20.6.2012   

IT

Gazzetta ufficiale dell'Unione europea

C 177/1

1.

Il presente parere è parte di un pacchetto di quattro pareri del GEPD relativi al settore finanziario, adottati tutti il medesimo giorno (3).

2.

Il 20 ottobre 2011, la Commissione ha adottato una proposta di regolamento del Parlamento europeo e del Consiglio relativo all'abuso di informazioni privilegiate e alla manipolazione del mercato («proposta di regolamento») e una proposta di direttiva del Parlamento europeo e del Consiglio relativa alle sanzioni penali in caso di abuso di informazioni privilegiate e di manipolazione del mercato («proposta di direttiva»). Il 31 ottobre 2011 il GEPD ha ricevuto dalla Commissione le proposte di regolamento e di direttiva (denominate congiuntamente «le proposte») a fini di consultazione. Il 6 dicembre 2011 il Consiglio dell'Unione europea ha consultato il GEPD in merito alle suddette proposte.

3.

Il GEPD è stato consultato in modo informale prima dell'adozione della proposta di regolamento e constata che la proposta tiene conto di diverse delle sue osservazioni.

4.

Il GEPD si compiace di essere stato consultato dalla Commissione e dal Consiglio.

5.

La direttiva sugli abusi di mercato («MAD») (4), adottata agli inizi del 2003, ha introdotto un quadro normativo comune a livello dell’UE allo scopo di prevenire, individuare e sanzionare sia l’abuso di informazioni privilegiate, sia la manipolazione del mercato.

6.

Dopo alcuni anni dall’entrata in vigore della MAD, la Commissione ne ha valutato l'applicazione individuando una serie di problemi costituiti, ad esempio, da lacune nella regolamentazione di alcuni strumenti e mercati, applicazione scarsamente efficace (le autorità di regolamentazione non dispongono di determinati poteri e informazioni e le sanzioni sono carenti o non sufficientemente dissuasive), assenza di chiarezza su alcuni concetti fondamentali e oneri amministrativi per gli emittenti.

7.

Alla luce dei problemi sopra indicati e dei cambiamenti importanti che hanno caratterizzato il panorama finanziario attraverso gli sviluppi sul piano normativo, di mercato e tecnologico, la Commissione ha adottato due proposte legislative per la riforma della MAD, ossia la proposta di regolamento e la proposta di direttiva. Nell’ambito degli obiettivi strategici, la proposta di revisione mira ad accrescere la fiducia degli investitori e l'integrità del mercato e a rispondere ai nuovi sviluppi che investono il settore finanziario.

8.

In particolare, la proposta di regolamento estende il campo di applicazione del quadro normativo sugli abusi di mercato, riconosce come reati specifici i tentativi di manipolare il mercato e il tentativo di abuso d’informazioni privilegiate, rafforza i poteri di indagine concessi alle autorità competenti e introduce delle regole minime relative a misure amministrative, sanzioni e ammende.

9.

La proposta di direttiva impone agli Stati membri di introdurre sanzioni penali per l’abuso d’informazioni privilegiate o la manipolazione del mercato perpetrati intenzionalmente, nonché per l’istigazione, il favoreggiamento e il concorso o il tentativo nella commissione di uno di questi reati. La proposta estende anche la responsabilità alle persone giuridiche, compresa la responsabilità penale delle persone giuridiche, se del caso.

10.

Alcune delle misure contenute nelle proposte mirano a potenziare l’impatto dell’integrità del mercato e della tutela degli investitori sui diritti degli individui in materia di trattamento dei loro dati personali.

11.

In particolare, nell’ambito d’indagini o cooperazioni effettuate dalle autorità competenti allo scopo di rilevare, segnalare e/o sanzionare un abuso di informazioni privilegiate o un abuso di mercato, si verifica la raccolta, il trattamento e lo scambio di una serie di dati personali. Inoltre, il meccanismo che esorta le persone a segnalare le violazioni comporterà anche il trattamento dei dati personali sia della persona che segnala le violazioni, sia della persona «accusata». Infine, il regime sanzionatorio inciderà sul diritto alla protezione dei dati personali, nella misura in cui saranno pubblicate le sanzioni in cui viene identificato l’autore della violazione della proposta di regolamento.

12.

Mentre la proposta di regolamento contiene diverse disposizioni suscettibili di ledere il diritto dell’individuo alla protezione dei propri dati personali, la proposta di direttiva non prevede di per sé il trattamento dei dati personali. Pertanto, il presente parere si soffermerà sulla proposta di regolamento e, in particolare, sulle seguenti questioni: 1) applicabilità della normativa in materia di protezione dei dati, 2) elenchi di persone che hanno accesso a informazioni privilegiate, 3) poteri delle autorità competenti, 4) sistemi in atto per rilevare e segnalare le operazioni sospette, 5) scambio d’informazioni con paesi terzi, 6) pubblicazione delle sanzioni e segnalazione di violazioni.

13.

Sia i considerando (5) che le disposizioni (6) della proposta di regolamento contengono un riferimento alla Carta dei diritti fondamentali, alla direttiva 95/46/CE e al regolamento (CE) n. 45/2001. In particolare, l'articolo 22 della proposta di regolamento prevede espressamente come regola generale che «per quanto riguarda il trattamento di dati personali effettuato dagli Stati membri nel quadro del presente regolamento, le autorità competenti applicano le disposizioni della direttiva 95/46/CE. Per quanto riguarda il trattamento di dati personali effettuato dall'AESFEM nel quadro del presente regolamento, l'AESFEM si conforma alle disposizioni del regolamento (CE) n. 45/2001». Inoltre, dispone che i dati personali vengano conservati per un periodo massimo di 5 anni.

14.

Il GEPD accoglie con grande favore questa disposizione generale e apprezza nel complesso che la proposta di regolamento abbia riservato particolare attenzione alla normativa in materia di protezione dei dati. Tuttavia, suggerisce che la disposizione venga riformulata mettendo in rilievo l'applicabilità della normativa vigente in materia di protezione dei dati. Inoltre, dovrebbe essere chiarito il riferimento alla direttiva 95/46/CE specificando che le disposizioni si applicano conformemente alle norme nazionali di recepimento della direttiva 95/46/CE. Il GEPD rileva che alcune disposizioni della proposta di regolamento fanno esplicito riferimento alla direttiva 95/46/CE e/o al regolamento (CE) n. 45/2001. Questo evidenzia l'applicazione delle norme pertinenti in materia di protezione dei dati in casi specifici, ma non implica l’impossibilità di applicarle qualora non siano esplicitamente menzionate in ogni disposizione (potenzialmente) relativa al trattamento dei dati personali.

15.

Come per il considerando 33, anche gli altri considerando dovrebbero usare in modo coerente la formulazione che gli Stati membri «devono» e non solo «dovrebbero» rispettare la normativa pertinente in materia di protezione dei dati, dal momento che detta normativa è in vigore e non vi è alcun margine di discrezionalità per quanto concerne la sua applicabilità.

16.

La proposta di regolamento prevede per gli emittenti di uno strumento finanziario o i partecipanti al mercato delle quote di emissione l'obbligo di redigere un elenco di tutti coloro con i quali esiste un rapporto di collaborazione professionale, si tratti di un contratto di lavoro dipendente o altro, e che hanno accesso alle informazioni privilegiate (articolo 13, paragrafo 1). Gli emittenti di uno strumento finanziario i cui strumenti finanziari sono ammessi alla negoziazione su un mercato di crescita per le PMI sono esentati da tale obbligo, tranne se richiesto dall’autorità competente (articolo 13, paragrafo 2).

17.

Il GEPD riconosce la necessità di tale elenco come strumento importante per le autorità competenti nell'ambito di indagini su eventuali abusi di informazioni privilegiate o abusi di mercato. Tuttavia, nella misura in cui tali elenchi riguardano il trattamento di dati personali, le regole e le garanzie principali per la protezione dei dati devono essere previste nella norma fondamentale Pertanto, il GEPD raccomanda di fare esplicito riferimento alla finalità di tale elenco in una disposizione sostanziale della proposta di regolamento. Difatti la finalità costituisce uno degli elementi essenziali di qualsiasi trattamento, ai sensi dell'articolo 6 della direttiva 95/46/CE.

18.

Ai sensi dell'articolo 13, paragrafo 4, della proposta di regolamento, la Commissione adotta, tramite atti delegati, misure che stabiliscono il contenuto dell'elenco (incluse le informazioni relative all'identità e ai motivi per cui delle persone debbano essere inserite in un elenco di questo tipo), nonché le condizioni alle quali gli emittenti devono redigere un elenco di questo tipo (incluse le condizioni alle quali tali elenchi devono essere aggiornati, la durata del periodo durante il quale devono essere conservati e le responsabilità delle persone che vi figurano). Tuttavia, il GEPD raccomanda di:

19.

L’articolo 17, paragrafo 2, elenca i poteri di vigilanza e di indagine che le autorità competenti devono almeno disporre per adempiere ai loro obblighi in conformità alla proposta di regolamento.

20.

Due poteri, segnatamente, meritano particolare attenzione data la loro interferenza con i diritti della vita privata e della protezione dei dati: il potere di accedere a locali privati per sequestrare documenti sotto qualsiasi forma e il potere di richiedere le registrazioni esistenti relative al traffico telefonico e allo scambio di dati.

21.

Il potere di accedere a locali privati per sequestrare documenti sotto qualsiasi forma è altamente intrusivo e interferisce con il diritto alla vita privata. Per questo motivo, tale potere dovrebbe essere subordinato a condizioni rigorose e accompagnato da idonee misure di salvaguardia (7). L'articolo 17, paragrafo 2, lettera e), prescrive che l'accesso a locali privati avviene dopo aver ottenuto la preventiva autorizzazione dell'autorità giudiziaria dello Stato membro in questione in conformità alla legislazione nazionale e quando esista un ragionevole sospetto che documenti connessi all'oggetto dell'ispezione possano avere rilevanza per provare un caso di abuso di informazioni privilegiate o di manipolazione del mercato. Il GEPD plaude al fatto che il testo tenga conto dei poteri delle autorità competenti, disponendo come condizioni per poter accedere a locali privati il ragionevole sospetto di una violazione della proposta di regolamento o di direttiva e la preventiva autorizzazione dell'autorità giudiziaria. Tuttavia, il GEPD ritiene che il requisito generale di una preventiva autorizzazione giudiziaria, indipendentemente dal fatto se lo richieda o meno la legislazione nazionale, sia giustificato e al tempo stesso necessario, vista la potenziale natura intrusiva del potere in questione.

22.

Il considerando 30 della proposta di regolamento enuncia i casi in cui l'accesso a locali privati è necessario, ossia quando la persona cui è già stato chiesto di fornire l’informazione non ha dato seguito (in tutto o in parte) a tale richiesta; oppure quando vi sono buone ragioni di ritenere che se anche si producesse una richiesta di informazioni ad essa non verrebbe dato seguito o che i documenti o le informazioni a cui la richiesta si riferisce verrebbero rimossi, manomessi o distrutti. Il GEPD si compiace di queste enunciazioni. Tuttavia, ritiene che queste siano salvaguardie supplementari necessarie ad assicurare il rispetto del diritto alla vita privata e che andrebbero quindi inserite in una disposizione sostanziale quale condizione per accedere a locali privati.

23.

L'articolo 17, paragrafo 2, lettera f), autorizza le autorità competenti a «chiedere le registrazioni esistenti relative al traffico telefonico e allo scambio di dati conservate da un operatore di telecomunicazioni o da una società di investimento», tuttavia chiarisce che la richiesta è subordinata all'esistenza di un «ragionevole sospetto» che tali registrazioni «possano essere rilevanti al fine di dimostrare l'abuso di informazioni privilegiate o la manipolazione del mercato» ai sensi della proposta di regolamento e della proposta di direttiva. Tali registrazioni non riguardano tuttavia «il contenuto della comunicazione alla quale si riferiscono». Inoltre, l'articolo 17, paragrafo 3, dispone che i poteri di cui al paragrafo 2 siano esercitati in conformità alla legislazione nazionale.

24.

I dati riguardanti l’uso di strumenti di comunicazione elettronici possono comprendere un’ampia gamma d’informazioni personali, quali l’identità delle persone che fanno e ricevono la telefonata, la data e la durata della stessa, la rete utilizzata, la posizione geografica dell’utente in caso di dispositivi mobili ecc. Alcuni dati concernenti l’uso di Internet e della posta elettronica (per esempio, l’elenco dei siti Internet visitati) possono rivelare altresì particolari importanti del contenuto della comunicazione. Inoltre, il trattamento dei dati sul traffico entra in conflitto con la segretezza della corrispondenza. Alla luce di quanto esposto, la direttiva 2002/58/CE (8) (direttiva e-privacy) ha stabilito il principio secondo cui i dati sul traffico devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione (9). Secondo l'articolo 15, paragrafo 1, della direttiva in questione, gli Stati membri possono disporre deroghe nelle legislazioni nazionali per specifici scopi legittimi, ma queste devono essere necessarie, opportune e proporzionate all'interno di una società democratica, per raggiungere questi scopi (10).

25.

Il GEPD riconosce che gli obiettivi perseguiti dalla Commissione nella proposta di regolamento sono legittimi. Comprende la necessità d’iniziative volte a rafforzare la vigilanza dei mercati finanziari al fine di preservarne la solidità e tutelare meglio gli investitori e l'economia in generale. Tuttavia, considerata la potenziale natura intrusiva che comportano, i poteri di indagine direttamente collegati allo scambio di dati devono soddisfare i requisiti di necessità e proporzionalità, cioè devono essere limitati a quanto è opportuno per realizzare l’obiettivo perseguito e non devono andare oltre quanto è necessario per raggiungerlo (11). In tale prospettiva, è pertanto essenziale che detti poteri siano formulati chiaramente per quanto riguarda il campo di applicazione personale e materiale nonché le circostanze e le condizioni del loro esercizio. Inoltre, dev’essere fornita idonea salvaguardia dal rischio di abusi.

26.

Le registrazioni in questione relative al traffico telefonico e allo scambio di dati coinvolgono ovviamente dati personali ai sensi della direttiva 95/46/CE, della direttiva 2002/58/CE e del regolamento (CE) n. 45/2001. Il considerando 31 della proposta di regolamento espone quanto segue: «Le registrazioni relative al traffico telefonico e allo scambio di dati possono determinare l’identità del responsabile della diffusione di informazioni false o fuorvianti, stabilire che sono intervenuti contatti tra alcune persone per un certo periodo e che due o più persone sono in relazione fra loro» (12). Pertanto, occorre garantire il totale rispetto delle condizioni di un trattamento equo e legittimo dei dati personali, come previsto dalle direttive e dal regolamento.

27.

Il GEPD constata che, ai sensi dell'articolo 17, paragrafo 3, questo potere deve essere esercitato in conformità alla legislazione nazionale, ma non viene fatto esplicito riferimento alla preventiva autorizzazione giudiziaria, come nel caso del potere di accesso a locali privati. Il GEPD ritiene che l’introduzione in tutti i casi dell’obbligo generale di preventiva autorizzazione giudiziaria, indipendentemente dal fatto se la legislazione nazionale lo preveda o meno, sia giustificata vista la potenziale natura intrusiva del potere in questione e nell'interesse di un'applicazione armonizzata della legislazione in tutti gli Stati membri dell'UE. Va inoltre considerato che diverse leggi degli Stati membri dispongono garanzie particolari per quanto concerne l’inviolabilità della sfera privata a fronte di ispezioni, perquisizioni o sequestri sproporzionati e non attentamente regolamentati, soprattutto a opera di istituzioni di natura amministrativa.

28.

Inoltre, il GEPD raccomanda di introdurre l'obbligo per le autorità competenti di chiedere le registrazioni relative al traffico telefonico e allo scambio di dati mediante decisione formale che indichi specificamente la base giuridica e lo scopo della richiesta, nonché le informazioni richieste, i termini entro cui devono essere fornite e il diritto del destinatario della richiesta di ricorrere contro la decisione presso la Corte di giustizia.

29.

La proposta di regolamento non reca una definizione delle nozioni di «registrazioni relative al traffico telefonico e allo scambio di dati». La direttiva 2002/58/CE (e-privacy) fa riferimento solo ai «dati relativi al traffico» ma non alle «registrazioni relative al traffico telefonico e allo scambio di dati». Va da sé che l'esatto significato di queste nozioni determina l'impatto che il potere d’indagine può avere sulla tutela della vita privata e sulla protezione dei dati delle persone interessate. Il GEPD suggerisce di utilizzare la terminologia in uso nella definizione di «dati relativi al traffico» contenuta nella direttiva 2002/58/CE.

30.

L'articolo 17, paragrafo 2, lettera f), fa riferimento a «registrazioni esistenti relative al traffico telefonico e allo scambio di dati conservate da un operatore di telecomunicazioni». La direttiva e-privacy stabilisce il principio secondo il quale i dati relativi al traffico devono essere cancellati quando non sono più necessari ai fini commerciali per cui erano stati raccolti. Tuttavia, in base all'articolo 15, paragrafo 1, della direttiva e-privacy, gli Stati membri possono derogare a tale obbligo ai fini dell'applicazione della legge. La direttiva sulla conservazione di dati si propone di allineare le iniziative degli Stati membri a norma dell'articolo 15, paragrafo 1, della direttiva e-privacy, per quanto riguarda la conservazione dei dati per le indagini, l’accertamento e il perseguimento di reati «gravi».

31.

La questione è quella di comprendere se le registrazioni relative al traffico telefonico e allo scambio di dati di cui all'articolo 17, paragrafo 2, lettera f), facciano riferimento ai dati disponibili attraverso la conservazione di dati relativi al traffico e all’ubicazione disciplinati dalla direttiva e-privacy o ai dati complementari richiesti dalla direttiva sulla conservazione di dati. La seconda opzione potrebbe destare una serie di preoccupazioni dal momento che le deroghe previste dall'articolo 15, paragrafo 1, della direttiva e-privacy (vale a dire la prevenzione, la ricerca, l’accertamento e il perseguimento dei reati) verrebbero utilizzate per ampliare gli scopi per cui sono conservati i dati ai sensi della direttiva sulla conservazione di dati (ossia indagine, accertamento e perseguimento di reati «gravi»). In altri termini, i dati conservati conformemente alla direttiva sulla conservazione di dati potrebbero essere dunque utilizzati per scopi non contemplati dalla presente direttiva. In questo modo verrebbe incoraggiato a livello europeo il ricorso alla «falla giuridica», una delle principali lacune dell'attuale direttiva sulla conservazione di dati (13).

32.

Pertanto, il GEPD raccomanda vivamente di indicare le categorie delle registrazioni relative al traffico telefonico e allo scambio di dati che le autorità competenti possono richiedere. Tali dati devono essere adeguati, pertinenti e non eccedenti rispetto alla finalità per la quale vengono consultati e trattati. In aggiunta, il GEPD raccomanda di limitare l'articolo 17, paragrafo 2, lettera f), ai dati normalmente trattati («conservati») dagli operatori di telecomunicazioni nel quadro della direttiva e-privacy 2002/58/CE. Questo esclude in linea di principio l'accesso ai dati conservati ai sensi della direttiva sulla conservazione di dati, nella misura in cui tale accesso non avviene a fini di indagine, accertamento e perseguimento di reati «gravi» (14).

33.

L'articolo 17, paragrafo 2, lettera f), prevede l’accesso alle «registrazioni esistenti relative al traffico telefonico e allo scambio di dati conservate da una società di investimento». Il testo dovrebbe specificare le categorie di registrazioni e chiarire la tipologia d’imprese cui si riferisce la disposizione. Il GEPD presume che le registrazioni coincidano con quelle contemplate dalla proposta di direttiva del Parlamento europeo e del Consiglio relativa ai mercati degli strumenti finanziari («la proposta di direttiva MiFID»). Sottolinea di aver formulato alcune osservazioni su tale proposta in cui raccomandava di chiarire anche questi concetti (15). Inoltre, nella misura in cui i dati telefonici e quelli relativi al traffico riguardano le conversazioni telefoniche e le comunicazioni elettroniche di cui all'articolo 16, paragrafo 7 della proposta di direttiva MiFID, il GEPD ha raccomandato di definire lo scopo della registrazione di tali comunicazioni e specificare quali comunicazioni e quali categorie di dati delle comunicazioni saranno registrate (16).

34.

Infine, il GEPD si compiace di constatare che il testo richiede come condizione per l'accesso alle registrazioni il ragionevole sospetto di una violazione della proposta di regolamento o della proposta di direttiva e che esclude esplicitamente l'accesso da parte delle autorità competenti al contenuto delle comunicazioni.

35.

L'articolo 11, paragrafo 1, della proposta di regolamento prevede che chiunque gestisca l'attività di una sede di negoziazione adotti e mantenga dispositivi e procedure efficaci diretti a prevenire e individuare abusi di mercato. Inoltre, il paragrafo 2 prevede che chiunque predisponga o esegua a titolo professionale operazioni in strumenti finanziari dispone di sistemi per individuare o segnalare ordini e operazioni che potrebbero costituire abuso di informazioni privilegiate, manipolazione di mercato o un tentativo di effettuare manipolazioni di mercato o abusare di informazioni privilegiate. In caso di sospetto, l’autorità competente viene informata senza indugio. La Commissione adotterà le norme tecniche di regolamentazione per stabilire dispositivi e procedure appropriate di cui al primo paragrafo e stabilire sistemi e modelli di notifica di cui al secondo paragrafo (articolo 11, paragrafo 3, ultima frase).

36.

Poiché tali sistemi trattano molto probabilmente i dati personali (per esempio il monitoraggio delle operazioni effettuate da coloro che figurano nell’elenco di persone che hanno accesso ad informazioni privilegiate), il GEPD desidera sottolineare che tali norme andrebbero sviluppate in base al principio della «privacy by design», ossia integrando la protezione dei dati e della vita privata fin dall’ideazione di nuovi prodotti, servizi e nuove procedure che comportano il trattamento dei dati personali (17). Inoltre, il GEPD raccomanda di inserire un riferimento quanto alla necessità di consultare il Garante nella misura in cui tali standard normativi riguardano il trattamento di dati personali.

37.

Il GEPD prende atto del riferimento alla direttiva 95/46/CE, in particolare agli articoli 25 e 26 e alle specifiche salvaguardie di cui all'articolo 23 della proposta di regolamento riguardante la comunicazione di dati personali a paesi terzi. Nella fattispecie, la valutazione caso per caso, la garanzia della necessità del trasferimento, l'obbligo di una preventiva ed espressa autorizzazione dell'autorità competente per un ulteriore trasferimento di dati verso e da un paese terzo e l'esistenza di un adeguato livello di protezione dei dati personali nel paese terzo che riceve i dati personali rappresentano idonee salvaguardie alla luce dei rischi inerenti a tali trasferimenti.

38.

L’articolo 26, paragrafo 3, della proposta di regolamento impone agli Stati membri di garantire che le autorità competenti pubblichino immediatamente ogni misura amministrativa e sanzione irrogata per violazione della proposta di regolamento, assieme alle informazioni relative almeno al tipo e alla natura della violazione nonché all’identità dei soggetti che ne sono responsabili, a meno che tale pubblicazione metta gravemente a rischio la stabilità dei mercati finanziari.

39.

La pubblicazione delle sanzioni contribuirebbe a rafforzare l’effetto deterrente, scoraggiando i responsabili effettivi e potenziali di violazioni dal commettere reati onde evitare seri danni alla reputazione. Al contempo rafforzerebbe la trasparenza, in quanto gli operatori di mercato verrebbero a conoscenza del fatto che una determinata persona ha commesso una violazione. L’obbligo si attenua soltanto se la pubblicazione può arrecare un danno sproporzionato alle parti coinvolte, nel qual caso le autorità competenti pubblicano le sanzioni in forma anonima.

40.

Il GEPD accoglie con favore il riferimento nel considerando 35 alla Carta dei diritti fondamentali e in particolare al diritto alla protezione dei dati personali quando si adottano e pubblicano sanzioni. Tuttavia, non è convinto che l’obbligo di pubblicazione delle sanzioni, così com’è attualmente formulato, soddisfi le condizioni relative alla protezione dei dati stabilite dalla Corte di giustizia nella sentenza Schecke  (18). È del parere che la finalità, la necessità e la proporzionalità della misura non siano dimostrate in modo sufficiente e che, in ogni caso, occorra prevedere idonee salvaguardie dei diritti individuali.

41.

Nella sentenza Schecke la Corte ha dichiarato invalide le disposizioni di un regolamento del Consiglio e di un regolamento della Commissione che prevedevano la pubblicazione obbligatoria d’informazioni riguardanti i beneficiari dei fondi agricoli, tra cui l’identità dei beneficiari e gli importi percepiti. Secondo la Corte, detta pubblicazione costituisce un trattamento di dati personali ai sensi dell’articolo 8, paragrafo 2, della Carta dei diritti fondamentali dell’Unione europea («la Carta») e, pertanto, una lesione dei diritti riconosciuti dagli articoli 7 e 8 della Carta.

42.

Dopo aver dichiarato che «le deroghe e le limitazioni alla protezione dei dati personali devono operare entro i limiti dello stretto necessario», la Corte ha proseguito l’analisi della finalità della pubblicazione e della proporzionalità. Ha concluso che, nel caso di specie, nulla indicava che il Consiglio e la Commissione avessero preso in considerazione, in sede di adozione della legislazione in causa, modalità di pubblicazione delle informazioni conformi all’obiettivo di una simile pubblicazione pur essendo meno lesive dei diritti di detti beneficiari.

43.

L’articolo 26, paragrafo 3 della proposta di regolamento sembra viziato dalle stesse carenze evidenziate dalla Corte nella sentenza Schecke. Occorre tenere presente che, per valutare la conformità agli obblighi in materia di protezione dei dati di una disposizione che impone la pubblicazione d’informazioni personali, è indispensabile che sia indicata una finalità chiara e ben definita per la quale è prevista la pubblicazione. Soltanto in presenza di una finalità chiara e ben definita è possibile valutare se la pubblicazione dei dati personali di cui trattasi sia effettivamente necessaria e proporzionata (19).

44.

Dopo aver letto la proposta e i documenti annessi (cioè la relazione sulla valutazione d’impatto), il GEPD ritiene che la finalità e, di conseguenza, la necessità della misura non siano definite chiaramente. Al riguardo i considerando della proposta tacciono, e la relazione sulla valutazione d’impatto riferisce solamente gli impatti postivi generali (cioè l’effetto deterrente degli abusi di mercato, il contributo alla tutela degli investitori, la parità di trattamento degli emittenti, una maggiore applicazione della legge), e si limita ad affermare che «la pubblicazione delle sanzioni è un elemento importante per migliorare la trasparenza e mantenere la fiducia nel mercato finanziario» e che «la pubblicazione delle sanzioni comminate avrà un effetto dissuasivo e favorirà l'integrità del mercato e la tutela degli investitori» (20). Quest’affermazione generale non sembra sufficiente a dimostrare la necessità della misura proposta. Se lo scopo generale è un maggior effetto dissuasivo, la Commissione avrebbe dovuto dimostrare, in particolare, perché non sarebbero state sufficienti sanzioni pecuniarie più gravi (o altre sanzioni che non prevedono il «segnare a dito»).

45.

La relazione sulla valutazione d’impatto non sembra inoltre tenere in considerazione modalità meno intrusive, come la pubblicazione caso per caso. Soprattutto quest’ultima possibilità a prima vista sembra offrire una soluzione più proporzionata, specialmente se si considera che la pubblicazione stessa è una sanzione ai sensi dell’articolo 26, paragrafo 1, lettera d), che deve essere pertanto valutata caso per caso, tenendo conto delle relative circostanze come per esempio la gravità della violazione, il grado di responsabilità personale, la recidiva, le perdite subite dai terzi, eccetera (21).

46.

La relazione sulla valutazione d'impatto non spiega il motivo per cui la pubblicazione caso per caso non sia sufficiente. La relazione menziona soltanto che la pubblicazione delle sanzioni comminate «contribuirà al conseguimento dell'obiettivo di eliminare opzioni e facoltà, ove possibile, annullando l’attuale facoltà degli Stati membri di non esigere tale pubblicazione» (22). Tuttavia, a parere del GEPD, è proprio questo aspetto — cioè la possibilità di valutare il caso alla luce delle circostanze specifiche — a rendere questa soluzione più proporzionata e quindi preferibile all’obbligo di pubblicazione in ogni caso. Questa discrezione permetterebbe all’autorità competente, per esempio, di evitare la pubblicazione nei casi in cui la violazione sia meno grave, la violazione non provochi danni significativi, la parte si sia mostrata disposta a collaborare, ecc. Di conseguenza, la valutazione d’impatto non fuga i dubbi circa la necessità e la proporzionalità della misura.

47.

La proposta di regolamento avrebbe dovuto prevedere idonee salvaguardie per garantire il giusto equilibrio tra i diversi interessi in gioco. In primo luogo, sono necessarie salvaguardie relative al diritto dell’accusato di impugnare la decisione dinanzi a un giudice e alla presunzione di innocenza. Al riguardo, si sarebbe dovuto usare un linguaggio specifico nel testo dell’articolo 26, paragrafo 3, in modo da imporre alle autorità competenti di adottare opportuni provvedimenti nei casi in cui la decisione sia oggetto di ricorso e in cui venga infine revocata da un giudice (23).

48.

In secondo luogo, la proposta di regolamento dovrebbe garantire il rispetto dei diritti degli interessati in modo proattivo. Il GEPD riconosce che la versione finale della proposta prevede la possibilità di escludere la pubblicazione nel caso in cui provochi danni sproporzionati. Tuttavia un approccio proattivo dovrebbe prevedere che gli interessati siano preventivamente informati del fatto che la decisione di applicare sanzioni nei loro confronti sarà pubblicata e che, in forza dell’articolo 14 della direttiva 95/46/CE, è loro riconosciuto il diritto di opporsi per motivi preminenti e legittimi (24).

49.

In terzo luogo, la proposta di regolamento non specifica il mezzo attraverso il quale l’informazione sarà pubblicata, ma, nella pratica, è immaginabile che nella maggior parte degli Stati membri la pubblicazione avverrà su Internet. Le pubblicazioni su Internet presentano pericoli e criticità specifiche riguardanti, in particolare, la necessità di garantire che le informazioni siano a disposizione online solo per il periodo strettamente necessario e che i dati non possano essere manipolati o alterati. L’uso di motori di ricerca esterni comporta inoltre il rischio che le informazioni siano estrapolate dal contesto e inoltrate attraverso e al di fuori di Internet in modo difficile da controllare (25).

50.

Alla luce di quanto precede, è necessario imporre agli Stati membri di assicurare che i dati personali degli interessati siano a disposizione online solo per un periodo di tempo ragionevole, al termine del quale saranno sistematicamente cancellati (26). Gli Stati membri dovrebbero inoltre essere tenuti a garantire idonee salvaguardie e misure di sicurezza, soprattutto contro i rischi connessi all’uso dei motori di ricerca esterni (27).

51.

Il GEPD è del parere che la disposizione relativa all’obbligo di pubblicazione delle sanzioni — così com’è attualmente formulata — non sia compatibile con il diritto fondamentale al rispetto della vita privata e alla protezione dei dati. Il legislatore dovrebbe valutare con attenzione la necessità del sistema proposto e verificare se l’obbligo di pubblicazione non vada oltre lo stretto necessario per conseguire l’obiettivo di interesse pubblico perseguito e se non esistano misure meno restrittive per ottenere il medesimo obiettivo. Subordinatamente all’esito di questo test della proporzionalità, l’obbligo di pubblicazione dovrebbe in ogni caso essere sostenuto da salvaguardie idonee a garantire il rispetto della presunzione di innocenza, il diritto degli interessati di opporsi, la sicurezza/esattezza dei dati e la loro cancellazione dopo un adeguato periodo di tempo.

52.

L'articolo 29 della proposta di regolamento impone agli Stati membri di istituire meccanismi efficaci per la segnalazione di violazioni, noti anche come sistemi di denuncia. Pur potendo essere uno strumento efficace per garantire la conformità, tali sistemi sollevano questioni significative dal punto di vista della protezione dei dati (28).

53.

Il GEPD accoglie con favore il fatto che la proposta di regolamento contenga salvaguardie specifiche, da sviluppare ulteriormente a livello nazionale, riguardanti la protezione delle persone che segnalano sospette violazioni e, più in generale, la protezione dei dati personali. Il GEPD è consapevole del fatto che la proposta di regolamento si limita a stabilire gli elementi principali del regime che gli Stati membri dovranno istituire. Desidera nondimeno richiamare l’attenzione sugli aspetti seguenti.

54.

Come in altri pareri (29), il GEPD sottolinea la necessità di introdurre un riferimento specifico alla necessità di tutelare la riservatezza dei denuncianti e degli informatori. Il GEPD segnala che la posizione dei denuncianti è delicata. Occorre garantire alle persone che forniscono tali informazioni che i dati sulla loro identità non saranno rivelati a terzi, in particolare al presunto autore dell’illecito denunciato (30). La riservatezza dell’identità del denunciante deve essere garantita in tutte le fasi della procedura, purché ciò non sia in contrasto con le normative nazionali che disciplinano i procedimenti giudiziari. In particolare, potrebbe essere necessario rivelare l’identità del denunciante nel contesto di ulteriori indagini o di successivi procedimenti giudiziari (compreso il caso in cui si accerti che il denunciante ha dichiarato il falso in malafede) (31). In considerazione di quanto precede, il GEPD raccomanda di aggiungere alla lettera b) dell'articolo 29, paragrafo 1, la seguente disposizione: «l’identità di queste persone è garantita in tutte le fasi della procedura, fatte salve le disposizioni nazionali che ne impongano la comunicazione nel contesto di ulteriori indagini o di successivi procedimenti giudiziari».

55.

il GEPD è lieto di constatare che l’articolo 29, paragrafo 1, lettera c) impone agli Stati membri di garantire la protezione dei dati personali concernenti sia la persona che segnala le violazioni sia la persona fisica presunta responsabile della violazione, in conformità ai principi stabiliti nella direttiva 95/46/CE. Propone tuttavia di eliminare «i principi stabiliti nella», al fine di rendere il rimando alla direttiva più completo e vincolante. Per quanto riguarda la necessità di rispettare la normativa in materia di protezione dei dati nell’attuazione pratica dei regimi, il GEPD desidera sottolineare, in particolare, le raccomandazioni formulate dal gruppo di lavoro «articolo 29» nel parere del 2006 relativo alla denuncia di irregolarità. Tra l’altro, nell’attuare i sistemi nazionali, gli enti interessati devono tenere presente la necessità di rispettare la proporzionalità limitando il più possibile le categorie di soggetti autorizzati a presentare denunce, le categorie di soggetti denunciabili e le violazioni per le quali possono essere denunciati; la necessità di promuovere denunce nominative e riservate rispetto alle denunce anonime; la necessità di prevedere la possibilità di rivelare l’identità del denunciante nel caso in cui abbia dichiarato il falso in malafede; e la necessità di rispettare termini rigorosi di conservazione dei dati.

56.

Il GEPD accoglie con favore l'attenzione particolare rivolta alla protezione dei dati nella proposta di regolamento.

57.

Il GEPD formula le seguenti raccomandazioni: