15.5.2012   

ES

Diario Oficial de la Unión Europea

C 139/6

1.

El presente dictamen forma parte de un paquete de 4 dictámenes del SEPD relacionados con el sector financiero, todos adoptados el mismo día.

2.

El 15 de noviembre de 2011, la Comisión adoptó una propuesta relativa a las modificaciones del Reglamento (CE) no 1060/2009 sobre las agencias de calificación crediticia (en adelante, el «Reglamento ACC») (3). Dicha propuesta se trasladó para consulta al SEPD el 18 de noviembre de 2011.

3.

El SEPD recibe con agrado el hecho de haber sido consultado de manera informal por la Comisión y recomienda que se incluya una referencia al presente dictamen en el preámbulo del instrumento adoptado.

4.

El SEPD lamenta, sin embargo, no haber sido consultado de manera formal por la Comisión durante la preparación del Reglamento ACC original que entró en vigor el 7 de diciembre de 2010, ni en relación con las modificaciones recientes de dicho Reglamento (4).

5.

En el presente dictamen, el SEPD considera por tanto adecuado y útil abordar cuestiones relativas al Reglamento ACC ya aplicable. En primer lugar, destaca las posibles repercusiones en materia de protección de datos del propio Reglamento ACC. En segundo lugar, el análisis que se presenta en el presente dictamen resulta directamente pertinente para la aplicación de la legislación existente y para otras propuestas futuras pendientes y posibles que incluyan disposiciones similares, tal como se discutió en los dictámenes del SEPD relativos al paquete legislativo sobre la revisión de la legislación bancaria, agencias de calificación crediticia, mercados de instrumentos financieros (MiFID/MIFIR) y abuso del mercado.

6.

La Comisión considera que las agencias de calificación crediticia (ACC) son participantes importantes en los mercados financieros que deben estar sujetas a un marco jurídico adecuado. El primer Reglamento ACC entró en vigor el 7 de diciembre de 2010. Exige a las agencias de calificación el cumplimiento de normas de conducta estrictas a fin de mitigar los posibles conflictos de intereses y de garantizar una elevada calidad y una transparencia suficiente de las calificaciones y el proceso de calificación. Las agencias existentes debían solicitar su registro y cumplir los requisitos del Reglamento a más tardar el 7 de septiembre de 2010.

7.

El 1 de junio de 2011 entraron en vigor las modificaciones del Reglamento ACC [Reglamento (UE) no 513/2011], en virtud de las cuales se otorgan a la Autoridad Europea de Valores y Mercados (AEVM) facultades de supervisión exclusivas sobre las agencias de calificación registradas en la UE, con objeto de centralizar y simplificar su registro y supervisión a escala europea.

8.

La legislación propuesta actual modifica aunque no sustituye al Reglamento ACC. El principal objetivo político de la revisión propuesta es resolver una serie de cuestiones relacionadas con las ACC y el uso de estas calificaciones que no han sido suficientemente resueltas en el Reglamento ACC existente.

9.

Mientras que la mayoría de las disposiciones del Reglamento ACC se refieren al ejercicio y a la supervisión de las actividades de las agencias de calificación crediticia, la ejecución y aplicación del marco jurídico puede afectar en determinados casos a los derechos de las personas relativos al tratamiento de sus datos personales.

10.

El Reglamento ACC permite el intercambio de información entre la AEVM, las autoridades competentes, las autoridades sectoriales competentes y, posiblemente, terceros países (5). Dicha información podrá hacer referencia a personas físicas, como a las personas que participan en las actividades de calificación y a aquellas personas que, de diversa manera, guarden una relación estrecha y sustancial con esas agencias o las actividades de calificación crediticia. Estas disposiciones pueden tener repercusiones en materia de protección de datos para las personas afectadas.

11.

A la luz de lo anterior, el presente dictamen se centrará en los siguientes aspectos del Reglamento ACC relacionados con la protección de datos y la intimidad: 1) la aplicabilidad de la legislación en materia de protección de datos; 2) transferencias de datos a terceros países; 3) acceso a la relación de comunicaciones telefónicas y tráfico de datos; y 4) obligaciones de divulgación relativas a los instrumentos de financiación estructurada y las multas coercitivas.

12.

Varios considerandos (7) del Reglamento ACC hacen mención a la Carta de Derechos Fundamentales, la Directiva 95/46/CE y el Reglamento (CE) no 45/2001. Sin embargo, debería incluirse una referencia a la legislación aplicable en materia de protección de datos en un artículo sustantivo del Reglamento ACC.

13.

Un buen ejemplo de tal disposición sustantiva puede encontrarse en el artículo 22 de la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre las operaciones con información privilegiada y la manipulación del mercado (8), que establece de manera expresa una norma general de que la Directiva 95/46/CE y el Reglamento (CE) no 45/2001 son aplicables al tratamiento de los datos personales en el marco de la propuesta. El SEPD ha emitido hoy un dictamen sobre dicha propuesta en el que acoge con mucha satisfacción este tipo de disposición global. Asimismo, el SEPD sugiere que la referencia a la Directiva 95/46/CE sea aclarada y que se especifique que las disposiciones se aplicarán de acuerdo con las normas nacionales por las que se transpone dicha Directiva.

14.

Esto es de relevancia, por ejemplo, en relación con las diversas disposiciones relativas a los intercambios de información personal. Estas disposiciones son perfectamente legítimas pero necesitan ser aplicadas de un modo coherente con la legislación en materia de protección de datos. El riesgo que debe evitarse en particular es que podrían ser interpretadas como una autorización global para intercambiar todo tipo de datos personales. Una referencia a la legislación en materia de protección de datos, también en las disposiciones sustantivas, reduciría de manera significativa dicho riesgo (9).

15.

Por lo tanto, el SEPD sugiere introducir una disposición sustantiva similar a la del artículo 22 de la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre las operaciones con información privilegiada y la manipulación del mercado (10), sin perjuicio de las sugerencias que haga en relación con la presente propuesta (11), es decir, que haga hincapié en la aplicabilidad de la legislación existente en materia de protección de datos y aclara la referencia a la Directiva 95/46/CE, especificando que las disposiciones se aplicarán de conformidad con las normas nacionales de aplicación de la Directiva 95/46/CE.

16.

El SEPD destaca la referencia al Reglamento (CE) no 45/2001 del artículo 34, apartado 3, del Reglamento ACC relativa a la transmisión de datos de naturaleza personal a terceros países.

17.

Sin embargo, en vista de los riesgos afectados por dichas transferencias, el SEPD recomienda añadir garantías específicas, tal como se ha llevado a cabo en el artículo 23 de la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre las operaciones con información privilegiada y la manipulación del mercado. En el dictamen del SEPD sobre dicha propuesta, el SEPD recibe con agrado el uso de una disposición que incluye garantías adecuadas, como la evaluación caso por caso, la garantía de la necesidad de la transferencia y la existencia de un nivel de protección adecuado de los datos personales en el tercer país receptor de dichos datos.

18.

El artículo 23 quater, apartado 1, letra e), establece que a efectos del desempeño de sus funciones de conformidad con el presente Reglamento, la AEVM podrá realizar todas las investigaciones necesarias. A tal fin, los agentes de la AEVM y demás personas acreditadas por ella estarán facultados para requerir una relación de comunicaciones telefónicas y tráfico de datos. Dada esta amplia formulación, la disposición plantea varias dudas en relación con el ámbito material y personal de la misma. El Reglamento ACC exige asimismo un mandamiento judicial previo para que la AEVM solicite el acceso a la relación de comunicaciones telefónicas y tráfico de datos en caso de que la normativa nacional así lo requiera (14).

19.

En el Reglamento propuesto, no queda definido el concepto de «relación de comunicaciones telefónicas y tráfico de datos». La Directiva 2002/58/CE (actualmente denominada, tras la modificación por la Directiva 2009/136/CE, la «Directiva sobre privacidad electrónica») solo hace referencia a los «datos del tráfico» pero no a la «relación de comunicaciones telefónicas y tráfico de datos». Ni que decir tiene que el significado exacto de dicho concepto determina el impacto que la facultad de investigación podrá tener sobre la protección de datos y la intimidad de las personas afectadas. El SEPD sugiere utilizar la terminología ya aplicable en la definición de «datos del tráfico» de la Directiva 2002/58/CE.

20.

Los datos relativos al uso de medios de comunicación electrónica pueden implicar una amplia serie de información personal, como la identidad de las personas que realiza y recibe la llamada, el tiempo y la duración de la misma, la red utilizada, la ubicación geográfica del usuario en caso de dispositivos portátiles, etc. Algunos datos relativos al tráfico sobre el uso de Internet y del correo electrónico (por ejemplo, la lista de sitios web que se han visitado) pueden revelar, asimismo, detalles importantes del contenido de la comunicación. Además, el tratamiento de datos relativos al tráfico entra en conflicto con el secreto de la correspondencia. A la luz de lo anterior, la Directiva 2002/58/CE estableció el principio de que los datos de tráfico deberán eliminarse o hacerse anónimos cuando ya no sean necesarios a los efectos de la transmisión de una comunicación (15). Con arreglo al artículo 15, apartado 1, de dicha Directiva, los Estados miembros podrán incluir excepciones en la legislación nacional para fines legítimos específicos, aunque tales medidas deberán ser necesarias, proporcionadas y apropiadas en una sociedad democrática para la obtención de dichos fines (16).

21.

El SEPD reconoce que los objetivos que persigue la Comisión en el Reglamento ACC son legítimos y comprende la necesidad de iniciativas que tengan por objeto reforzar la supervisión de los mercados financieros con el fin de preservar su solidez y ofrecer una mejor protección a los inversores y a la economía en general. Sin embargo, los poderes de investigación directamente relacionados con los datos del tráfico, dada su índole potencialmente invasiva, deben cumplir los requisitos de necesidad y proporcionalidad, es decir, deben limitarse a permitir alcanzar el objetivo que se persigue y no ir más allá de lo que es necesario para alcanzarlo (17). Desde esta perspectiva, resulta pues esencial que las disposiciones estén formuladas de manera clara en relación con el ámbito de aplicación personal y material, así como respecto de las circunstancias y las condiciones en que podrán ser utilizadas. Además, deben establecerse las salvaguardias apropiadas contra el riesgo de abusos.

22.

El artículo 23 quater faculta a la AEVM a realizar investigaciones de las personas que participan en las actividades de las agencias de calificación crediticia y a aquellas personas que, de diversa manera, guarden una relación estrecha y sustancial con esas agencias o las actividades de calificación crediticia. Con arreglo al artículo 23 ter, la AEVM también podrá solicitar a estas personas toda la información que considere necesaria.

23.

Estas disposiciones implican de manera clara que, con arreglo al Reglamento ACC, se llevarán a cabo intercambios de datos personales. Parece probable —o al menos no puede excluirse esa posibilidad— que dichas relaciones de comunicaciones telefónicas y tráfico de datos incluyan datos personales en el sentido de la Directiva 95/46/CE y el Reglamento (CE) no 45/2001 y, en cierta medida, de la Directiva 2002/58/CE, es decir, datos relativos a las comunicaciones electrónicas de personas físicas identificadas o identificables (18). Si ése es el caso, debería garantizarse que se respetan totalmente las condiciones para un tratamiento leal y legítimo de los datos personales, tal como se establece en las Directivas y el Reglamento.

24.

El SEPD destaca que el artículo 23 ter, apartado 5, convierte en obligatorio el mandamiento judicial exigido por el Derecho nacional. Sin embargo, el SEPD considera que una obligación general de mandamiento judicial previo en todos los casos —con independencia de si el Derecho nacional lo exige o no— estaría justificada a la luz del carácter potencialmente intrusivo de la facultad en cuestión y por el hecho de haber elegido un Reglamento como el instrumento jurídico adecuado. También debería considerarse que varias de las legislaciones de los Estados miembros establecen garantías especiales sobre la inviolabilidad del domicilio contra las inspecciones, registros o incautaciones desproporcionados y no regulados cuidadosamente cuando estos son llevados a cabo por instituciones de carácter administrativo.

25.

Tal como se ha establecido en el apartado 2.1, la facultad de las autoridades de supervisión para requerir tener acceso a las relaciones de comunicaciones telefónicas y tráfico de datos no es una novedad en la legislación europea, ya que dicho poder ya estaba previsto en varias directivas y reglamentos existentes relativos al sector financiero, En particular, en la Directiva sobre abusos en el mercado (19), la Directiva MiFID (20), la Directiva OICVM (21) normativas que incluyen disposiciones con una redacción similar. Lo mismo puede decirse de una serie de propuestas recientes adoptadas por la Comisión, en especial, las propuestas de Directiva relativa a los gestores de fondos de inversión alternativos (22), de Reglamento sobre las ventas en corto y determinados aspectos de las permutas de cobertura por impago (23) y de Reglamento sobre la integridad y la transparencia del mercado de la energía (24).

26.

En lo que respecta a dichos instrumentos legislativos existentes y propuestos, debe hacerse una distinción entre las competencias de investigación concedidas a las autoridades nacionales y la concesión de dichas competencias a las autoridades europeas. Varios instrumentos obligan a los Estados miembros a que concedan la competencia de solicitar registros existentes sobre tráfico de datos y sobre datos telefónicos a las autoridades nacionales de conformidad con la normativa nacional (25). Por consiguiente, el ejercicio real de esta obligación queda necesariamente sujeto a la normativa nacional, incluida la normativa de aplicación de la Directiva 95/46/CE y la Directiva 2002/58/CE y otras normas nacionales que incluyen otras garantías procesales para las autoridades nacionales de supervisión e investigación.

27.

Esta condición no está contemplada en el Reglamento ACC ni en otros instrumentos legislativos que conceden la competencia de requerir una relación de comunicaciones telefónicas y tráficos de datos directamente a las autoridades europeas. En consecuencia, en dichos casos es aún más necesario aclarar en el propio instrumento legislativo, el ámbito de aplicación personal y material de esta competencia y las circunstancias y las condiciones en las que puede ser utilizada, y garantizar que se adoptan las adecuadas garantías para evitar abusos.

28.

El artículo 23 quater, apartado 1, letra e), del Reglamento faculta a la AEVM a requerir una relación de comunicaciones telefónicas y tráfico de datos. Como se explicará más adelante, el ámbito de aplicación de la disposición y, en particular, el significado exacto de la expresión «relación de comunicaciones telefónicas y tráfico de datos» no quedan claros.

29.

La definición de la expresión «relación de comunicaciones telefónicas y tráfico de datos» no queda totalmente clara, por lo que precisa ser aclarada. La disposición podría hacer referencia a la relación de comunicaciones y tráfico de datos que las agencias de calificación crediticia están obligadas a conservar en el transcurso de sus actividades. Sin embargo, el Reglamento no especifica si las ACC deben conservar las relaciones de telecomunicaciones telefónicas y el tráfico de datos ni cuáles son las relaciones que deben conservarse (26), por lo que si la disposición se refiere a las relaciones conservadas por las ACC, es fundamental definir con precisión las categorías de comunicaciones telefónicas y de tráfico de datos que deben conservarse y que la AEVM puede requerir. De conformidad con el principio de proporcionalidad, dichos datos deberán ser adecuados, pertinentes y no excesivos con relación a los fines de supervisión para los que se traten (27).

30.

El presente caso requiere especialmente una mayor precisión, teniendo en cuenta las importantes multas y las multas coercitivas que pueden imponerse a las ACC y otras personas (incluidas las personas físicas en lo que se refiere a las multas coercitivas) afectadas que hayan cometido una infracción con arreglo al Reglamento (véanse los artículos 36 bis y 36 ter).

31.

Debe asimismo destacarse que el artículo 37 citado anteriormente delega a la Comisión la facultad de adoptar modificaciones, permitiéndole de este modo modificar los anexos del Reglamento que incluyen detalles sobre los requisitos de conservación de la información impuestos a las agencias de calificación crediticia y, de este modo, indirectamente, el poder de acceso a las relaciones de comunicaciones telefónicas y tráfico de datos que se le ha concedido a la AEVM. El artículo 290 del TFUE establece que un acto legislativo podrá delegar en la Comisión los poderes para adoptar actos no legislativos de alcance general que completen o modifiquen determinados elementos no esenciales del acto legislativo. En opinión del SEPD, el perímetro exacto del poder de acceso a los datos del tráfico no puede considerarse un elemento no esencial del Reglamento, por lo cual el ámbito de aplicación material debería quedar especificado directamente en el texto del Reglamento y no aplazarse a futuros actos delegados.

32.

El SEPD entiende que el objetivo del artículo 23 quater, apartado 1, letra e), no es permitir que la AEVM tenga acceso a los datos del tráfico directamente de las empresas de telecomunicaciones. Ésta parece ser la conclusión lógica si se considera especialmente el hecho de que el Reglamento no se refiere a todos los datos de que dispongan las empresas de telecomunicaciones o a los requisitos establecidos por la Directiva sobre privacidad electrónica, tal como se ha mencionado en el apartado 36 (28). Por lo tanto, en aras de una mayor claridad, el SEPD recomienda que dicha conclusión se indique de manera más explícita en el artículo 23 quater del Reglamento ACC, excluyendo de manera específica a los datos del tráfico de que dispongan las empresas de telecomunicaciones.

33.

Si se previese, sin embargo, un derecho de acceso a los datos del tráfico directamente de las empresas de telecomunicaciones, el SEPD tiene serias dudas sobre la necesidad y la proporcionalidad de dicho derecho y, por tanto, recomienda que dicho derecho sea excluido de manera expresa.

34.

El artículo 23, apartado 1, letra e), no indica las circunstancias ni las condiciones en que puede requerirse el acceso ni ofrece garantías procesales o salvaguardias significativas contra el riesgo de abusos. En los párrafos siguientes, el SEPD hará algunas sugerencias concretas en este sentido.

35.

El artículo 23 quater, apartado 1, establece que la AEVM podrá requerir tener acceso a las relaciones de comunicaciones telefónicas y tráfico de datos a efectos del desempeño de sus funciones de conformidad con el Reglamento ACC. En opinión del SEPD, las circunstancias y las condiciones en las que puede ejercer dicho poder deberían estar claramente definidas. El SEPD recomienda limitar el acceso a las relaciones de comunicaciones telefónicas y tráfico de datos en caso de infracción grave y específicamente identificada por el reglamento propuesto y en los casos en que exista una sospecha razonable (que debe estar apoyada en una prueba inicial concreta) de que se ha cometido una infracción. Dicha limitación es también especialmente importante a fin de evitar que el poder de acceso pueda ser utilizado para fines de actividades de phising (usurpación de datos) o la extracción automática de información (data mining) o para otros fines.

36.

Asimismo, el SEPD recomienda introducir el requisito para los casos en que la AEVM solicite una relación de comunicaciones telefónicas y tráfico de datos mediante una decisión formal, en la que se especifique el fundamento jurídico y el fin de dicha solicitud así como la información que se solicita, el plazo en que debe facilitarse dicha información, y el derecho del destinatario a que la decisión sea revisada por el Tribunal de Justicia.

37.

En la actual propuesta de modificaciones del Reglamento ACC (29), el artículo 8 bis propuesto relativo a la información sobre los instrumentos de financiación estructurada establece que el emisor, la entidad originadora y la entidad patrocinadora de los instrumentos de financiación estructurada deberán comunicar al público la información sobre la calidad crediticia y la evolución de cada uno de los activos subyacentes de dicho instrumento, la estructura de la operación de titulización, los flujos de tesorería y las garantías reales que, en su caso, respalden una exposición de titulización, así como cuanta información resulte necesaria para realizar pruebas de resistencia minuciosas y documentadas respecto de los flujos de tesorería y el valor de las garantías reales que respaldan las exposiciones subyacentes. La obligación de comunicar información no se hará extensiva al suministro de información que pueda suponer el incumplimiento de las disposiciones legales que regulan la protección de la confidencialidad de las fuentes de información o el tratamiento de los datos personales.

38.

Este artículo tiene por objeto al emisor, la entidad originadora y la entidad patrocinadora de los instrumentos de financiación estructurada. El SEPD recibe con agrado que, en la propuesta actual de modificaciones del Reglamento ACC, el artículo 8 bis propuesto introduzca que la obligación de comunicar la información al público no se hará extensiva al suministro de información que pueda suponer el incumplimiento de las disposiciones legales que regulan la protección de la confidencialidad de las fuentes de información o el tratamiento de los datos personales.

39.

Este modo de hacer hincapié en las garantías que ofrecen las leyes que regulan el tratamiento de datos personales es, en opinión del SEPD, un paso en la dirección correcta aunque, de conformidad con las recomendaciones realizadas anteriormente, debe incluirse en un artículo sustantivo del Reglamento ACC una referencia clara y explícita a las normas nacionales de incorporación de la Directiva 95/46/CE.

40.

El artículo 36 quinquies del Reglamento ACC establece que la AEVM hará públicas todas las multas coercitivas que se impongan a menos que dicha divulgación pusiera en grave riesgo los mercados financieros o causara un perjuicio desproporcionado a las partes implicadas.

41.

De acuerdo con el artículo 36 ter y el artículo 23 ter, apartado 1, las personas que participan en las actividades de las agencias de calificación crediticia y aquellas personas que, de diversa manera, guarden una relación estrecha y sustancial con esas agencias o las actividades de calificación crediticia podrán quedar sujetas a la imposición de multas coercitivas.

42.

El Reglamento ACC faculta de este modo a la AEVM para imponer sanciones, no solo a las entidades de crédito sino también las personas materialmente responsables del incumplimiento. En el mismo sentido, el artículo 36 quinquies obliga a la AEVM a publicar todas las multas coercitivas impuestas por el incumplimiento del Reglamento propuesto.

43.

La publicación de sanciones contribuiría a aumentar el efecto disuasorio, ya que se disuadiría a los autores reales y potenciales de cometer delitos para evitar un daño significativo en su reputación. Del mismo modo, esto aumentaría la transparencia, ya que los operadores del mercado serían conscientes de que una determinada persona ha cometido una infracción. Esta obligación únicamente queda atenuada cuando la publicación cause un daño desproporcionado a las partes implicadas, en cuyo caso las autoridades competentes publicarán las sanciones de forma anónima.

44.

El SEPD no está convencido de que la publicación obligatoria de las sanciones, tal como está redactada en la actualidad, cumpla los requisitos de la legislación en materia de protección de datos, tal como han sido aclarados por el Tribunal de Justicia en la sentencia Schecke  (31). Considera que no se establece de manera suficiente la finalidad, la necesidad y la proporcionalidad de la medida y que, en cualquier caso, deberían preverse garantías adecuadas contra los riesgos para los derechos de las personas.

45.

En la sentencia Schecke, el Tribunal de Justicia anuló las disposiciones de un Reglamento del Consejo y de un Reglamento de la Comisión que establecían la publicación obligatoria de la información relativa a los beneficiarios de los fondos agrícolas, incluida la identidad de los beneficiarios y los importes recibidos. El Tribunal resolvió que dicha publicación constituía el tratamiento de datos personales contemplado en el artículo 8, apartado 2, de la Carta de los Derechos Fundamentales de la Unión Europea (en adelante, la «Carta») y, por tanto, una interferencia de los derechos reconocidos en los artículos 7 y 8 de la Carta.

46.

Tras analizar que «las excepciones a la protección de los datos de carácter personal y las limitaciones de dicha protección deben establecerse sin sobrepasar los límites de lo estrictamente necesario», el Tribunal continuó analizando la finalidad de la publicación y la proporcionalidad de las mismas. El Tribunal concluyó que en dicho caso nada indicaba que, al adoptar la legislación afectada, el Consejo y la Comisión hubieran tomado en consideración otras formas de publicación de la información que respetase el objetivo perseguido por dicha publicación y, al mismo tiempo, fueran menos lesivas para tales beneficiarios.

47.

El artículo 36 quinquies del Reglamento propuesto parece estar afectado por las mismas carencias que fueron destacadas por el TJE en la sentencia Schecke. Debe recordarse que al evaluar el cumplimiento de los requisitos de protección de datos por parte de una disposición que exija la divulgación pública de datos personales, es de vital importancia tener una finalidad clara y bien definida para la que la publicación prevista pretende servir. Únicamente con una finalidad clara y bien definida puede valorarse si la publicación de los datos personales implicados es realmente necesaria y proporcionada (32).

48.

El SEPD tiene, por tanto, la impresión de que la finalidad y, por consiguiente, la necesidad de dicha medida no ha sido establecida de manera clara. Los considerandos del Reglamento ACC guardan silencio sobre estas cuestiones. Si la finalidad general es aumentar el efecto disuasorio, parece que la Comisión debería haber explicado, por ejemplo, el motivo por el que unas sanciones económicas más duras (u otro tipo de sanciones que no impliquen el recurso a la denuncia pública) no serían suficientes.

49.

Asimismo, deberían considerarse métodos menos intrusivos, como limitar la publicación a las agencias de calificación crediticia o decidir la publicación caso por caso. En particular, la última opción parecería a priori una solución más proporcionada.

50.

Sin embargo, en opinión del SEPD, es la posibilidad de evaluar el asunto a la luz de las circunstancias específicas lo que hace que esta solución sea una opción más proporcionada y, por tanto, sea preferible, en comparación con la publicación obligatoria en todos los casos. Esta discrecionalidad permitiría, por ejemplo, que la AEVM evitase la publicación en casos de infracciones menos graves, en que la infracción no cause un daño significativo, cuando la parte muestre una actitud de colaboración, etc.

51.

El Reglamento ACC debería prever garantías adecuadas para garantizar un justo equilibrio entre los diferentes intereses en juego. En primer lugar, las garantías son necesarias respecto del derecho a recurrir la resolución por parte de las personas afectadas y del derecho de presunción de inocencia. La redacción del artículo 36 quinquies debería incluir un lenguaje específico en este sentido, de manera que se obligue a la AEVM a adoptar medidas adecuadas respecto de ambas situaciones cuando la resolución puede ser recurrida y cuando sea finalmente anulada por un tribunal (33).

52.

En segundo lugar, el Reglamento ACC debería garantizar que se respetan los derechos de los interesados de manera proactiva. El SEPD valora el hecho de que la versión final del Reglamento ACC prevea la posibilidad de excluir la publicación en los casos en que esto pudiera causar un daño desproporcionado. Sin embargo, un enfoque proactivo debería implicar que se informa de manera previa a los interesados del hecho de que la decisión por la que se impone la multa coercitiva será publicada, y que se les concede el derecho de oposición, conforme al artículo 14 de la Directiva 95/46/CE en virtud de motivos fundados y legítimos (34).

53.

En tercer lugar, mientras que el Reglamento ACC no especifica el medio en que la información debería ser publicada, en la práctica cabe imaginar que, en la mayoría de los Estados miembros, la publicación se llevará a cabo a través de Internet. Las publicaciones en Internet plantean cuestiones y riesgos específicos relacionados, en particular, con la necesidad de garantizar que la información se conserva en línea durante un período que no podrá exceder al necesario y que los datos no pueden ser manipulados ni alterados. El uso de motores de búsqueda externos también puede implicar el riesgo de que la información pueda ser sacada de contexto y canalizada a través de la red y fuera de la misma de formas que no puedan controlarse con facilidad (35).

54.

A la luz de lo anterior, es necesario obligar a la AEVM a que garantice que los datos personales de las personas afectadas se conservan en línea únicamente durante un período razonable, tras el cual serán suprimidos de manera sistemática (36). Además, debe exigirse a los Estados miembros que garanticen que se aplican las medidas de seguridad y las garantías adecuadas, en especial para la protección frente a los riesgos del uso de motores de búsqueda externos (37).

55.

El SEPD opina que la disposición sobre la publicación obligatoria de las multas coercitivas — tal como está redactada actualmente — no cumple con los derechos fundamentales a la protección de datos y la intimidad. El legislador debería valorar detenidamente la necesidad del sistema propuesto y verificar si la obligación de publicación excede lo que es necesario para obtener el objetivo del interés público que se persigue y si existen medidas menos restrictivas para alcanzar el mismo objetivo. En función del resultado de la prueba de proporcionalidad, la obligación de publicación en cualquier caso debería contar con el apoyo de garantías adecuadas para asegurar el respeto de la presunción de inocencia, el derecho de oposición de las personas afectadas, la seguridad y exactitud de los datos, así como la supresión de los mismos tras un período adecuado.

56.

El SEPD realiza las siguientes recomendaciones: