15.5.2012   

IT

Gazzetta ufficiale dell'Unione europea

C 139/6

1.

Il presente parere fa parte di un pacchetto di quattro pareri del GEPD riguardanti il settore finanziario, tutti adottati lo stesso giorno.

2.

Il 15 novembre 2011 la Commissione ha adottato una proposta concernente la modifica del regolamento (CE) n. 1060/2009 relativo alle agenzie di rating del credito (di seguito il regolamento sulle agenzie di rating) (3). Il 18 novembre 2011 la proposta è stata inviata al GEPD a fini di consultazione.

3.

Il GEPD si compiace di essere consultato dalla Commissione e raccomanda di inserire un riferimento al presente parere nel preambolo dello strumento adottato.

4.

Il GEPD si rammarica tuttavia di non essere stato consultato ufficialmente dalla Commissione né durante la preparazione del regolamento sulle agenzie di rating originale, entrato in vigore il 7 dicembre 2010, né riguardo alla recente modifica di detto regolamento (4).

5.

Nel presente parere il GEPD ritiene dunque opportuno e utile esaminare alcuni aspetti del regolamento sulle agenzie di rating già in vigore. In primo luogo, il GEPD pone in evidenza le potenziali implicazioni per la protezione dei dati di detto regolamento. In secondo luogo, l’analisi elaborata nel presente parere ha pertinenza diretta con l’applicazione della normativa vigente e con altre proposte già in esame o future contenenti disposizioni analoghe, quali quelle esaminate nei pareri del GEPD sul pacchetto legislativo relativo alla revisione della legislazione bancaria, ai mercati degli strumenti finanziari (MiFID/MiFIR) e agli abusi di mercato.

6.

La Commissione ritiene che le agenzie di rating del credito svolgano un ruolo importante nei mercati finanziari e che debbano essere disciplinate da un adeguato quadro giuridico. Il primo regolamento sulle agenzie di rating, entrato in vigore il 7 dicembre 2010, impone alle agenzie di rating del credito di rispettare norme di comportamento rigorose per attenuare possibili conflitti di interesse e garantire che i rating e il processo di rating siano di elevata qualità e sufficiente trasparenza. Le agenzie di rating esistenti hanno dovuto registrarsi e conformarsi ai requisiti stabiliti dal regolamento entro il 7 settembre 2010.

7.

La modifica del regolamento sulle agenzie di rating [regolamento (UE) n. 513/2011], entrata in vigore il 1o giugno 2011, affida all’Autorità europea degli strumenti finanziari e dei mercati (AESFEM) la vigilanza esclusiva sulle agenzie di rating registrate nell’UE in modo da centralizzarne e semplificarne la registrazione e vigilanza a livello europeo.

8.

La proposta legislativa in esame introduce modifiche nel regolamento sulle agenzie di rating, ma non lo sostituisce. Il principale obiettivo politico della revisione proposta è trattare una serie di questioni inerenti alle agenzie di rating del credito e all’uso dei rating che non sono state affrontate in misura sufficiente nel regolamento vigente.

9.

Sebbene la maggior parte delle disposizioni del regolamento in esame riguardi l’esercizio delle attività delle agenzie di rating del credito e la vigilanza su tali attività, l’attuazione e l’applicazione del quadro giuridico in alcuni casi può incidere sui diritti delle persone fisiche in relazione al trattamento dei dati personali.

10.

Il regolamento sulle agenzie di rating prevede lo scambio di informazioni tra l’AESFEM, le autorità competenti, le autorità settoriali competenti ed eventualmente i paesi terzi (5). Tali informazioni possono facilmente riguardare persone fisiche, per esempio le persone che partecipano alle attività di rating del credito e le persone altrimenti collegate o connesse strettamente e in modo sostanziale con le agenzie di rating del credito o con le attività di rating. Queste disposizioni possono avere implicazioni per la protezione dei dati personali degli interessati.

11.

Alla luce di quanto precede, il presente parere esamina i seguenti aspetti del regolamento sulle agenzie di rating riguardanti la protezione della vita privata e dei dati personali: 1) l’applicabilità della normativa in materia di protezione dei dati; 2) il trasferimento dei dati verso paesi terzi; 3) l’accesso alla documentazione relativa al traffico telefonico e al traffico dati; 4) l’obbligo di pubblicazione delle informazioni sugli strumenti finanziari strutturati e sulle sanzioni reiterate.

12.

Alcuni considerando (7) del regolamento sulle agenzie di rating rimandano alla Carta dei diritti fondamentali, alla direttiva 95/46/CE e al regolamento (CE) n. 45/2001. Tuttavia si dovrebbe inserire un riferimento alla normativa applicabile in materia di protezione dei dati in un articolo sostanziale del regolamento.

13.

Un buon esempio di tale disposizione sostanziale è fornito dall’articolo 22 della proposta di regolamento del Parlamento europeo e del Consiglio relativo all’abuso di informazioni privilegiate e alla manipolazione del mercato (8), il quale prevede espressamente l’applicazione generale delle disposizioni della direttiva 95/46/CE e del regolamento (CE) n. 45/2001 al trattamento di dati personali nel quadro della proposta. Il GEPD ha adottato oggi un parere su tale proposta, nel quale accoglie con grande favore questo tipo di disposizione generale. Il GEPD propone tuttavia di chiarire il riferimento alla direttiva 95/46/CE, precisando che le disposizioni si applicano conformemente alle normative nazionali di attuazione della direttiva stessa.

14.

Ciò è importante, per esempio, per quanto riguarda le varie disposizioni relative allo scambio di informazioni personali. Tali disposizioni sono perfettamente legittime, ma devono essere applicate in modo compatibile con la normativa in materia di protezione dei dati. In particolare, occorre scongiurare il rischio che possano essere interpretate come un’autorizzazione generale a scambiare qualsiasi tipo di dati personali. Un riferimento alla normativa in materia di protezione dei dati, anche nelle disposizioni sostanziali, ridurrebbe sensibilmente tale rischio (9).

15.

Il GEPD propone quindi di inserire una disposizione sostanziale analoga a quella di cui all’articolo 22 della proposta di regolamento del Parlamento europeo e del Consiglio relativo all’abuso di informazioni privilegiate e alla manipolazione del mercato (10), ferme restando le raccomandazioni formulate su detta proposta (11), cioè dare risalto all’applicabilità della legislazione vigente in materia di protezione dei dati e chiarire il riferimento alla direttiva 95/46/CE, precisando che le disposizioni si applicano in conformità delle normative nazionali di attuazione della direttiva stessa.

16.

Il GEPD prende atto del riferimento al regolamento (CE) n. 45/2001 di cui all’articolo 34, paragrafo 3, del regolamento sulle agenzie di rating, riguardante il trasferimento di dati personali a paesi terzi.

17.

Tuttavia, considerati i rischi associati a tali trasferimenti, il GEPD raccomanda di prevedere salvaguardie specifiche, come è stato fatto all’articolo 23 della proposta di regolamento del Parlamento europeo e del Consiglio relativo all’abuso di informazioni privilegiate e alla manipolazione del mercato. Nel parere su tale proposta, il GEPD accoglie con favore il ricorso a una disposizione che contiene salvaguardie adeguate, quali la valutazione individuale, la garanzia che il trasferimento sia necessario e l’assicurazione di un adeguato livello di protezione dei dati personali nel paese terzo che riceve i dati.

18.

L’articolo 23 quater, paragrafo 1, lettera e), stabilisce che, per adempiere alle funzioni attribuitele ai sensi del regolamento, l’AESFEM ha facoltà di svolgere tutte le indagini necessarie. A tal fine, i funzionari dell’AESFEM e altre persone da essa autorizzate sono abilitati a richiedere la documentazione relativa al traffico telefonico e al traffico dati. A causa della sua formulazione generica, la disposizione solleva alcuni dubbi riguardo al relativo ambito di applicazione materiale e personale. Il regolamento sulle agenzie di rating stabilisce inoltre che, per richiedere l’accesso alla documentazione del traffico telefonico e del traffico di dati, l’AESFEM deve ottenere l’autorizzazione di un’autorità giudiziaria, qualora tale autorizzazione sia richiesta ai sensi della legislazione nazionale (14).

19.

Il regolamento proposto non contiene una definizione del concetto di «documentazione relativa al traffico telefonico e al traffico dati». La direttiva 2002/58/CE (nota anche come «direttiva e-Privacy», così come modificata dalla direttiva 2009/136/CE) fa riferimento ai «dati relativi al traffico», ma non alla «documentazione relativa al traffico telefonico e al traffico dati». Va da sé che il significato preciso di tali concetti determina l’impatto che il potere di condurre indagini può avere sulla protezione della vita privata e dei dati personali degli interessati. Il GEPD propone di adoperare la terminologia già utilizzata nella definizione di «dati relativi al traffico» di cui alla direttiva 2002/58/CE.

