6.4.2013   

IT

Gazzetta ufficiale dell'Unione europea

C 100/12

Sintesi del parere del Garante europeo della protezione dei dati sulla proposta di direttiva sulla intermediazione assicurativa, sulla proposta di direttiva recante modifica della direttiva 2009/65/CE concernente il coordinamento delle disposizioni legislative e regolamentari nonché delle sanzioni amministrative in materia di taluni organismi di investimento collettivo in valori mobiliari e sulla proposta di regolamento relativo ai documenti contenenti le informazioni chiave per i prodotti d’investimento

(Il testo completo del presente parere è reperibile in EN, FR e DE sul sito web del GEPD http://www.edps.europa.eu)

2013/C 100/05

1.   Introduzione

1.1.   Consultazione del GEPD

1.

Il 3 luglio 2012 la Commissione ha adottato una proposta di direttiva sulla intermediazione assicurativa (di seguito «la direttiva IM»), una proposta di direttiva recante modifica della direttiva 2009/65/CE concernente il coordinamento delle disposizioni legislative e regolamentari nonché delle sanzioni amministrative in materia di taluni organismi di investimento collettivo in valori mobiliari (di seguito «la direttiva OICVM») e una proposta di regolamento relativo ai documenti contenenti le informazioni chiave per i prodotti d’investimento (di seguito «il regolamento KID» — key information document). Le proposte sono state trasmesse al GEPD per consultazione il 5 luglio 2012.

2.

Il GEPD si compiace di essere stato consultato dalla Commissione e raccomanda di inserire un riferimento al presente parere nei preamboli degli strumenti giuridici proposti.

3.

Disposizioni analoghe a quelle cui si fa riferimento nel presente parere sono presenti in numerose proposte attuali e future, come quelle discusse nei pareri del GEPD sul pacchetto legislativo relativo alla revisione della legislazione bancaria, alle agenzie di rating del credito, ai mercati degli strumenti finanziari (MIFID/MIFIR) e agli abusi di mercato (1). Pertanto, il presente parere deve essere letto in stretto collegamento con i pareri del GEPD del 10 febbraio 2012 sulle iniziative summenzionate.

4.

Le due proposte di direttiva e la proposta di regolamento incideranno in modi diversi sui diritti dei singoli in materia di trattamento dei dati personali, poiché riguardano i poteri di indagine delle autorità competenti, compreso l’accesso ai tabulati e ai dati di traffico telefonico esistenti, le banche dati, la pubblicazione di sanzioni amministrative compresa l’identità dei responsabili e la segnalazione di violazioni (le cosiddette procedure di denuncia).

5.

Poiché le questioni trattate nel presente parere sono state discusse in precedenti pareri del GEPD nel settore finanziario, il GEPD intende pubblicare orientamenti su queste e altre questioni, al fine di fornire indicazioni su come affrontare le problematiche relative alla protezione dei dati nelle future proposte della Commissione in questo ambito.

1.2.   Obiettivi e ambito di applicazione delle proposte

6.

La Commissione afferma che mercati al dettaglio forti e ben regolamentati che pongano al centro gli interessi dei consumatori sono necessari per la fiducia dei consumatori e per la crescita economica nel medio e lungo termine. In particolare, secondo la Commissione, le suddette proposte legislative introducono nuovi standard favorevoli ai consumatori per le informazioni sugli investimenti, alzano il livello dei requisiti per la consulenza e rendono più rigorose alcune norme in materia di fondi di investimento al fine di garantirne la sicurezza.

3.   Conclusioni

34.

Il GEPD raccomanda quanto segue:

inserire un riferimento al presente parere nel preambolo di tutte le proposte,

inserire in tutte le proposte disposizioni che sottolineino la piena applicabilità della vigente normativa in materia di protezione dei dati. Il GEPD suggerisce anche di chiarire il riferimento alla direttiva 95/46/CE specificando che le disposizioni si applicano nel rispetto delle norme nazionali di attuazione della direttiva 95/46/CE,

nel caso della proposta di direttiva IM, limitare l’accesso delle autorità competenti a documenti e informazioni a casi di violazioni gravi e specificate delle direttive proposte e a casi in cui sussista un ragionevole sospetto (che dovrebbe essere avvalorato da prove iniziali concrete) che sia stata commessa una violazione,

nel caso della proposta di direttiva IM, introdurre l’obbligo per le autorità competenti di richiedere i documenti e le informazioni mediante decisione formale di un’autorità giudiziaria, specificando la base giuridica, lo scopo della richiesta e le informazioni necessarie, il termine entro il quale le informazioni devono essere fornite nonché il diritto del destinatario di impugnare la decisione dinanzi a un giudice,

nel caso della proposta di direttiva OICVM, introdurre l’obbligo per le autorità competenti di richiedere i tabulati e i dati relativi al traffico telefonico mediante decisione formale dell’autorità competente, specificando la base giuridica, lo scopo della richiesta e le informazioni necessarie, il termine entro il quale le informazioni devono essere fornite nonché il diritto del destinatario di impugnare la decisione dinanzi a un giudice,

nel caso della proposta di direttiva IM, chiarire le modalità di attuazione della banca dati dell’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) introducendo disposizioni più dettagliate nelle proposte di regolamento. Tali disposizioni devono essere conformi alle prescrizioni del regolamento (CE) n. 45/2001. In particolare, la disposizione che istituisce la banca dati deve i) indicare lo scopo delle operazioni di trattamento e stabilire gli utilizzi compatibili; ii) precisare quali entità (EIOPA, autorità competenti, Commissione) avranno accesso a quali dati memorizzati nella banca dati e avranno la possibilità di modificare tali dati; iii) garantire il diritto di accesso e informazione adeguata per tutti i soggetti i cui dati personali possono essere conservati e scambiati; iv) definire e limitare il periodo di conservazione dei dati personali al minimo necessario per il raggiungimento di tale scopo,

valutare la necessità del sistema proposto per la pubblicazione obbligatoria delle sanzioni in tutte le proposte e verificare se l’obbligo di pubblicazione non vada oltre quanto necessario per conseguire l’obiettivo di interesse generale perseguito nonché se non esistano misure meno restrittive per raggiungere lo stesso obiettivo. Fatto salvo l’esito di tale test di proporzionalità, l’obbligo di pubblicazione dovrebbe in ogni caso essere accompagnato da garanzie adeguate per garantire il rispetto della presunzione di innocenza, il diritto degli interessati di opporsi, la sicurezza/accuratezza dei dati e la loro cancellazione dopo un adeguato periodo di tempo,

per quanto riguarda la segnalazione di violazioni in tutte le proposte, i) inserire nelle direttive proposte disposizioni che specifichino quanto segue: «l’identità di queste persone deve essere garantita in tutte le fasi della procedura, a meno che la sua divulgazione non sia imposta dalla normativa nazionale nel contesto di ulteriori indagini o di procedimenti giudiziari successivi»; ii) aggiungere un paragrafo che imponga agli Stati membri di attuare «procedure atte a garantire il diritto dell’accusato di difendersi e di essere sentito prima dell’adozione di una decisione che lo riguardi e il diritto a un effettivo ricorso giurisdizionale contro qualsiasi decisione o provvedimento adottato nei suoi confronti», iii) eliminare dalle disposizioni «i principi stabiliti».

Fatto a Bruxelles, il 23 novembre 2012

Giovanni BUTTARELLI

Garante europeo aggiunto della protezione dei dati

(1)  Pareri del GEPD del 10 febbraio 2012, disponibili all’indirizzo http://www.edps.europa.eu/EDPSWEB/edps/Consultation/Opinions