità meno intrusive avrebbero potuto garantire ilmedesimo risultato in termini di effetto deterrente senza ledere il diritto alrispetto della vita privata degli interessati. In particolare, non spiegaperché sanzioni pecuniarie o di altro tipo che non incidono sulla vita privatanon sarebbero sufficienti.

26. La relazione sulla valutazioned'impatto non sembra inoltre tenere in sufficiente considerazione modalità dipubblicazione delle informazioni meno intrusive, come limitare la pubblicazioneall'identità degli enti creditizi o valutare la necessità della pubblicazionecaso per caso. Soprattutto quest'ultima possibilità a prima vista sembraoffrire una soluzione più proporzionata, specialmente se si considera che lapubblicazione stessa è una sanzione ai sensi dell'articolo 67, paragrafo 2,lettera a), e che l'articolo 69 stabilisce che nel decidere l'applicazione disanzioni le autorità competenti tengono conto di tutte le circostanzepertinenti (cioè una valutazione caso per caso), per esempio la gravità dellaviolazione, il grado di responsabilità personale, la recidiva, le perditesubite dai terzi, eccetera. L'obbligo di pubblicazione delle sanzioni in ognicaso di cui all'articolo 68 è incompatibile con il regime sanzionatorioistituito dagli articoli 67 e 69.

27. La relazione sulla valutazioned'impatto dedica soltanto un paio di paragrafi a spiegare perché lapubblicazione caso per caso non sia sufficiente. Afferma che lasciando alleautorità competenti il compito di decidere «se la pubblicazione sia opportuna»si ridurrebbe l'effetto deterrente della pubblicazione stessa (19). Tuttavia, a parere del GEPD, è proprio questo aspetto —cioè la possibilità di valutare il caso alla luce delle circostanze specifiche— a rendere questa soluzione più proporzionata e quindi preferibileall'obbligo di pubblicazione in ogni caso. Questa discrezione permetterebbeall'autorità competente, per esempio, di evitare la pubblicazione nei casi incui la violazione sia meno grave, la violazione non provochi danni significativi,la parte si sia mostrata disposta a collaborare, eccetera.

2.4.3. La necessità di idoneesalvaguardie

28. La direttiva proposta avrebbedovuto prevedere idonee salvaguardie per garantire il giusto equilibrio tra idiversi interessi in gioco. In primo luogo, sono necessarie salvaguardierelative al diritto dell'accusato di impugnare la decisione dinanzi a ungiudice e alla presunzione di innocenza. Al riguardo, si sarebbe dovuto usareun linguaggio specifico nel testo dell'articolo 68, in modo da imporre alleautorità competenti di adottare opportuni provvedimenti nei casi in cui ladecisione sia oggetto di ricorso e in cui venga infine revocata da un giudice (20).

29. In secondo luogo, la direttivaproposta dovrebbe garantire il rispetto dei diritti degli interessati in modoproattivo. Il GEPD riconosce che la versione finale della proposta prevede lapossibilità di escludere la pubblicazione nel caso in cui provochi dannisproporzionati. Tuttavia un approccio proattivo dovrebbe prevedere che gliinteressati siano preventivamente informati del fatto che la decisione diapplicare sanzioni nei loro confronti sarà pubblicata e che, in forzadell'articolo 14 della direttiva 95/46/CE, è loro riconosciuto il diritto diopporsi per motivi preminenti e legittimi (21).

30. In terzo luogo, la direttivaproposta non specifica il mezzo attraverso il quale l'informazione saràpubblicata ma, nella pratica, è immaginabile che nella maggior parte degliStati membri la pubblicazione avverrà su Internet. Le pubblicazioni su Internetpresentano pericoli e criticità specifiche riguardanti, in particolare, lanecessità di garantire che le informazioni siano a disposizione online solo peril periodo strettamente necessario e che i dati non possano essere manipolati oalterati. L'uso di motori di ricerca esterni comporta inoltre il rischio che leinformazioni siano estrapolate dal contesto e inoltrate attraverso e al difuori di Internet in modo difficile da controllare (22).

31. Alla luce di quanto precede, ènecessario imporre agli Stati membri di assicurare che i dati personali degliinteressati siano a disposizione online solo per un periodo di temporagionevole, al termine del quale saranno sistematicamente cancellati (23). Gli Stati membri dovrebbero inoltre essere tenuti a garantireidonee salvaguardie e misure di sicurezza, soprattutto contro i rischi connessiall'uso dei motori di ricerca esterni (24).

2.4.4. Conclusioni sullapubblicazione

32. Il GEPD è del parere che ladisposizione relativa all'obbligo di pubblicazione delle sanzioni — cosìcom'è attualmente formulata — non sia compatibile con il dirittofondamentale al rispetto della vita privata e alla protezione dei dati. Illegislatore dovrebbe valutare con attenzione la necessità del sistema propostoe verificare se l'obbligo di pubblicazione non vada oltre lo stretto necessarioper conseguire l'obiettivo di interesse pubblico perseguito e se non esistanomisure meno restrittive per ottenere il medesimo obiettivo. Subordinatamenteall'esito di questo test della proporzionalità, l'obbligo di pubblicazionedovrebbe in ogni caso essere sostenuto da salvaguardie idonee a garantire ilrispetto della presunzione di innocenza, il diritto degli interessati diopporsi, la sicurezza/esattezza dei dati e la loro cancellazione dopo unadeguato periodo di tempo.

2.5. Segnalazione di violazioni

33. L'articolo 70 della direttivaproposta riguarda i meccanismi per la segnalazione di violazioni. Pur potendoessere uno strumento efficace per garantire la conformità, tali sistemisollevano questioni significative dal punto di vista della protezione dei dati (25). Il GEPD accoglie con favore il fatto che la proposta contengasalvaguardie specifiche, da sviluppare ulteriormente a livello nazionale,riguardanti la protezione delle persone che segnalano sospette violazioni e,più in generale, la protezione dei dati personali. Il GEPD è consapevole delfatto che la direttiva proposta si limita a stabilire gli elementi principalidel regime che gli Stati membri dovranno istituire. Desidera nondimenorichiamare l'attenzione sugli aspetti seguenti.

34. Come in altri pareri (26), il GEPD sottolinea la necessità di introdurre un riferimentospecifico alla necessità di tutelare la riservatezza dei denuncianti e degliinformatori. Il GEPD segnala che la posizione dei denuncianti è delicata.Occorre garantire alle persone che forniscono tali informazioni che i datisulla loro identità non saranno rivelati a terzi, in particolare al presuntoautore dell'illecito denunciato (27). La riservatezza dell'identitàdel denunciante deve essere garantita in tutte le fasi della procedura, purchéciò non sia in contrasto con le normative nazionali che disciplinano iprocedimenti giudiziari. In particolare, potrebbe essere necessario rivelarel'identità del denunciante nel contesto di ulteriori indagini o di successiviprocedimenti giudiziari (compreso il caso in cui si accerti che il denuncianteha dichiarato il falso in malafede) (28). Alla luce di quanto precede, il GEPD raccomanda di aggiungere all'articolo70, paragrafo 2, lettera b), la disposizione seguente: «l'identità di dettidipendenti è garantita in tutte le fasi della procedura, fatte salve ledisposizioni nazionali che ne impongano la comunicazione nel contesto diulteriori indagini o di successivi procedimenti giudiziari».

35. Il GEPD evidenzia altresìl'importanza di prevedere norme adeguate a garantire il diritto di accessodelle persone accusate, che è strettamente legato ai diritti di difesa (29). Le procedure per il ricevimento di segnalazioni e per ilrelativo seguito di cui all'articolo 70, paragrafo 2, lettera a), dovrebberogarantire che i diritti di difesa delle persone accusate, quali il diritto diessere informato, il diritto di accesso al fascicolo e la presunzione diinnocenza, siano adeguatamente rispettati e limitati soltanto nella misurastrettamente necessaria (30). Al riguardo il GEPD proponedi aggiungere nella direttiva proposta anche la disposizione di cuiall'articolo 29, lettera d), della proposta della Commissione concernente ilregolamento del Parlamento europeo e del Consiglio relativo all'abuso diinformazioni privilegiate e alla manipolazione del mercato, che impone agliStati membri di introdurre «procedure adeguate per garantire il diritto didifesa del presunto responsabile, nonché il diritto a essere sentito prima chevenga presa una decisione che lo riguarda e il diritto a un effettivo ricorsogiurisdizionale nei confronti di qualsiasi decisione o misura che lo riguardi».

36. Infine, per quanto riguardal'articolo 70, paragrafo 2, lettera c), il GEPD è lieto di constatare che ladisposizione impone agli Stati membri di garantire la protezione dei datipersonali concernenti sia la persona accusata sia la persona che segnala laviolazione, conformemente ai principi stabiliti dalla direttiva 95/46/CE.Propone tuttavia di eliminare «i principi stabiliti dalla», al fine di rendereil rimando alla direttiva più completo e vincolante. Per quanto riguarda lanecessità di rispettare la normativa in materia di protezione dei dati nell'attuazionepratica dei regimi, il GEPD desidera sottolineare, in particolare, leraccomandazioni formulate dal gruppo di lavoro «articolo 29» nel parere del2006 relativo alla denuncia di irregolarità. Tra l'altro, nell'attuare isistemi nazionali, gli enti interessati devono tenere presente la necessità dirispettare la proporzionalità limitando il più possibile le categorie disoggetti autorizzati a presentare denunce, le categorie di soggettidenunciabili e le violazioni per le quali possono essere denunciati; lanecessità di promuovere denunce nominative e riservate rispetto alle denunceanonime; la necessità di prevedere la possibilità di rivelare l'identità deldenunciante nel caso in cui abbia dichiarato il falso in malafede; e lanecessità di rispettare termini rigorosi di conservazione dei dati.

 

3. CONCLUSIONI

37. Il GEPD formula le seguentiraccomandazioni:

— inserire una disposizionesostanziale nelle proposte, così formulata: «Per quanto riguarda il trattamentodi dati personali effettuato dagli Stati membri nel quadro del presenteregolamento, le autorità competenti applicano le disposizioni della normativanazionale di attuazione della direttiva 95/46/CE. Per quanto riguarda iltrattamento di dati personali effettuato dall'ABE nel quadro del presenteregolamento, l'ABE si conforma alle disposizioni del regolamento (CE) n.45/2001»,

— modificare l'articolo 54,paragrafo 1, secondo comma, al fine di permettere la divulgazione diinformazioni riservate soltanto in forma sommaria o globale, «cosicché non sipossano individuare i singoli istituti creditizi e le singole persone fisiche»(corsivo dell'autore),

— precisare all'articolo 48 eall'articolo 56 che gli accordi con i paesi terzi o le autorità dei paesi terziche prevedono il trasferimento di dati personali devono conformarsi allecondizioni previste per il trasferimento dei dati personali verso paesi terzidi cui al capo IV della direttiva 95/46/CE e al regolamento (CE) n. 45/2001,nonché introdurre nella direttiva proposta una disposizione analogaall'articolo 23 della proposta di regolamento del Parlamento europeo e delConsiglio relativo all'abuso di informazioni privilegiate e alla manipolazionedel mercato (31),

— alla luce dei dubbi espressinel presente parere, valutare la necessità e la proporzionalità del sistemaproposto che impone l'obbligo di pubblicazione delle sanzioni. Subordinatamenteall'esito del test di necessità e proporzionalità, prevedere in ogni casosalvaguardie idonee a garantire il rispetto della presunzione di innocenza, ildiritto degli interessati di opporsi, la sicurezza/esattezza dei dati e la lorocancellazione dopo un adeguato periodo di tempo,

— all'articolo 70, paragrafo2:1) modificare la lettera b) aggiungendo una disposizione che reciti:«l'identità di detti dipendenti è garantita in tutte le fasi della procedura,fatte salve le disposizioni nazionali che ne impongano la comunicazione nelcontesto di ulteriori indagini o di successivi procedimenti giudiziari»; 2)aggiungere una lettera d) che imponga agli Stati membri di introdurre«procedure adeguate per garantire il diritto di difesa del presuntoresponsabile, nonché il diritto a essere sentito prima che venga presa unadecisione che lo riguarda e il diritto a un effettivo ricorso giurisdizionalenei confronti di qualsiasi decisione o misura che lo riguardi»; 3) eliminare «iprincipi stabiliti dalla» alla lettera c) della disposizione.

Fatto a Bruxelles, il 10 febbraio2012

Giovanni BUTTARELLI

Garante europeo aggiunto dellaprotezione dei dati

 

NOTE                                      

(1) GU L 281 del23.11.1995, pag. 31.

(2) GU L 8 del12.1.2001, pag. 1.

(3) Pareri delGEPD del 10 febbraio 2012 sul pacchetto legislativo relativo alla revisionedella legislazione bancaria, alle agenzie di rating del credito, ai mercatidegli strumenti finanziari (MiFID/MiFIR) e agli abusi di mercato.

(4) COM(2011)453.

(5) COM(2011)452.

(6) Relazionedi accompagnamento della direttiva proposta, pagg. 2-3.

(7) Relazionedi accompagnamento del regolamento proposto, pagg. 2-3.

(8) Cfr., inparticolare, gli articoli 24, 48 e 51 della direttiva proposta.

(9) Articolo65, paragrafo 2, e articolo 68 della direttiva proposta.

(10) Articolo 70della direttiva proposta.

(11) Articolo435 del regolamento proposto.

(12) Proposta diregolamento del Parlamento europeo e del Consiglio relativo all'abuso diinformazioni privilegiate e alla manipolazione del mercato, COM(2011) 651.

(13) Cfr. nota12.

(14) Cfr. pareredel 10 febbraio 2012 sulle proposte della Commissione riguardanti ilregolamento del Parlamento europeo e del Consiglio relativo all'abuso diinformazioni privilegiate e alla manipolazione del mercato e la direttiva delParlamento europeo e del Consiglio relativa alle sanzioni penali in caso diabuso di informazioni privilegiate e di manipolazione del mercato, COM(2011)651.

(15) L'ambito diapplicazione personale delle sanzioni è chiarito all'articolo 65 delladirettiva proposta, il quale stabilisce che gli Stati membri assicurano che incaso di violazione degli obblighi a carico di enti, società di partecipazione finanziariae società di partecipazione mista possano essere applicate sanzioni ai membridell'organo di gestione e ad ogni altro soggetto responsabile della violazioneai sensi della normativa nazionale.

(16) Cfr. relazionesulla valutazione d'impatto, pag. 42 e segg.

(17) Cause riuniteC-92/09 e C-93/09, Schecke, punti 56-64.

(18) In propositocfr. anche il parere del GEPD del 15 aprile 2011 sulle regole finanziarieapplicabili al bilancio annuale dell'Unione (GU C 215 del 21.7.2011, pag. 13).

(19) Cfr. pagg.44-45.

(20) Peresempio, le autorità nazionali potrebbero prendere in considerazione le misureseguenti: rinviare la pubblicazione finché il ricorso viene respinto o, comeproposto nella relazione sulla valutazione d'impatto, indicare chiaramente chela decisione è oggetto di ricorso e che l'interessato è presunto innocente finoalla decisione definitiva, pubblicare una rettifica qualora la decisione siarevocata da un giudice.

(21) Cfr. pareredel GEPD del 10 aprile 2007 sul finanziamento della politica agricola comune(GU C 134 del 16.6.2007, pag. 1).

(22) Al riguardocfr. il documento pubblicato dal Garante italiano per la protezione dei dati,Linee guida in materia di trattamento di dati personali contenuti anche in attie documenti amministrativi, effettuato da soggetti pubblici per finalità dipubblicazione e diffusione sul web, disponibile all'indirizzo:http://www.garanteprivacy.it/garante/doc. jsp?ID=1803707

(23) Questapreoccupazione riguarda anche il più generale diritto all'oblio, la cui inclusionenel nuovo quadro legislativo per la protezione dei dati personali è indiscussione.

(24) Queste misuree salvaguardie possono consistere, per esempio, nell'escludere l'indicizzazionedei dati da parte dei motori di ricerca esterni.

(25) Il gruppo dilavoro «articolo 29» ha pubblicato un parere su tali regimi nel 2006, in cuiesamina gli aspetti della questione legati alla protezione dei dati: parere1/2006 relativo all'applicazione della normativa UE sulla protezione dei datialle procedure interne per la denuncia delle irregolarità riguardanti la tenutadella contabilità, i controlli contabili interni, la revisione contabile, lalotta contro la corruzione, la criminalità bancaria e finanziaria. Il parere èdisponibile all'indirizzo: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm

(26) Cfr., peresempio, parere del GEPD del 15 aprile 2011 sulle regole finanziarieapplicabili al bilancio annuale dell'Unione (GU C 215 del 21.7.2011, pag. 13),e parere del 1o giugno 2011 relativo alle indagini svolte dall'Ufficio perla lotta antifrode (OLAF) (GU C 279 del 23.9.2011, pag. 11). (27) (27)L'importanza di garantire che l'identità del denunciante resti segreta è giàstata sottolineata dal GEPD in una lettera al Mediatore europeo del 30 luglio2010, relativa al caso 2010-0458, reperibile nel sito Internet del GEPD(http://www. edps.europa.eu). Cfr. anche pareri del GEPD sul controllopreventivo del 23 giugno 2006 (caso 2005-0418), concernente le indagini internedell'OLAF, e del 4 ottobre 2007 (casi 2007-47, 2007-48, 2007-49, 2007-50,2007-72), concernente le indagini esterne dell'OLAF.

(28) Cfr. pareredel 15 aprile 2011 sulle regole finanziarie applicabili al bilancio annualedell'Unione, disponibile all'indirizzo: http://www.edps.europa.eu

(29) Al riguardocfr. il documento del GEPD Guidelines concerning the processing of personaldata in administrative inquiries and disciplinary proceedings by Europeaninstitutions and bodies, pointing out the close relationship between the rightof access of the data subjects and the right of defence of the persons beingaccused, pagg. 8 e 9 (Linee guida relative al trattamento di dati personalinelle indagini amministrative e nei procedimenti disciplinari delle istituzionie degli organismi europei, in cui si dà risalto alla stretta relazione fra ildiritto di accesso dell'interessato e il diritto di difesa della personaaccusata), disponibile all'indirizzo: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/10-04-23_Guidelines_inquiries_EN.pdf

(30) Cfr. pareredel gruppo di lavoro «articolo 29» relativo alla denuncia di irregolarità,pagg. 13-14.

(31) Cfr. nota12.