Sintesidel parere del Garante europeo della protezione dei dati sulla proposta didirettiva sulla intermediazione assicurativa, sulla proposta di direttivarecante modifica della direttiva 2009/65/CE concernente il coordinamento delledisposizioni legislative e regolamentari nonché delle sanzioni amministrativein materia di taluni organismi di investimento collettivo in valori mobiliari esulla proposta di regolamento relativo ai documenti contenenti le informazionichiave per i prodotti d'investimento (Il testocompleto del presente parere è reperibile in EN, FR e DE sul sito web del GEPDhttp://www.edps.europa.eu) (Pubblicatosulla GUUE n. C100 del 6 aprile 2013)
1. 1.1. Consultazionedel GEPD 1. Il 3 luglio2012 la Commissione ha adottato una proposta di direttiva sulla intermediazioneassicurativa (di seguito «la direttiva IM»), una proposta di direttiva recantemodifica della direttiva 2009/65/CE concernente il coordinamento delledisposizioni legislative e regolamentari nonché delle sanzioni amministrativein materia di taluni organismi di investimento collettivo in valori mobiliari(di seguito «la direttiva OICVM») e una proposta di regolamento relativo aidocumenti contenenti le informazioni chiave per i prodotti d'investimento (diseguito «il regolamento KID» — key information document). Leproposte sono state trasmesse al GEPD per consultazione il 5 luglio 2012. 2. Il GEPD sicompiace di essere stato consultato dalla Commissione e raccomanda di inserireun riferimento al presente parere nei preamboli degli strumenti giuridiciproposti. 3. Disposizionianaloghe a quelle cui si fa riferimento nel presente parere sono presenti innumerose proposte attuali e future, come quelle discusse nei pareri del GEPDsul pacchetto legislativo relativo alla revisione della legislazione bancaria,alle agenzie di rating del credito, ai mercati degli strumenti finanziari(MIFID/MIFIR) e agli abusi di mercato ( 1 4. Le dueproposte di direttiva e la proposta di regolamento incideranno in modi diversisui diritti dei singoli in materia di trattamento dei dati personali, poichériguardano i poteri di indagine delle autorità competenti, compreso l'accessoai tabulati e ai dati di traffico telefonico esistenti, le banche dati, lapubblicazione di sanzioni amministrative compresa l'identità dei responsabili ela segnalazione di violazioni (le cosiddette procedure di denuncia). 5. Poiché lequestioni trattate nel presente parere sono state discusse in precedenti pareridel GEPD nel settore finanziario, il GEPD intende pubblicare orientamenti suqueste e altre questioni, al fine di fornire indicazioni su come affrontare leproblematiche relative alla protezione dei dati nelle future proposte dellaCommissione in questo ambito. 1.2. Obiettivie ambito di applicazione delle proposte 6. LaCommissione afferma che mercati al dettaglio forti e ben regolamentati chepongano al centro gli interessi dei consumatori sono necessari per la fiduciadei consumatori e per la crescita economica nel medio e lungo termine. Inparticolare, secondo la Commissione, le suddette proposte legislativeintroducono nuovi standard favorevoli ai consumatori per le informazioni sugliinvestimenti, alzano il livello dei requisiti per la consulenza e rendono piùrigorose alcune norme in materia di fondi di investimento al fine di garantirnela sicurezza.
3. 34. Il GEPDraccomanda quanto segue: —inserire un riferimento al presente parere nel preambolo di tutte le proposte, — nelcaso della proposta di direttiva IM, limitare l'accesso delle autoritàcompetenti a documenti e informazioni a casi di violazioni gravi e specificatedelle direttive proposte e a casi in cui sussista un ragionevole sospetto (chedovrebbe essere avvalorato da prove iniziali concrete) che sia stata commessauna violazione, — nelcaso della proposta di direttiva IM, introdurre l'obbligo per le autoritàcompetenti di richiedere i documenti e le informazioni mediante decisioneformale di un'autorità giudiziaria, specificando la base giuridica, lo scopodella richiesta e le informazioni necessarie, il termine entro il quale leinformazioni devono essere fornite nonché il diritto del destinatario diimpugnare la decisione dinanzi a un giudice, — nelcaso della proposta di direttiva OICVM, introdurre l'obbligo per le autoritàcompetenti di richiedere i tabulati e i dati relativi al traffico telefonicomediante decisione formale dell'autorità competente, specificando la basegiuridica, lo scopo della richiesta e le informazioni necessarie, il termineentro il quale le informazioni devono essere fornite nonché il diritto deldestinatario di impugnare la decisione dinanzi a un giudice, — nelcaso della proposta di direttiva IM, chiarire le modalità di attuazione dellabanca dati dell'Autorità europea delle assicurazioni e delle pensioni aziendalie professionali (EIOPA) introducendo disposizioni più dettagliate nelleproposte di regolamento. Tali disposizioni devono essere conformi alleprescrizioni del regolamento (CE) n. 45/2001. In particolare, la disposizioneche istituisce la banca dati deve i) indicare lo scopo delle operazioni ditrattamento e stabilire gli utilizzi compatibili; ii) precisare quali entità(EIOPA, autorità competenti, Commissione) avranno accesso a quali datimemorizzati nella banca dati e avranno la possibilità di modificare tali dati;iii) garantire il diritto di accesso e informazione adeguata per tutti isoggetti i cui dati personali possono essere conservati e scambiati; iv)definire e limitare il periodo di conservazione dei dati personali al minimonecessario per il raggiungimento di tale scopo, —valutare la necessità del sistema proposto per la pubblicazione obbligatoriadelle sanzioni in tutte le proposte e verificare se l'obbligo di pubblicazionenon vada oltre quanto necessario per conseguire l'obiettivo di interessegenerale perseguito nonché se non esistano misure meno restrittive perraggiungere lo stesso obiettivo. Fatto salvo l'esito di tale test diproporzionalità, l'obbligo di pubblicazione dovrebbe in ogni caso essereaccompagnato da garanzie adeguate per garantire il rispetto della presunzionedi innocenza, il diritto degli interessati di opporsi, la sicurezza/accuratezzadei dati e la loro cancellazione dopo un adeguato periodo di tempo, — perquanto riguarda la segnalazione di violazioni in tutte le proposte, i) inserirenelle direttive proposte disposizioni che specifichino quanto segue: «l'identitàdi queste persone deve essere garantita in tutte le fasi della procedura, ameno che la sua divulgazione non sia imposta dalla normativa nazionale nelcontesto di ulteriori indagini o di procedimenti giudiziari successivi»; ii)aggiungere un paragrafo che imponga agli Stati membri di attuare «procedureatte a garantire il diritto dell'accusato di difendersi e di essere sentitoprima dell'adozione di una decisione che lo riguardi e il diritto a uneffettivo ricorso giurisdizionale contro qualsiasi decisione o provvedimentoadottato nei suoi confronti», iii) eliminare dalle disposizioni «i principistabiliti». Fatto aBruxelles, il 23 novembre 2012 GiovanniBUTTARELLI
(
|