This document is an excerpt from the EUR-Lex website
Document 32019Q1125(01)
Decision of the Management Board of the European Securities and Markets Authority of 1 October 2019 adopting internal rules concerning restrictions of certain rights of data subjects in relation to processing of personal data in the framework of the functioning of ESMA
Decisione del consiglio di amministrazione dell’Autorità europea degli strumenti finanziari e dei mercati del 1o ottobre 2019 che adotta le norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito delle attività svolte dall’ESMA
Decisione del consiglio di amministrazione dell’Autorità europea degli strumenti finanziari e dei mercati del 1o ottobre 2019 che adotta le norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito delle attività svolte dall’ESMA
GU L 303 del 25.11.2019, p. 31–36
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
25.11.2019 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 303/31 |
DECISIONE DEL CONSIGLIO DI AMMINISTRAZIONE DELL’AUTORITÀ EUROPEA DEGLI STRUMENTI FINANZIARI E DEI MERCATI
del 1o ottobre 2019
che adotta le norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito delle attività svolte dall’ESMA
IL CONSIGLIO DI AMMINISTRAZIONE,
visto il trattato sul funzionamento dell’Unione europea,
visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (1), in particolare l’articolo 25,
visto il regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l’Autorità europea di vigilanza (Autorità europea degli strumenti finanziari e dei mercati), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/77/CE della Commissione (2), come eventualmente modificato ulteriormente, abrogato o sostituito, in particolare l’articolo 71,
visto il parere del GEPD del 20 giugno 2019 e gli orientamenti del suddetto in merito all’articolo 25 del nuovo regolamento e alle norme interne,
previa consultazione del comitato del personale,
considerando quanto segue:
(1) |
L’ESMA svolge le proprie attività conformemente al regolamento (UE) n. 1095/2010 (il «regolamento ESMA» e «ESMA»), come eventualmente modificato ulteriormente, abrogato o sostituito. |
(2) |
L’ESMA tratta diverse categorie di dati personali, tra cui dati «oggettivi» (quali dati d’identificazione, recapiti, dati professionali, dettagli amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico) e/o dati «soggettivi» (riguardanti il caso, quali motivazione, dati su comportamenti e condotta e dati relativi o presentati in relazione all’oggetto del procedimento o dell’attività). |
(3) |
L’ESMA, rappresentata dal suo direttore esecutivo, agisce in qualità di titolare del trattamento, indipendentemente dalle ulteriori deleghe di tale ruolo all’interno dell’ESMA volte a riflettere le responsabilità operative delle specifiche attività di trattamento dei dati personali. |
(4) |
I dati personali sono conservati in modo sicuro in un ambiente elettronico o in formato cartaceo, impedendo l’accesso illecito o il trasferimento dei dati a persone che non hanno necessità di venirne a conoscenza. I dati personali trattati sono conservati solo per il tempo necessario e opportuno per le finalità del trattamento per il periodo specificato nei registri relativi alla protezione dei dati e nelle informative sulla privacy dell’ESMA. |
(5) |
Nell’ambito dell’esercizio delle proprie attività, l’ESMA è tenuta a rispettare, nella misura più ampia possibile, i diritti fondamentali degli interessati, in particolare quelli che riguardano il diritto di comunicare informazioni, di accesso e rettifica, di cancellazione, di limitazione del trattamento, di comunicazione di una violazione dei dati personali all’interessato o il diritto alla riservatezza delle comunicazioni sancito nel regolamento (UE) 2018/1725. |
(6) |
Tuttavia, l’ESMA può essere costretta a limitare le informazioni agli interessati e altri loro diritti per proteggere, in particolare, la riservatezza e l’efficacia delle proprie indagini, le indagini e i procedimenti di altre autorità pubbliche, nonché i diritti di altre persone legate alle proprie indagini o in altre procedure. |
(7) |
Nell’ambito del proprio operato, l’ESMA può svolgere una serie di indagini, come indagini amministrative, procedimenti disciplinari, attività preliminari relative a frodi finanziarie, indagini relative a denunce di irregolarità o molestie, audit interni, indagini sulla protezione dei dati o sul rispetto delle norme etiche, indagini relative alle TIC, indagini sulla sicurezza delle informazioni e attività svolte nel contesto dei rischi per la sicurezza e della gestione degli incidenti. Inoltre, al fine di esercitare le proprie funzioni, l’ESMA conduce indagini legate alle proprie funzioni dirette di vigilanza o di contrasto e può condurre indagini su potenziali violazioni del diritto dell’Unione nonché indagini su una particolare tipo di attività finanziaria, di prodotto o condotta al fine di valutare potenziali minacce all’integrità dei mercati finanziari o alla stabilità del sistema finanziario. |
(8) |
Le norme interne dovrebbero applicarsi a tutte le operazioni di trattamento dei dati effettuate dall’ESMA nello svolgimento delle indagini di cui sopra. Tali regole interne dovrebbero applicarsi anche alle operazioni di trattamento dei dati svolte anteriormente all’avvio delle indagini di cui sopra, nel corso del loro svolgimento e durante il monitoraggio del seguito dato al relativo risultato finale. Ciò dovrebbe inoltre includere l’assistenza, il coordinamento e/o la cooperazione richiesti all’ESMA dalle autorità nazionali e dalle organizzazioni internazionali nell’ambito delle proprie indagini amministrative. |
(9) |
Prima di ricorrere alle limitazioni previste dalle suddette norme interne, l’ESMA dovrebbe valutare se è possibile applicare una delle deroghe stabilite dal regolamento (UE) 2018/1725. Nei casi in cui si applichino limitazioni sulla base di tali regole interne, l’ESMA deve fornire giustificazioni che spieghino il motivo per cui tali limitazioni siano strettamente necessarie e proporzionate in una società democratica e rispettino l’essenza dei diritti e delle libertà fondamentali. |
(10) |
L’ESMA dovrebbe monitorare che le condizioni che giustificano la limitazione continuino ad applicarsi e revocare la limitazione appena cessino di sussistere. |
(11) |
Il titolare del trattamento dovrebbe informare il responsabile della protezione dei dati quando limita l’applicazione di determinati diritti degli interessati ai sensi della presente decisione, quando estende tale limitazione e quando questa viene revocata, |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
Oggetto e campo d’applicazione
1. La presente decisione stabilisce le norme interne relative alle condizioni alle quali l’ESMA, nel quadro delle attività stabilite nei paragrafi da 2 a 5, può limitare l’applicazione dei diritti sanciti negli articoli da 14 a 21 e 35, nonché nell’articolo 4 della presente, in base all’articolo 25 del regolamento (UE) 2018/1725. Dette limitazioni non pregiudicano le deroghe relative ai diritti degli interessati previste dal regolamento (UE) 2018/1725.
2. Nel quadro del funzionamento amministrativo dell’ESMA, le limitazioni previste al paragrafo 1 del presente articolo si applicano al trattamento dei dati personali da parte dell’ESMA per i seguenti scopi:
a) |
indagini amministrative e procedimenti disciplinari; |
b) |
trattamento delle irregolarità in collegamento con l’Ufficio europeo per la lotta antifrode (OLAF); |
c) |
trattamento denunce di irregolarità, molestie (formali e informali) nonché reclami interni ed esterni; |
d) |
audit interni, indagini relative alla protezione dei dati o di carattere etico; |
e) |
indagini relative alle TIC, indagini sulla sicurezza delle informazioni e attività svolte nel contesto della gestione dei rischi e degli incidenti relativi alla sicurezza, gestite internamente o con coinvolgimento esterno. |
3. Nell’esercizio delle funzioni dell’ESMA, le limitazioni previste al paragrafo 1 del presente articolo si applicano al trattamento dei dati personali da parte dell’ESMA per i seguenti scopi:
a) |
indagini relative alle funzioni dirette di vigilanza e di contrasto dell’ESMA; |
b) |
indagini su potenziali violazioni del diritto dell’Unione ai sensi dell’articolo 17 del regolamento ESMA; e |
c) |
accertamenti su un particolare tipo di attività finanziaria, di prodotto o condotta al fine di valutare potenziali minacce all’integrità dei mercati finanziari o alla stabilità del sistema finanziario a norma dell’articolo 22 del regolamento ESMA. |
4. Inoltre, queste limitazioni si applicano all’assistenza, al coordinamento e/o alla cooperazione forniti dall’ESMA alle autorità nazionali e dei mercati, comprese le autorità di paesi terzi e le organizzazioni internazionali nel contesto delle indagini condotte per lo svolgimento delle relative funzioni statutarie.
5. Le limitazioni citate al paragrafo 1 del presente articolo si applicano anche alle operazioni di trattamento effettuate prima dell’apertura delle indagini o altre inchieste amministrative di cui ai precedenti paragrafi da 2 a 4, durante tali indagini e durante il monitoraggio del seguito dato al relativo risultato finale.
6. La presente decisione si applica a qualsiasi categoria di dati personali trattati nell’ambito delle attività di cui ai precedenti paragrafi da 2 a 5.
7. Fatte salve le condizioni stabilite nella presente decisione, le limitazioni sono applicabili ai seguenti diritti: comunicazione di informazioni agli interessati, accesso, rettifica, cancellazione, limitazione del trattamento e comunicazione di una violazione dei dati personali all’interessato.
Articolo 2
Responsabile del trattamento incaricato degli accertamenti e delle garanzie applicabili
1. Le garanzie predisposte per prevenire violazioni, sottrazioni o divulgazioni di dati personali non autorizzate nell’ambito delle indagini di cui all’articolo 1 sono le seguenti:
a) |
i documenti cartacei sono conservati in armadi sicuri e accessibili soltanto al personale autorizzato; |
b) |
tutti i dati elettronici devono essere gestiti tramite dispositivi, sistemi informatici, applicazioni e risorse di archiviazione approvati dall’ESMA. Devono essere utilizzate le applicazioni del sistema di gestione dei documenti dell’ESMA per organizzare, reperire, condividere, conservare e proteggere i dati elettronici dell’ESMA. Il personale autorizzato dell’ESMA può accedere ai dati elettronici solo in base al principio della necessità di sapere; |
c) |
tutte le persone che hanno accesso ai dati sono soggette all’obbligo di riservatezza. |
2. Il titolare del trattamento è l’ESMA, rappresentata dal suo direttore esecutivo, il quale può delegare la funzione di titolare. Gli interessati sono informati dei titolari del trattamento delegati attraverso i registri relativi alla protezione dei dati personali pubblicati sul sito Internet dell’ESMA.
3. Il periodo di conservazione dei dati personali non deve essere superiore a quanto necessario e opportuno per le finalità del trattamento. Il periodo di conservazione deve essere specificato nei registri relativi alla protezione dei dati personali e nelle informative sulla privacy di cui all’articolo 5, paragrafo 1.
4. Qualora l’ESMA consideri di applicare una limitazione, [necessario valutare il rischio per i diritti e le libertà dell’interessato, in particolare rispetto al rischio per i diritti e le libertà degli altri interessati e al rischio di annullare gli effetti delle indagini o delle procedure dell’ESMA, ad esempio distruggendo elementi di prova. I rischi per i diritti e le libertà dell’interessato riguardano principalmente, ma non esclusivamente, i rischi legati alla reputazione e i rischi per il diritto di difesa e al contraddittorio.
Articolo 3
Limitazioni
1. Eventuali limitazioni vengono applicate dall’ESMA esclusivamente per salvaguardare:
a) |
la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e relativa prevenzione; |
b) |
altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare gli obiettivi della politica estera e di sicurezza comune dell’Unione o un interesse fondamentale economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale; |
c) |
la sicurezza interna delle istituzioni e degli organismi dell’Unione, compresa quella delle relative reti di comunicazione elettronica; |
d) |
le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate; |
e) |
una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere a) e b); |
f) |
la tutela dell’interessato o dei diritti e delle libertà altrui. |
2. Come applicazione specifica delle finalità descritte nel precedente paragrafo 1, l’ESMA può applicare limitazioni riguardanti i dati personali scambiati con i servizi della Commissione o altre istituzioni, organi e organismi dell’Unione, autorità competenti degli Stati membri o paesi terzi o organizzazioni internazionali nei seguenti casi:
a) |
quando l’esercizio di tali diritti e obblighi potrebbe essere limitato dai servizi della Commissione o da altre istituzioni, organi e organismi dell’Unione in virtù di altri motivi di cui dall’articolo 25 del regolamento (UE) 2018/1725, conformemente al capo IX di detto regolamento oppure sulla base degli atti costitutivi di altre istituzioni, organi e organismi dell’Unione; |
b) |
quando l’esercizio di tali diritti e obblighi potrebbe essere limitato dalle autorità competenti degli Stati membri sulla base dei motivi di cui all’articolo 23 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (3) o a norma delle disposizioni nazionali di recepimento dell’articolo 13, paragrafo 3, dell’articolo 15, paragrafo 3, o dell’articolo 16, paragrafo 3, della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (4); |
c) |
quando l’esercizio di tali diritti e obblighi potrebbe pregiudicare la cooperazione dell’ESMA con paesi terzi o organizzazioni internazionali nello svolgimento dei propri compiti o dei compiti del paese terzo o delle organizzazioni internazionali. Prima di applicare limitazioni nei casi di cui al primo comma, lettere a) e b), l’ESMA consulta i servizi della Commissione, le istituzioni, gli organi e gli organismi pertinenti dell’Unione o le autorità competenti degli Stati membri, a meno che all’ESMA non risulti evidente che l’applicazione di una limitazione è prevista in virtù di uno dei motivi di cui alle summenzionate lettere. |
3. Le eventuali limitazioni sono necessarie e proporzionate tenuto conto dei rischi per i diritti e le libertà degli interessati e rispettano l’essenza dei diritti e delle libertà fondamentali in una società democratica.
4. Se si considera l’applicazione di limitazioni, deve essere effettuata una verifica della necessità e della proporzionalità sulla base delle presenti regole. Tale procedura è documentata mediante una nota di valutazione interna ed è effettuata caso per caso.
5. Le limitazioni sono revocate non appena le condizioni che le giustificano cessino di sussistere. In particolare, laddove si ritenga che l’esercizio del diritto ristretto non annullerebbe più l’effetto della limitazione imposta né lederebbe i diritti e le libertà degli altri interessati.
Articolo 4
Revisione da parte del responsabile della protezione dei dati
1. Il titolare del trattamento informa senza indebito ritardo il responsabile della protezione dei dati (RDP) ogniqualvolta il suddetto limiti l’applicazione dei diritti degli interessati o estenda la limitazione a norma della presente decisione. Il titolare del trattamento fornisce al RPD l’accesso alla nota interna contenente la valutazione della necessità e della proporzionalità della limitazione nonché, ove applicabile, i relativi elementi di fatto e di diritto che ne costituiscono la base e documenta la data in cui ha informato il RPD.
2. Il RPD può chiedere per iscritto al titolare del trattamento di riesaminare l’applicazione della limitazione. Il titolare del trattamento informa per iscritto il RPD circa l’esito del riesame richiesto.
3. Il titolare del trattamento informa il RPD quando la limitazione viene revocata.
4. Il titolare del trattamento documenta il coinvolgimento del RPD durante le varie fasi del processo, a partire dalla data in cui ha informato il RPD.
5. La nota interna e, ove applicabile, gli elementi di fatto e di diritto che ne costituiscono la base vengono messi a disposizione del Garante europeo della protezione dei dati su richiesta.
Articolo 5
Comunicazione di informazioni agli interessati
1. L’ESMA pubblica, sul proprio sito web, i registri relativi alla protezione dei dati che informano tutti gli interessati delle proprie attività che comportano il trattamento di dati personali, comprese le informazioni relative alla potenziale limitazione dei diritti degli interessati.
2. L’ESMA notifica a tutti gli interessati, ovvero le persone che considera interessate dall’indagine o dall’inchiesta, la documentazione relativa alla protezione dei dati personali delle specifiche operazioni di trattamento in questione, senza indebito ritardo e per iscritto.
3. In casi debitamente giustificati e alle condizioni prescritte dalla presente decisione, l’ESMA può limitare, in tutto o in parte, la comunicazione di informazioni agli interessati di cui al paragrafo 2. In tal caso, registra in una nota interna i motivi della limitazione e la base giuridica conformemente all’articolo 3 della presente decisione, compresa una valutazione della necessità e della proporzionalità della limitazione.
4. La limitazione di cui al paragrafo 3 continua ad applicarsi finché permangono i motivi che la giustificano.
Laddove i motivi della limitazione non si applichino più, l’ESMA notifica alla persona interessata la relativa documentazione sulla protezione dei dati personali e le ragioni principali della limitazione. Tale notifica può essere accompagnata da un invito a presentare i risultati dell’indagine o dell’inchiesta in corso, nell’ambito dell’esercizio dei diritti di difesa della persona interessata. Nel contempo, l’ESMA informa l’interessato in merito al diritto di presentare reclamo al Garante europeo della protezione dei dati in qualsiasi momento o un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.
L’ESMA riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’inchiesta o dell’indagine pertinente.
Articolo 6
Diritto di accesso dell’interessato
1. A seguito di una richiesta dell’interessato, l’ESMA può limitare, in tutto o in parte, il diritto dell’interessato di ottenere la conferma se i dati personali che lo riguardano sono stati o meno trattati dall’ESMA nel contesto di un’indagine o di un’inchiesta di cui all’articolo 1 della presente decisione e, in tal caso, il diritto di accesso a tali dati e altre informazioni di cui all’articolo 17 del regolamento (UE) 2018/1725.
2. Nel caso in cui l’ESMA limiti il diritto di accesso, deve informare l’interessato, nella propria risposta alla richiesta, in merito alla limitazione applicata e ai principali motivi della stessa, nonché della possibilità di presentare reclamo al Garante europeo della protezione dei dati o un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.
3. La comunicazione di informazioni di cui al paragrafo 2 può essere rinviata, omessa o negata se annullasse l’effetto della limitazione in conformità dell’articolo 25, paragrafo 8, del regolamento (UE) 2018/1725. Nel qual caso, l’ESMA registra in una nota di valutazione interna i motivi della limitazione, compresa un esame della necessità, della proporzionalità della limitazione e della sua durata.
4. L’ESMA riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’inchiesta o dell’indagine pertinente.
Articolo 7
Diritto di rettifica, cancellazione e limitazione del trattamento
1. A seguito di una richiesta dell’interessato, l’ESMA può, nel contesto di un’indagine o di un’inchiesta di cui all’articolo 1 della presente decisione, limitare, in tutto o in parte, il diritto di tale interessato ad ottenere la rettifica dei dati personali che lo riguardano, a cancellare o a limitare il trattamento dei suoi dati personali come previsto dagli articoli 18, 19 e 20 del regolamento (UE) 2018/1725.
2. Laddove l’ESMA limiti l’applicazione del diritto di rettifica, cancellazione o limitazione del trattamento di cui sopra, adotta i provvedimenti di cui all’articolo 6, paragrafi 2 e 3, della presente decisione.
3. L’ESMA riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’inchiesta o dell’indagine pertinente.
Articolo 8
Comunicazione di una violazione di dati personali all’interessato
1. L’ESMA comunica una violazione dei dati personali all’interessato senza indebito ritardo qualora tale violazione presenti verosimilmente un rischio elevato per i diritti e le libertà delle persone fisiche, come previsto dall’articolo 35 del regolamento (UE) 2018/1725.
2. In casi debitamente giustificati e alle condizioni previste nella presente decisione, l’ESMA può limitare, in tutto o in parte, la comunicazione di informazioni ai soggetti interessati di cui al paragrafo 1 del presente articolo. In tal caso, registra in una nota interna i motivi della limitazione e la base giuridica conformemente all’articolo 3 della presente decisione, compresa una valutazione della necessità e della proporzionalità della limitazione.
3. La limitazione di cui al paragrafo 2 continua ad applicarsi finché permangono i motivi che la giustificano.
Laddove i motivi della limitazione non si applichino più, l’ESMA comunica la violazione dei dati personali al soggetto interessato in questione informandolo dei motivi principali della limitazione. Nel contempo, l’ESMA informa l’interessato in merito al diritto di presentare reclamo al Garante europeo della protezione dei dati in qualsiasi momento o un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.
L’ESMA riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’inchiesta o dell’indagine pertinente.
Articolo 9
Entrata in vigore
La presente decisione entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Fatto a Helsinki, il 1o ottobre 2019
Per il consiglio di amministrazione
Steven MAIJOOR
Il presidente
(1) GU L 295 del 21.11.2018, pag. 39.
(2) GU L 331 del 15.12.2010, pag. 84.
(3) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
(4) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).