20.

I dati riguardanti l’uso di strumenti di comunicazione elettronici possono comprendere un’ampia gamma di informazioni personali, quali l’identità delle persone che fanno e ricevono la telefonata, la data, l’ora e la durata della stessa, la rete utilizzata, la posizione geografica dell’utente in caso di dispositivi mobili, eccetera. Alcuni dati concernenti l’uso di Internet e della posta elettronica (per esempio, l’elenco dei siti Internet visitati) possono inoltre rivelare particolari importanti del contenuto della comunicazione. Inoltre, il trattamento dei dati sul traffico entra in conflitto con la segretezza della corrispondenza. Per questo motivo, la direttiva 2002/58/CE ha sancito il principio secondo cui i dati sul traffico devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione (15). Secondo l’articolo 15, paragrafo 1, di detta direttiva, gli Stati membri possono prevedere nella legislazione nazionale deroghe per finalità specifiche e legittime, purché siano necessarie, opportune e proporzionate all’interno di una società democratica per conseguire tali finalità (16).

21.

Il GEPD riconosce che gli obiettivi perseguiti dalla Commissione nel regolamento sulle agenzie di rating sono legittimi e comprende la necessità di iniziative volte a rafforzare la vigilanza dei mercati finanziari allo scopo di preservarne la solidità e proteggere meglio gli investitori e l’economia in generale. Tuttavia il potere di condurre indagini direttamente collegate ai dati sul traffico, considerata la sua potenziale natura intrusiva, deve soddisfare i criteri di necessità e proporzionalità, cioè deve essere limitato a quanto è opportuno per realizzare l’obiettivo perseguito e non deve andare oltre quanto è necessario per raggiungerlo (17). In questa prospettiva è pertanto essenziale che le disposizioni siano formulate in modo preciso per quanto riguarda il relativo ambito di applicazione personale e materiale, nonché le circostanze e le condizioni in cui tale potere può essere esercitato. Si devono inoltre prevedere idonee salvaguardie contro il rischio di abusi.

22.

L’articolo 23 quater conferisce all’AESFEM la facoltà di svolgere indagini riguardo alle persone che partecipano alle attività di rating del credito e alle persone altrimenti collegate o connesse strettamente e in modo sostanziale con le agenzie di rating del credito o con le attività di rating. Secondo l’articolo 23 ter, l’AESFEM può anche richiedere a tali persone fisiche di fornirle tutte le informazioni che ritiene necessarie.

23.

Tali disposizioni indicano chiaramente che nel quadro del regolamento sulle agenzie di rating avrà luogo uno scambio di dati personali. Appare probabile — o, quanto meno, non si può escludere — che la documentazione relativa al traffico telefonico e al traffico dati in questione comprenda dati personali ai sensi della direttiva 95/46/CE e del regolamento (CE) n. 45/2001 e, per la parte pertinente, della direttiva 2002/58/CE, cioè i dati riguardanti il traffico telefonico e il traffico di dati di persone fisiche identificate o identificabili (18). In tale eventualità, occorre garantire il pieno rispetto delle condizioni di un trattamento equo e legittimo dei dati personali, come previsto dalle direttive e dal regolamento.

24.

Il GEPD prende atto del fatto che l’articolo 23 quater, paragrafo 5, prevede l’obbligo di ottenere un’autorizzazione giudiziaria se tale autorizzazione è richiesta ai sensi della legislazione nazionale. Tuttavia, data la potenziale natura intrusiva dei poteri in parola e la scelta del regolamento quale strumento giuridico adeguato, il GEPD ritiene giustificato un obbligo generale di autorizzazione giudiziaria in ogni caso, a prescindere da se tale autorizzazione sia prescritta o no dalla normativa nazionale. Va altresì considerato che la legislazione di alcuni Stati membri prevede garanzie speciali sull’inviolabilità del domicilio per quanto riguarda i controlli, le perquisizioni e i sequestri sproporzionati e non regolamentati in modo scrupoloso, specialmente se effettuati da istituzioni amministrative.

25.

Come indicato al paragrafo 2.1, i poteri delle autorità di vigilanza di richiedere accesso alla documentazione relativa al traffico telefonico e al traffico dati non rappresentano una novità per la legislazione europea. Disposizioni in tal senso sono già previste in varie direttive e regolamenti vigenti in materia finanziaria. In particolare, la direttiva sugli abusi di mercato (19), la direttiva MiFID (20) e la direttiva OICVM (21) prevedono tutte disposizioni di simile tenore. Lo stesso vale per alcune proposte adottate di recente dalla Commissione, ossia la proposta di direttiva sui gestori di fondi di investimento alternativi (22), la proposta di regolamento relativo alle vendite allo scoperto e ai credit default swaps  (23) e la proposta di regolamento concernente l’integrità e la trasparenza del mercato dell’energia (24).

26.

Per quanto riguarda questi strumenti legislativi, vigenti e proposti, occorre operare una distinzione tra i poteri di indagine concessi alle autorità nazionali e il conferimento di tali poteri alle autorità dell’Unione europea. Diversi strumenti obbligano gli Stati membri a conferire alle autorità nazionali il potere di richiedere la documentazione relativa al traffico telefonico e al traffico dati in conformità della legislazione nazionale (25). Di conseguenza, l’effettivo adempimento di tale obbligo è necessariamente soggetto alla legislazione nazionale, comprese le norme di attuazione delle direttive 95/46/CE e 2002/58/CE e altre leggi nazionali che prevedono ulteriori garanzie procedurali per le autorità nazionali di vigilanza e di indagine.

27.

Né il regolamento sulle agenzie di rating né gli altri strumenti legislativi che conferiscono direttamente alle autorità dell’Unione europea il potere di richiedere la documentazione relativa al traffico telefonico e al traffico dati prevedono condizioni in tal senso. Di conseguenza, in questi casi è ancora più necessario precisare, nello strumento legislativo stesso, l’ambito di applicazione personale e materiale di tali poteri, nonché in quali circostanze e a quali condizioni possono essere esercitati, e garantire l’esistenza di idonee salvaguardie contro gli abusi.

28.

L’articolo 23 quater, paragrafo 1, lettera e), del regolamento conferisce all’AESFEM il potere di richiedere la documentazione relativa al traffico telefonico e al traffico dati. Come spiegato meglio nei punti successivi, l’ambito di applicazione della disposizione, in particolare il significato preciso di «documentazione relativa al traffico telefonico e al traffico dati», non è chiaro.

29.

La definizione di «documentazione relativa al traffico telefonico e al traffico dati» non è del tutto chiara e va dunque precisata. Tale disposizione potrebbe riferirsi alla documentazione sul traffico telefonico e di dati che le agenzie di rating del credito sono tenute a conservare nel corso delle loro attività. Tuttavia il regolamento non specifica se le agenzie di rating debbano raccogliere la documentazione relativa al traffico telefonico e al traffico dati né quale sia tale documentazione (26). Pertanto, qualora la disposizione si riferisca alla documentazione in possesso delle agenzie di rating del credito, è essenziale definire precisamente quali categorie di dati sul traffico telefonico e di dati devono essere conservate e possono essere richieste dall’AESFEM. Conformemente al principio di proporzionalità, questi dati devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità di vigilanza per le quali vengono trattati (27).

30.

Maggiore precisione è necessaria soprattutto nel caso in esame, alla luce delle onerose sanzioni amministrative pecuniarie e sanzioni reiterate che possono essere imposte alle agenzie di rating del credito e ad altri soggetti interessati (comprese le persone fisiche, nel caso delle sanzioni reiterate) a seguito di violazioni del regolamento (cfr. articolo 36 bis e articolo 36 ter).

31.

Va altresì rilevato che l’articolo 37 delega alla Commissione il potere di adottare misure che le consentono di modificare gli allegati del regolamento, i quali specificano i requisiti di conservazione della documentazione da parte delle agenzie di rating del credito, e quindi, indirettamente, anche i poteri di accesso alla documentazione relativa al traffico telefonico e al traffico dati conferiti all’AESFEM. L’articolo 290 del TFUE stabilisce che un atto legislativo può delegare alla Commissione il potere di adottare atti non legislativi di portata generale che integrano o modificano determinati elementi non essenziali dell’atto legislativo. A parere del GEPD, la delimitazione esatta dei poteri di accesso ai dati sul traffico non può essere considerata un elemento non essenziale del regolamento. La definizione dell’ambito di applicazione materiale va quindi inserita direttamente nel testo del regolamento e non può essere rinviata ad atti delegati futuri.

32.

Il GEPD ritiene che l’articolo 23 quater, paragrafo 1, lettera e), non abbia lo scopo di consentire all’AESFEM di ottenere l’accesso ai dati sul traffico direttamente dai fornitori di servizi di telecomunicazione. Questa conclusione pare logica soprattutto alla luce del fatto che il regolamento non fa alcun riferimento ai dati in possesso dei fornitori di servizi di telecomunicazione né agli obblighi stabiliti dalla direttiva e-Privacy, come indicato al precedente punto 20 (28). A fini di chiarezza, il GEPD raccomanda quindi di rendere più esplicita tale conclusione nell’articolo 23 quater del regolamento sulle agenzie di rating, escludendo specificamente i dati sul traffico in possesso dei fornitori di servizi di telecomunicazione.

33.

Tuttavia, nell’ipotesi in cui il diritto di ottenere l’accesso ai dati sul traffico direttamente dai fornitori di servizi di telecomunicazione sia previsto, il GEPD nutre seri dubbi in merito alla sua necessità e proporzionalità e raccomanda quindi che tale diritto sia esplicitamente escluso.

34.

L’articolo 23 quater, paragrafo 1, lettera e), non indica in quali circostanze e a quali condizioni è possibile richiedere l’accesso ai dati, né prevede importanti garanzie procedurali o salvaguardie contro il rischio di abusi. Nei punti seguenti il GEPD propone alcune soluzioni concrete in proposito.

35.

A norma dell’articolo 23 quater, paragrafo 1, l’AESFEM può richiedere l’accesso alla documentazione relativa al traffico telefonico e al traffico dati per adempiere alle funzioni attribuitele ai sensi del regolamento sulle agenzie di rating. A parere del GEPD, è necessario definire in termini più precisi le circostanze e le condizioni per l’esercizio di tale potere. Il GEPD raccomanda di limitare l’accesso alla documentazione relativa al traffico telefonico e al traffico dati ai casi di violazioni gravi e specificamente individuate del regolamento proposto e ai casi in cui sussista un ragionevole sospetto (da suffragare con prove iniziali concrete) che sia stata commessa una violazione. Tale limitazione è particolarmente importante anche al fine di evitare che i poteri di accesso possano essere usati per attività di phishing o di estrazione di dati, o per finalità diverse da quelle previste.

36.

Il GEPD raccomanda inoltre di introdurre l’obbligo per l’AESFEM di richiedere la documentazione relativa al traffico telefonico e al traffico dati tramite una decisione formale, che specifichi la base giuridica e la finalità della richiesta, nonché le informazioni richieste, il termine entro il quale devono essere fornite e il diritto del destinatario di ottenere la revisione della decisione da parte della Corte di giustizia.

37.

Nell’attuale proposta di modifica del regolamento sulle agenzie di rating (29), l’articolo 8 bis, concernente le informazioni sugli strumenti finanziari strutturati, stabilisce che l’emittente, il cedente e il promotore di uno strumento finanziario strutturato rendono pubbliche le informazioni sulla qualità creditizia e le prestazioni delle singole attività sottostanti allo strumento finanziario strutturato, la struttura dell’operazione di cartolarizzazione, i flussi di cassa e le garanzie reali a sostegno delle esposizioni inerenti a cartolarizzazione e le informazioni necessarie a condurre prove di stress complete e ben documentate sui flussi di cassa e i valori delle garanzie reali a sostegno delle esposizioni sottostanti. L’obbligo di fornire informazioni non si applica alle informazioni che violerebbero disposizioni di legge che disciplinano la tutela della riservatezza delle fonti informative o il trattamento dei dati personali.

38.

L’articolo si riferisce all’emittente, al cedente e al promotore di uno strumento finanziario strutturato. Il GEPD valuta positivamente il fatto che, nell’attuale proposta di modifica del regolamento sulle agenzie di rating, l’articolo 8 bis preveda che l’obbligo di rendere pubbliche le informazioni non si applichi alle informazioni che violerebbero disposizioni di legge che disciplinano la tutela della riservatezza delle fonti informative o il trattamento dei dati personali.

39.

A parere del GEPD, questo modo di dare risalto alle garanzie previste dalle normative che disciplinano il trattamento dei dati personali è un passo nella giusta direzione; tuttavia, conformemente alle raccomandazioni formulate ai punti precedenti, occorre inserire un riferimento chiaro ed esplicito alle norme nazionali di attuazione della direttiva 95/46/CE in un articolo sostanziale del regolamento sulle agenzie di rating.

40.

L’articolo 36 quinquies del regolamento sulle agenzie di rating stabilisce che l’AESFEM comunica al pubblico eventuali sanzioni reiterate imposte, salvo il caso in cui tale comunicazione possa mettere gravemente a rischio i mercati finanziari o possa arrecare un danno sproporzionato alle parti coinvolte.

41.

Secondo l’articolo 36 ter e l’articolo 23 ter, paragrafo 1, possono essere imposte sanzioni reiterate alle persone che partecipano alle attività di rating del credito e alle persone altrimenti collegate o connesse strettamente e in modo sostanziale con le agenzie di rating del credito o con le attività di rating.

42.

Il regolamento sulle agenzie di rating conferisce quindi all’AESFEM il potere di imporre sanzioni non solo agli enti creditizi, ma anche ai soggetti materialmente responsabili della violazione. Analogamente, l’articolo 36 quinquies obbliga l’AESFEM a pubblicare ogni sanzione reiterata inflitta per una violazione del regolamento proposto.

43.

La pubblicazione delle sanzioni contribuirebbe a rafforzare l’effetto deterrente, scoraggiando i responsabili effettivi e potenziali di violazioni dal commettere reati onde evitare gravi danni alla reputazione. Al contempo, rafforzerebbe la trasparenza, in quanto gli operatori di mercato verrebbero a conoscenza del fatto che una determinata persona ha commesso una violazione. L’obbligo si attenua soltanto se la pubblicazione può arrecare un danno sproporzionato alle parti coinvolte, nel qual caso le autorità competenti pubblicano le sanzioni in forma anonima.

44.

Il GEPD non è convinto che l’obbligo di pubblicazione delle sanzioni, così com’è attualmente formulato, soddisfi le condizioni relative alla protezione dei dati stabilite dalla Corte di giustizia nella sentenza Schecke  (31). È del parere che la finalità, la necessità e la proporzionalità della misura non siano dimostrate in modo adeguato e che, in ogni caso, si debbano prevedere idonee salvaguardie dei diritti individuali.

45.

Nella sentenza Schecke la Corte ha dichiarato invalide le disposizioni di un regolamento del Consiglio e di un regolamento della Commissione che prevedevano la pubblicazione obbligatoria di informazioni riguardanti i beneficiari dei fondi agricoli, tra cui l’identità dei beneficiari e gli importi percepiti. Secondo la Corte, detta pubblicazione costituisce un trattamento di dati personali ai sensi dell’articolo 8, paragrafo 2, della Carta dei diritti fondamentali dell’Unione europea («la Carta») e, pertanto, una lesione dei diritti riconosciuti dagli articoli 7 e 8 della Carta stessa.

46.

Dopo aver dichiarato che «le deroghe e le limitazioni alla protezione dei dati personali devono operare entro i limiti dello stretto necessario», la Corte ha proseguito l’analisi della finalità della pubblicazione e della proporzionalità. Ha concluso che, nel caso di specie, nulla indicava che il Consiglio e la Commissione avessero preso in considerazione, in sede di adozione della legislazione in causa, modalità di pubblicazione delle informazioni conformi all’obiettivo di una simile pubblicazione pur essendo meno lesive dei diritti di detti beneficiari.

47.

L’articolo 36 quinquies del regolamento sulle agenzie di rating sembra viziato dalle stesse carenze evidenziate dalla Corte nella sentenza Schecke. Occorre tenere presente che, per valutare la conformità agli obblighi in materia di protezione dei dati di una disposizione che impone la pubblicazione di informazioni personali, è indispensabile che sia indicata una finalità chiara e ben definita per la quale è prevista la pubblicazione. Soltanto in presenza di una finalità chiara e ben definita è possibile valutare se la pubblicazione dei dati personali di cui trattasi sia effettivamente necessaria e proporzionata (32).

48.

Il GEPD ritiene quindi che la finalità e, di conseguenza, la necessità della misura non siano definite chiaramente. Al riguardo i considerando del regolamento sulle agenzie di rating tacciono. Se la finalità generale è rafforzare l’effetto deterrente, la Commissione avrebbe forse dovuto spiegare, per esempio, perché sanzioni pecuniarie più onerose (o altri tipi di sanzione che non comportino la pubblicazione dei nomi degli inadempienti) non sarebbero state sufficienti.

49.

Si sarebbero inoltre dovute prendere in considerazione modalità di pubblicazione meno intrusive, come limitare la pubblicazione alle agenzie di rating del credito o decidere se procedere alla pubblicazione caso per caso. Quest’ultima possibilità, in particolare, a prima vista sembra offrire una soluzione più proporzionata.

50.

A parere del GEPD, la possibilità di valutare il caso alla luce delle circostanze specifiche rende questa soluzione più proporzionata e quindi preferibile all’obbligo di pubblicazione in ogni caso. Tale discrezionalità permetterebbe all’AESFEM, per esempio, di evitare la pubblicazione nei casi in cui la violazione sia meno grave, la violazione non provochi danni significativi, la parte si sia mostrata disposta a collaborare, eccetera.

51.

Il regolamento sulle agenzie di rating avrebbe dovuto prevedere idonee salvaguardie per garantire il giusto equilibrio tra i diversi interessi in gioco. In primo luogo, sono necessarie garanzie in relazione al diritto dell’interessato di presentare ricorso e alla presunzione di innocenza. In proposito, si sarebbe dovuto usare un linguaggio specifico nel testo dell’articolo 36 quinquies, in modo da imporre all’AESFEM di adottare opportuni provvedimenti nei casi in cui la decisione sia oggetto di ricorso e in cui venga infine revocata da un giudice (33).

52.

In secondo luogo, il regolamento sulle agenzie di rating dovrebbe garantire il rispetto dei diritti degli interessati in modo proattivo. Il GEPD riconosce che il regolamento sulle agenzie di rating prevede la possibilità di escludere la pubblicazione nel caso in cui provochi danni sproporzionati. Tuttavia un approccio proattivo dovrebbe prevedere che gli interessati siano preventivamente informati del fatto che la decisione di applicare una sanzione reiterata nei loro confronti sarà pubblicata e che, in forza dell’articolo 14 della direttiva 95/46/CE, è loro riconosciuto il diritto di opporsi per motivi preminenti e legittimi (34).

53.

In terzo luogo, il regolamento sulle agenzie di rating non specifica il mezzo attraverso il quale l’informazione sarà pubblicata ma, nella pratica, è immaginabile che la pubblicazione avverrà su Internet. Le pubblicazioni su Internet presentano pericoli e criticità specifiche riguardanti, in particolare, la necessità di garantire che le informazioni siano a disposizione online solo per il periodo strettamente necessario e che i dati non possano essere manipolati o alterati. L’uso di motori di ricerca esterni comporta inoltre il rischio che le informazioni siano estrapolate dal contesto e inoltrate attraverso e al di fuori di Internet in modo difficile da controllare (35).

54.

Alla luce di quanto precede, è necessario imporre all’AESFEM di assicurare che i dati personali degli interessati siano a disposizione online solo per un periodo di tempo ragionevole, al termine del quale saranno sistematicamente cancellati (36). Gli Stati membri dovrebbero inoltre essere tenuti a garantire idonee salvaguardie e misure di sicurezza, soprattutto contro i rischi connessi all’uso dei motori di ricerca esterni (37).

55.

Il GEPD è del parere che la disposizione relativa all’obbligo di pubblicazione delle sanzioni reiterate — così com’è attualmente formulata — non sia compatibile con i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali. Il legislatore dovrebbe valutare con attenzione la necessità del sistema proposto e verificare se l’obbligo di pubblicazione non vada oltre quanto è necessario per conseguire l’obiettivo di interesse pubblico perseguito e se non esistano misure meno restrittive per raggiungere il medesimo obiettivo. Subordinatamente all’esito di questo test della proporzionalità, l’obbligo di pubblicazione dovrebbe in ogni caso essere sostenuto da salvaguardie idonee a garantire il rispetto della presunzione di innocenza, il diritto degli interessati di opporsi, la sicurezza/esattezza dei dati e la loro cancellazione dopo un adeguato periodo di tempo.

56.

Il GEPD formula le seguenti raccomandazioni: