Parere 10/2007: Ottava direttiva sulle revisioni legali dei conti

Ottava direttiva sullerevisioni legali dei conti

Parere 10/2007 - WP 143

adottato il 23 novembre2007

I. Introduzione

Il 15 febbraio 2007 ilgruppo di lavoro "articolo 29" ha esaminato un documento di lavoro presentatodalla Direzione generale del Mercato interno sui trasferimenti alle autorità pubbliche di regolamentazione dei paesi terzi di carte di lavoro dei revisoricontabili contenenti dati personali. Il documento spiega il quadro giuridico enormativo istituito dalla direttiva 2006/43/CE¹ relativa allerevisioni legali dei conti annuali e dei conti consolidati (8° direttiva). L’Ottava direttiva fissa le condizioni di svolgimento dell'attività direvisione legale dei conti e prevede la supervisione pubblica indipendente peri revisori legali dei conti da parte degli Stati membri.

La direttiva contieneinoltre disposizioni specifiche relative alla cooperazione tra gli organismidi supervisione degli Stati membri e le autorità competenti dei paesi terzi. Intale cooperazione dovrà rientrare lo scambio, con le autorità dei paesi terzi,delle carte di lavoro del revisore contabile e di altri documenti detenutidalle imprese europee di revisione contabile.

Il gruppo di lavoro èlieto di presentare le sue osservazioni sul quadro normativo che si applica atali scambi di informazioni sulla base del documento di lavoro sopra menzionatoe dei commenti trasmessi a tale riguardo dagli Stati membri.

II. Il quadro giuridicoper gli scambi di informazioni tra gli organismi pubblici di supervisione dell’UE e le autorità dei paesiterzi

L’articolo 47 dell’Ottavadirettiva istituisce due regimi per la trasmissione di informazioni e datiall’autorità pubblica di supervisione di un paese terzo: un “regime generale”per i trasferimenti internazionali tra le autorità competenti (art. 47,paragrafi da 1 a 3), e un “regime speciale” (art. 47, paragrafi 4 e 5).

L’articolo 47, paragrafo 4prevede che in casi eccezionali e in deroga al “regime generale” di cui al paragrafo 1 dello stesso articolo gli Stati membri possano autorizzare i revisori legali e le imprese di revisione contabile a trasmettere carte di lavoro edaltri documenti direttamente alle autorità competenti di un paese esternoall’UE.

A norma dell’articolo 47,paragrafo 1, gli Stati membri possono autorizzare la trasmissione da unorganismo unico di supervisione di uno Stato membro alle autorità competenti diun paese terzo di carte di lavoro o altri documenti detenuti da revisorilegali o da imprese di revisione contabile, a condizione che siano soddisfattecerte condizioni. La lettera b) dello stesso articolo specifica le condizionirichieste per consentire un tale scambio di informazioni. Le condizioniprincipali sono le seguenti:

• le carte dilavoro da trasmettere riguardino la revisione dei conti di società che hanno emesso valori mobiliari in tale paese terzo o che fanno parte di un gruppo cheredige i conti consolidati nel paese terzo in questione;

• la trasmissioneabbia luogo tramite le autorità competenti dello Stato membro del SEE alle autorità competenti di tale paese terzo;

• siano staticonvenuti accordi di cooperazione basati sulla reciprocità tra le autorità competenti interessate: gli accordi in questione devono garantire che i motividella richiesta di carte di lavoro e di altri documenti siano comunicati dalleautorità competenti; gli accordi potrebbero probabilmente assumere la forma dimemorandum d'intesa fra le autorità nazionali di supervisione e le autorità competentidel paese terzo che espongano le condizioni e le forme della cooperazione;

• i soggettiche prestino o abbiano prestato la loro attività in seno alle autoritàcompetenti del paese terzo che ricevono l'informazione siano soggettiall'obbligo del segreto d'ufficio;

• le autoritàcompetenti del paese terzo possano utilizzare le carte di lavoro e gli altri documenti trasmessi solo ai fini dell’esercizio di funzioni di controllopubblico, di controllo della qualità e di indagine;

• latrasmissione sia conforme al capo IV della direttiva sulla protezione dei dati (trasferimenti internazionali di dati a carattere personale); nonché

• le autoritàcompetenti del paese terzo interessato soddisfino le condizioni fissate da untest di adeguatezza basato su una decisione di “comitatologia”. Tale test èdiverso dalla valutazione dell’adeguatezza del livello di protezione di cuibeneficiano i dati personali in tale paese terzo.

Le condizioni di cui soprasono di carattere cumulativo. Se non sono soddisfatte, in particolare se non èstato concluso un accordo di cooperazione, non sarà possibile alcuna cooperazione basata sul periodico scambio di documenti in caso di ispezioni.

III. Analisi in unaprospettiva di protezione dei dati

Considerazioni sugli scenariapplicabili agli scambi di informazioni con le autorità di supervisione dei paesi terzi

Il documento della DGMARKT presenta due diversi scenari possibili per quanto riguarda lo scambio diinformazioni tra un’autorità pubblica di supervisione dell’UE e un’autorità pubblica competente di un paese terzo, a parte i “casi eccezionali” menzionatiall’articolo 47, paragrafo 4, della direttiva:

- una soluzione a brevetermine limitata ad indagini formali in caso di scandali societari,

- una soluzione a mediotermine, che dovrebbe rendersi disponibile nel 2008-2009, nel quadrorappresentato da accordi bilaterali fra un paese terzo e gli Stati membri.

Per quanto riguarda lasoluzione a medio termine, stando alle informazioni di cui dispone la DG MARKTl’impostazione prospettata consisterebbe nel lavorare a garantire che i paesi terzi, e specialmente gli USA, adottino la norma di riconoscimento del sistemadi supervisione dell’UE. Gli organismi pubblici di supervisione dovrebberobasarsi in linea di massima sul lavoro della corrispondente autorità pubblicadi supervisione dell’altro paese (controllo da parte del paese d’origine).

1. Soluzione a brevetermine limitata ad indagini formali in caso di scandali societari

Una soluzione a brevetermine sarebbe limitata ad indagini formali specifiche in caso di scandalosocietario e in assenza di accordi bilaterali o memorandum d’intesa fraun’autorità di supervisione indipendente della UE e l’autorità competente diun paese terzo.

Qualora il paese terzo inquestione non offrisse garanzie adeguate a norma della direttiva 95/46 larealizzazione del trasferimento potrebbe trovare una base giuridica nella legge nazionale dello Stato membro che recepisce le disposizioni contenutenell’articolo 26, paragrafo 1, lettera d) della medesima.

Il gruppo di lavororicorda però che l’articolo 26, paragrafo 1, lettera d), rientra fra le deroghe previste dalla direttiva per il regime di trasferimenti internazionali deidati personali; di conseguenza il ricorso ad esso andrà limitato a casieccezionali e come soluzione estrema, e dovrà essere interpretato secondocriteri restrittivi². Ai fini dell’applicazione dell’articolo 26, paragrafo 1, lettera d), e pertanto delle disposizioni di diritto interno chelo recepiscono, vanno soddisfatte le seguenti condizioni preliminari:

i. Deve sussistere un interessepubblico “rilevante” alla comunicazione dei dati personali contenutinelle carte/nei documenti di lavoro. A tale proposito il gruppo di lavoro hagià sottolineato che l’interesse pubblico “rilevante” deve risiedere o nello Stato membro in questione, o nella Comunità europea. A questo riguardo sono considerati validi soltanto gli interessi pubblici rilevanti e importantiindividuati come tali dalla legislazione nazionale applicabile ai responsabilidel trattamento dei dati stabiliti nell’UE. Qualsiasi altra interpretazionepermetterebbe ad un’autorità straniera di eludere il requisito della tutelaadeguata nel paese ricevente quale previsto dalla direttiva 95/46³.Spetta all’autorità nazionale di supervisione (competente per la revisionecontabile) che attua il trasferimento decidere se sussista un interesse pubblico rilevante, affrontando il problema caso per caso alla luce dellalegislazione nazionale in materia e tenendo conto, ove opportuno, di un pareredell’autorità nazionale responsabile per la protezione dei dati. Inparticolare, tenendo conto delle relazioni di mercato, si potrebbe consideraresoddisfatto il requisito dell’interesse pubblico “rilevante” anche in presenzadi accordi tra le autorità responsabili della revisione contabile (ossia leautorità europee e quelle del paese terzo) sulla base della legislazionenazionale.

ii. Si possono inoltretrasferire unicamente i dati personali necessari a realizzare la finalità dirilevante interesse pubblico di cui sopra. Anche in questo caso la valutazioneè lasciata all’autorità che ordina il trasferimento delle carte/dei documenti di lavoro, in considerazione delle richieste inoltrate dall'autorità del paeseterzo. Ciò significherebbe che i dati personali da trasferire dovrannolimitarsi a quelli strettamente necessari e che presentano rilevanza per ifini dell'indagine ad hoc. A tale riguardo, ad esempio, non si possonotrasferire integralmente i dati personali relativi ai dipendenti diun’impresa. Verrà poi prestata speciale attenzione nel caso dei dati sensibilie di quelli di carattere giudiziario. Di conseguenza i dati personalitrasferiti non possono né venire utilizzati dall’autorità ricevente del paeseterzo per scopi diversi, né essere ulteriormente comunicati per tali scopi.

Nei casi in cui l'autoritàcompetente (nel caso delle revisioni legali) non richiede che il requisito dirilevante interesse pubblico di cui all’articolo 26, paragrafo 1, lettera d),della direttiva sia rispettato alla luce delle disposizioni del dirittointerno, potrebbe tuttavia essere possibile procedere al trasferimentoconformemente al disposto dell’articolo 26, paragrafo 2.

Le autorità competenti(per le revisioni legali) potrebbero avvalersi delle adeguate salvaguardieofferte dalle clausole contrattuali standard stipulate per questo tipo di trasferimento dei dati, procedura che non richiederebbe un’analisi caso percaso dei trasferimenti in questione. Sebbene siano utilizzate principalmenteper i trasferimenti di dati nel settore aziendale, tali clausole risultanosufficientemente flessibili da consentire l'applicazione anche in questosettore.

È praticamente certo che,anche con il ricorso a clausole contrattuali tipo, resta comunque l'esigenzache l'autorità nazionale competente verifichi – alla luce del dirittointerno – se sono rispettate le condizioni preliminari per ladivulgazione dei dati all'autorità competente della parte terza. Come è statoripetutamente sottolineato dal gruppo di lavoro "articolo 29", l'adozione di clausole contrattuali tipo non dovrà in alcun caso diventare unpretesto per sottrarsi a disposizioni del diritto interno che disciplinano lacomunicazione dei dati trattati dall'autorità competente⁴.

2. Accordi a mediotermine per le ispezioni da parte dell'autorità di regolamentazione

Gli accordi a mediotermine per lo scambio dei verbali relativi ad ispezioni nel quadro di accordibilaterali conclusi fra lo Stato membro e un paese terzo che non offre garanzie adeguate prevederebbero la comunicazione dei dati personali dei revisoricontabili (principalmente i loro nominativi e quelli dei professionisti chesvolgono un ruolo significativo nella gestione e nel controllo di qualitàdell'impresa di revisione), e ciò unicamente a fini di supervisione pubblica,controllo della qualità e funzioni di accertamento da parte dell'autorità delpaese.

L'articolo 47, paragrafo1, della direttiva fissa le condizioni che tali accordi devono soddisfare: inparticolare il trasferimento di dati personali dev'essere conforme alle disposizioni in materia di trasferimenti internazionali della direttiva95/46/CE⁵. Nelle condizioni di cui sopra non si configurerebberoostacoli specifici a norma dell'articolo 26, paragrafo 1, lettera d), delladirettiva nella misura in cui risulti necessario il trasferimento dei dati inquestione.

Il gruppo di lavoro"articolo 29" sottolinea però che per formulare una risposta piùprecisa su questo punto risultano necessarie informazioni più dettagliatesulle condizioni dell'accordo da concludere con il paese terzo e sullecondizioni del test di adeguatezza. In allegato al presente documento sonoinclusi possibili orientamenti per la realizzazione di tale test, così daassicurare salvaguardie adeguate dal punto di vista della protezione dei dati personali.

IV. Conclusioni

Il gruppo di lavoro"articolo 29" è dell'avviso che l'articolo 26, paragrafo 1, letterad), della direttiva 95/46/CE possa offrire una base giuridica per iltrasferimento all'autorità di regolamentazione dei paesi terzi di carte dilavoro dei revisori contabili contenenti dati personali – nel quadro del"regime standard"prospettato dalla direttiva 2006/43 (articolo 47, paragrafi da 1 a 3).

Il gruppo di lavororicorda però che l'articolo 26, paragrafo 1, lettera d), costituisce una deroga al regime generale istituito dalla direttiva sulla protezione dei datiche si applica ai flussi di dati transfrontalieri; in quanto tale vainterpretato restrittivamente, tenendo conto del rilevante interesse pubblicoservito dal trasferimento (e conferito o al singolo Stato membro o all'UE nelsuo insieme) e assicurando che, al fine di salvaguardare il medesimo, siano trasferiti unicamente dati personali necessari e pertinenti. Fra le condizionida soddisfare nella prospettiva del trasferimento svolge un ruolo fondamentaleil superamento del test di adeguatezza menzionato all'articolo 47, paragrafo3, della direttiva 2006/43.

Il gruppo di lavoro"articolo 29" si riserva il diritto di fornire pareri più specificial proposito non appena si renderanno disponibili informazioni più dettagliatesulle caratteristiche specifiche di tale test, e ribadisce la propria disponibilitàa cooperare con tutte le parti interessate affinché il test di adeguatezzatenga nel dovuto conto i principi relativi alla protezione dei dati.

Per quanto riguarda il"regime speciale"prospettato dall'articolo 47, paragrafo 4, della direttiva 2006/43, in quantoregime da utilizzarsi in casi eccezionali e in deroga al "regime generale", in cui le carte e i documenti sono trasferiti direttamente dairevisori e dalle società di revisione contabile alle autorità competenti deipaesi terzi, il gruppo di lavoro "articolo 29" invita la Commissionea sollecitare il suo contributo in relazione all'attività che la Commissione èabilitata ad effettuare a norma dell'articolo 47, paragrafo 5, della direttiva,in una prospettiva volta a precisare i "casi eccezionali" di trasferimento e garantire così l'applicazione più uniforme di tali disposizioni.

Fatto a Bruxelles, 23novembre 2007

Per il Gruppo di lavoro

Il presidente

Peter SCHAAR

NOTE

1 GU L157 del 9.6.2006, pag. 57.

2 Questaè la posizione costantemente adottata dal gruppo di lavoro per tutti i casimenzionati nel quadro dell’articolo 26, paragrafo 1), della direttiva. Vedasia tale proposito il documento WP 29, trasferimento di dati personali versopaesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sullatutela dei dati, 24 luglio 1998, WP 12, pag. 26: “Queste deroghe, che sonodescritte dettagliatamente, riguardano soprattutto casi in cui i rischi per l’interessato sonoridotti o in cui altri interessi (interessi pubblici o quelli della persona stessa cui i datisi riferiscono) prevalgono sul diritto dell’interessato alla riservatezza. In quanto deroghe a un principiogenerale, devono essere interpretate in modo restrittivo”. Tale parere è stato successivamenteconfermato nel documento di lavoro su un’intepretazione comune dell’articolo26, paragrafo 1 della direttiva 95/46/CE del 24 ottobre 1995 (WP 114), in cuial punto 1.2 si ribadisce che “l’interpretazione dell’articolo 26,paragrafo 1 deve necessariamente essere restrittiva.”

3 Cfr.documento di lavoro su un'interpretazione comune dell'articolo 26, paragrafo 1,della direttiva 95/46/CE del 24 ottobre 1995, documento WP 114, punto 2.4,secondo il quale “l’intenzione degli estensori della direttiva era chiaramente far sì che, aquesto riguardo, fossero considerati validi solo interessi pubblici rilevantiindividuati come tali dalla legislazione nazionale applicabile ai responsabilidel trattamentostabiliti nell’UE. Qualsiasi altra interpretazione permetterebbe a un’autoritàstraniera di eludereil requisito della tutela adeguata nel paese ricevente quale previsto dalladirettiva 95/46;parere 6/2002 relativo alla trasmissione da parte delle compagnie aeree diinformazioni sugli elenchi dei paesseggeri e di altri dati agli Stati Uniti,documento WP 66, punto 2.5. Si veda inoltre, per la costruzione delladisposizione sull’esistenza di un “obbligo di legge” secondo l’articolo 7,lettera c) della direttiva, il parere 1/2006 relativo all’applicazione dellanormativa UE sulla protezione dei dati alle procedure interne per la denunciadelle irregolarità riguardanti la tenuta della contabilità, i controllicontabili interni, la revisione contabile, la lotta contro la corruzione, lacriminalità bancaria e finanziaria, documento WP 117, punto IV 1(i).

4 Questopunto risulta chiaramente dal parere 1/2001 sul progetto di decisione dellaCommissione ai sensi della direttiva 95/46/CE del Parlamento europeo e delConsiglio relativa alle clausole contrattuali tipo per il trasferimento didati a carattere personale verso paesi terzi in conformità all'articolo 26(4)della direttiva 95/46, 26 gennaio 2001, documento WP 38, punto 2; per quantoriguarda i flussi di dati transfrontalieri il gruppo di lavoro ha espresso ilseguente parere: "La legittimità di tali trattamenti è interamente soggetta allecondizioni della legislazione nazionale che attua le disposizioni della direttiva 95/46/CE. Se un trasferimento a un paeseterzo in virtù delle clausole contrattuali tipo approvate dalla Commissione non rispettale condizioni previste dalla legislazione nazionale, detto trasferimento non può aver luogo. In particolare,se la divulgazione di dati a un terzo all'interno dello Stato membro del responsabile del trattamento nonè legittima, la mera residenza del destinatario in un paese terzo non cambia tale valutazionegiuridica".

5 Cfr.anche direttiva 2006/43/CE, considerando 29.

Allegato

Possibili orientamentida rispettare al fine di assicurare l'adeguatezza della protezione dei datinegli accordi da concludere a norma della procedura di cui all'articolo 47,paragrafo 1, lettera c), della direttiva 2006/43/CE.

(a) Un elenco nonesaustivo dei documenti che possono essere trasferiti potrebbe essere redattonel quadro delle misure di "comitatologia". In esso potrebbero adesempio rientrare: le carte di lavoro dei revisori contabili; i documentirelativi ad accertamenti realizzati da revisori di gruppo a normadell'articolo 27; altri documenti provenienti da revisori (lettera di impegno, corrispondenza con l'autorità di regolamentazione, …); i verbali relativi adun'ispezione/l'esito della medesima ad opera delle autorità competenti per laregolamentazione nel campo della revisione contabile o altre autorità di regolamentazione.

(b) Non possono esseretrasferiti i documenti che la competente autorità pubblica di supervisione diuno Stato membro non considera necessari a fini di accertamento o ispezione.

I trasferimenti didocumenti non devono essere sistematici e vanno effettuati soltanto in casi debitamente giustificati su richiesta individuale.

(c) Le autorità del paeseesterno all'UE non potranno rendere pubblici i documenti trasmessi – nédirettamente né indirettamente. In linea di principio, inoltre, non dovrebbeessere consentito l'utilizzo di tali documenti per finalità diverse o da partedi autorità diverse, come le autorità fiscali o i tribunali.

(d) Dovranno essere stabilite condizioni specifiche per quanto riguarda ilperiodo massimo di detenzione dei documenti trasferiti, affinché essi nonsiano tenuti per un periodo di tempo superiore a quello necessario ad eseguireil compito per il quale sono stati richiesti (in ogni caso, per un periodo ditempo non superiore al limite previsto dal diritto nazionale per l'esecuzionedi compiti di supervisione).