ISSN 1977-0944
doi:10.3000/19770944.C_2012.147.ita
Gazzetta ufficiale
dell'Unione europea
C 147
Edizione in lingua italiana
Comunicazioni e informazioni
55o anno
25 maggio 2012
|
ISSN 1977-0944 doi:10.3000/19770944.C_2012.147.ita |
||
|
Gazzetta ufficiale dell'Unione europea |
C 147 |
|
|
|
||
|
Edizione in lingua italiana |
Comunicazioni e informazioni |
55o anno |
|
Numero d'informazione |
Sommario |
pagina |
|
|
I Risoluzioni, raccomandazioni e pareri |
|
|
|
PARERI |
|
|
|
Garante europeo della protezione dei dati |
|
|
2012/C 147/01 |
||
|
|
II Comunicazioni |
|
|
|
COMUNICAZIONI PROVENIENTI DALLE ISTITUZIONI, DAGLI ORGANI E DAGLI ORGANISMI DELL'UNIONE EUROPEA |
|
|
|
Commissione europea |
|
|
2012/C 147/02 |
Autorizzazione degli aiuti di Stato sulla base degli articoli 107 e 108 TFUE — Casi contro i quali la Commissione non solleva obiezioni ( 1 ) |
|
|
|
IV Informazioni |
|
|
|
INFORMAZIONI PROVENIENTI DALLE ISTITUZIONI, DAGLI ORGANI E DAGLI ORGANISMI DELL'UNIONE EUROPEA |
|
|
|
Commissione europea |
|
|
2012/C 147/03 |
||
|
|
V Avvisi |
|
|
|
PROCEDIMENTI AMMINISTRATIVI |
|
|
|
Commissione europea |
|
|
2012/C 147/04 |
||
|
|
|
|
|
(1) Testo rilevante ai fini del SEE |
|
IT |
|
I Risoluzioni, raccomandazioni e pareri
PARERI
Garante europeo della protezione dei dati
|
25.5.2012 |
IT |
Gazzetta ufficiale dell'Unione europea |
C 147/1 |
Parere del Garante europeo della protezione dei dati sulle proposte della Commissione concernenti la direttiva del Parlamento europeo e del Consiglio relativa ai mercati degli strumenti finanziari che abroga la direttiva 2004/39/CE del Parlamento europeo e del Consiglio e il regolamento del Parlamento europeo e del Consiglio sui mercati degli strumenti finanziari e che modifica il regolamento sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni
2012/C 147/01
IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,
visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16,
vista la Carta dei diritti fondamentali dell’Unione europea, in particolare gli articoli 7 e 8,
vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (1),
visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (2), in particolare l’articolo 28, paragrafo 2,
HA ADOTTATO IL SEGUENTE PARERE:
1. INTRODUZIONE
1.1. Consultazione del GEPD
|
1. |
Il presente parere è parte di un pacchetto di quattro pareri del GEPD riguardanti il settore finanziario, tutti adottati il medesimo giorno (3). |
|
2. |
Il 20 ottobre 2011 la Commissione ha adottato una proposta di direttiva del Parlamento europeo e del Consiglio relativa ai mercati degli strumenti finanziari che abroga la direttiva 2004/39/CE del Parlamento europeo e del Consiglio (4) («la proposta di direttiva») e una proposta di regolamento del Parlamento europeo e del Consiglio sui mercati degli strumenti finanziari e che modifica il regolamento (EMIR) sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni («la proposta di regolamento») (di seguito denominate congiuntamente «le proposte»). |
|
3. |
Prima dell’adozione il GEPD era stato consultato in modo informale e constata che le proposte tengono conto di diverse sue osservazioni. |
1.2. Obiettivo e ambito di applicazione delle proposte
|
4. |
La direttiva relativa ai mercati degli strumenti finanziari («MiFID»), in vigore da novembre 2007, rappresenta uno dei pilastri fondamentali dell’integrazione dei mercati finanziari dell’UE. Attualmente si compone di una direttiva quadro (direttiva 2004/39/CE), una direttiva di esecuzione (direttiva 2006/73/CE) e un regolamento di esecuzione [regolamento (CE) n. 1287/2006]. |
|
5. |
La direttiva MiFID istituisce un quadro normativo volto a disciplinare la fornitura di servizi di investimento in strumenti finanziari (quali intermediazione, consulenza, negoziazione, gestione del portafoglio, sottoscrizione, ecc.) da parte di istituti di credito e imprese di investimento e la gestione dei mercati regolamentati da parte dei gestori del mercato. Definisce inoltre i poteri e i compiti delle autorità nazionali competenti in relazione a tali attività. In termini concreti, abolisce la facoltà degli Stati membri di imporre che tutte le negoziazioni di strumenti finanziari avvengano presso borse specifiche e permette la concorrenza a livello europeo tra sedi di negoziazione tradizionali e alternative. |
|
6. |
A più di tre anni e mezzo dall’entrata in vigore della direttiva, è emersa una maggiore concorrenza tra le sedi di negoziazione di strumenti finanziari e si è ampliata la scelta per gli investitori in termini di fornitori di servizi e strumenti finanziari disponibili. Tuttavia sono anche emersi alcuni problemi. Per esempio, i benefici derivanti da una maggiore concorrenza non si sono distribuiti uniformemente fra tutti i partecipanti al mercato e non sempre sono stati trasferiti agli investitori finali, sia al dettaglio sia all’ingrosso, gli sviluppi di mercato e tecnologici hanno reso obsolete diverse disposizioni contenute nella direttiva MiFID e la crisi finanziaria ha evidenziato le carenze nella regolamentazione di alcuni strumenti. |
|
7. |
Scopo del riesame della direttiva MiFID è aggiornare le norme vigenti adeguandole agli sviluppi del mercato, ivi compresi la crisi finanziaria e gli sviluppi tecnologici, nonché migliorarne l’efficacia. |
1.3. Scopo del parere del GEPD
|
8. |
Vari aspetti delle proposte incidono sui diritti delle persone in relazione al trattamento dei dati personali, cioè: 1) l’obbligo di mantenere registri e l’obbligo di segnalare le operazioni; 2) i poteri delle autorità competenti (tra cui il potere di eseguire ispezioni e il potere di richiedere le registrazioni riguardanti le comunicazioni telefoniche e gli scambi di dati); 3) la pubblicazione delle sanzioni; 4) la segnalazione di violazioni, in particolare le disposizioni relative alle denunce; 5) la collaborazione tra le autorità competenti degli Stati membri e con l’AESFEM. |
2. ANALISI DELLE PROPOSTE
2.1. Applicabilità della normativa in materia di protezione dei dati
|
9. |
Alcuni considerando (5) delle proposte rimandano alla Carta dei diritti fondamentali, alla direttiva 95/46/CE e al regolamento (CE) n. 45/2001. Tuttavia si dovrebbe inserire un riferimento alla normativa applicabile in materia di protezione dei dati in un articolo sostanziale delle proposte. |
|
10. |
Un buon esempio di tale disposizione sostanziale è fornito dall’articolo 22 della proposta di regolamento del Parlamento europeo e del Consiglio relativo all’abuso di informazioni privilegiate e alla manipolazione del mercato (6), il quale prevede espressamente l’applicazione generale delle disposizioni della direttiva 95/46/CE e del regolamento (CE) n. 45/2001 al trattamento di dati personali nel quadro della proposta. Il GEPD ha appena adottato un parere su tale proposta, nel quale accoglie con grande favore questo tipo di disposizione generale. Il GEPD propone tuttavia di chiarire il riferimento alla direttiva 95/46/CE, precisando che le disposizioni si applicano conformemente alle normative nazionali di attuazione della direttiva stessa. |
|
11. |
Il GEPD propone quindi di inserire una disposizione sostanziale analoga a quella di cui all’articolo 22 della proposta di regolamento del Parlamento europeo e del Consiglio relativo all’abuso di informazioni privilegiate e alla manipolazione del mercato (7), ferme restando le raccomandazioni formulate su detta proposta (8), cioè dare risalto all’applicabilità della legislazione vigente in materia di protezione dei dati e chiarire il riferimento alla direttiva 95/46/CE, precisando che le disposizioni si applicano in conformità delle normative nazionali di attuazione della direttiva stessa. |
|
12. |
Nei considerando si dovrebbero inoltre usare sistematicamente formulazioni assertive, cioè gli Stati membri «devono», non «dovrebbero», rispettare la legislazione pertinente in materia di protezione dei dati, dal momento che tale normativa è in vigore e la sua applicabilità non è discrezionale. |
2.2. Obbligo di mantenere registri e obbligo di segnalare le operazioni
2.2.1. Obblighi nell’ambito della proposta di regolamento
|
13. |
Il considerando 27 e gli articoli da 21 a 23 della proposta di regolamento introducono il principio secondo cui le autorità competenti coordinate dall’AESFEM sorvegliano le attività delle imprese di investimento al fine di assicurarsi che esse operino in modo onesto, equo e professionale e in maniera da rafforzare l’integrità del mercato. A tal fine, le autorità dovrebbero essere in grado di identificare il soggetto che ha preso la decisione di investimento e quelli responsabili della sua esecuzione (considerando 28). |
|
14. |
Ai fini di tale attività di vigilanza, l’articolo 22 impone alle imprese di investimento l’obbligo di tenere a disposizione dell’autorità competente, per almeno cinque anni, i dati riguardanti tutte le operazioni su strumenti finanziari che hanno concluso. Questi dati contengono tutte le informazioni e i dettagli relativi all’identità del cliente. Le informazioni sulle operazioni su strumenti finanziari devono essere segnalate alle autorità competenti per consentire loro di rilevare e accertare potenziali abusi di mercato, nonché monitorare il regolare e corretto funzionamento dei mercati e le attività delle imprese di investimento. Anche l’AESFEM può chiedere di accedere a tali informazioni. |
|
15. |
Le imprese di investimento devono comunicare i dettagli di tali operazioni, compresa l’identità dei clienti, all’autorità competente il più rapidamente possibile (articolo 23). Se i clienti in questione sono persone fisiche, dette operazioni comportano il trattamento di dati personali ai sensi della direttiva 95/46/CE e del regolamento (CE) n. 45/2001 e forse la creazione di banche dati generali. |
|
16. |
La valutazione d’impatto non sembra esaminare il periodo di conservazione di cinque anni per le segnalazioni delle operazioni. Come prescritto dall’articolo 6, paragrafo 1, lettera e), della direttiva 95/46/CE, i dati personali devono essere conservati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati. Per ottemperare a questa disposizione, il GEPD propone di sostituire il periodo minimo di conservazione di cinque anni con un periodo massimo di conservazione. Tale periodo dovrà essere quello necessario e proporzionato al conseguimento delle finalità per le quali i dati sono raccolti. |
2.2.2. Obblighi nell’ambito della proposta di direttiva
|
17. |
L’articolo 16 della direttiva elenca i requisiti di organizzazione che le imprese di investimento devono rispettare. In particolare, le imprese devono tenere, per tutti i servizi prestati e tutte le operazioni effettuate, registrazioni che consentano alle autorità competenti di controllare il rispetto dei requisiti previsti dalla direttiva. Tali registrazioni permettono di verificare che le imprese di investimento abbiano adempiuto gli obblighi nei confronti dei clienti o potenziali clienti. Pur non essendo specificato nel testo, si presume che tali informazioni contengano dati personali dei clienti e dei dipendenti. |
|
18. |
L’articolo 16, paragrafo 12, conferisce alla Commissione il potere di adottare atti delegati che specifichino i requisiti di organizzazione concreti elencati nell’articolo stesso. In proposito, il GEPD invita la Commissione a consultarlo al momento dell’adozione degli atti delegati. In ogni caso, tali misure devono mirare a ridurre al minimo l’archiviazione e il trattamento dei dati personali che le imprese di investimento sono tenute a registrare. Come già osservato riguardo al regolamento, la Commissione dovrebbe inoltre valutare con cura il periodo di conservazione da prevedere per tali dati, in modo da garantire che sia adeguato e proporzionato. |
2.3. Obbligo di registrazione delle conversazioni telefoniche o delle comunicazioni elettroniche
|
19. |
La proposta di direttiva prevede la registrazione delle conversazioni telefoniche o delle comunicazioni elettroniche. |
|
20. |
Le registrazioni delle conversazioni telefoniche o delle comunicazioni elettroniche di norma contengono i dati personali delle parti, anche se riguardano operazioni finanziarie o attività professionali. I dati relativi alle comunicazioni elettroniche possono comprendere un’ampia gamma di informazioni personali, tra cui i dati relativi al traffico ma anche il contenuto. Inoltre, l’uso del termine «conversazione» implica che il contenuto della comunicazione sarà registrato. |
|
21. |
Allorché si trattano dati personali ai sensi della direttiva 95/46/CE e del regolamento (CE) n. 45/2001, si applicano le norme principali in materia di protezione dei dati, in particolare i principi di limitazione delle finalità, di necessità e di proporzionalità e l’obbligo di non conservare i dati per un periodo superiore a quello necessario. |
|
22. |
Ai sensi dell’articolo 6, paragrafo 1, lettera b), della direttiva 95/46/CE, i dati personali devono essere rilevati per finalità determinate, esplicite e legittime e successivamente trattati in modo non incompatibile con tali finalità. |
|
23. |
L’articolo 16, paragrafo 7, della proposta di direttiva non indica specificamente la finalità della registrazione delle conversazioni telefoniche e delle comunicazioni elettroniche. Alcune finalità sono però indicate nel considerando 42 e nell’articolo 16, paragrafo 6, della proposta di direttiva, nonché nella consulenza tecnica del CESR e nella valutazione d’impatto. |
|
24. |
L’articolo 16, paragrafo 6, della proposta di direttiva stabilisce che, per tutti i servizi prestati e tutte le operazioni effettuate, le imprese di investimento tengono registrazioni «atte a consentire all’autorità competente di controllare il rispetto dei requisiti previsti dalla presente direttiva e, in particolare, di verificare che le imprese di investimento hanno adempiuto tutti gli obblighi nei confronti dei clienti o potenziali clienti». |
|
25. |
Il considerando 42 della proposta di direttiva spiega che «La registrazione delle conversazioni telefoniche o delle comunicazioni elettroniche concernenti gli ordini dei clienti […] è giustificata al fine di rafforzare la protezione degli investitori, migliorare la sorveglianza del mercato e aumentare la certezza del diritto nell’interesse delle imprese di investimento e dei loro clienti». Il considerando rimanda altresì alla consulenza tecnica alla Commissione europea formulata dal comitato delle autorità europee di regolamentazione dei valori mobiliari (CESR) il 29 luglio 2010, nella quale è menzionata l’importanza di tali registrazioni (9). |
|
26. |
La consulenza del CESR rileva che, secondo le autorità competenti, la registrazione delle conversazioni sarebbe necessaria i) per assicurare che siano disponibili elementi per risolvere le controversie tra un’impresa di investimento e i suoi clienti sulle condizioni delle operazioni; ii) per coadiuvare l’attività di vigilanza in relazione alle norme di comportamento; iii) per contribuire a scoraggiare e a individuare gli abusi di mercato e facilitare l’applicazione delle norme in questo settore. La registrazione non sarebbe l’unico strumento atto a garantire la vigilanza da parte delle autorità, ma “può contribuire” ad assistere l’autorità competente nel verificare il rispetto, per esempio, delle disposizioni della direttiva MiFID in materia di informazione dei clienti e potenziali clienti, di esecuzione alle condizioni migliori e di gestione degli ordini dei clienti. |
|
27. |
La valutazione d’impatto spiega che «le autorità competenti hanno bisogno di queste informazioni (cioè le registrazioni telefoniche ed elettroniche) al fine di garantire l’integrità del mercato e il controllo dell’ottemperanza alle norme di comportamento» (10). |
|
28. |
Le diverse finalità indicate nel considerando 42 e nell’articolo 16, paragrafo 6, della proposta di direttiva, nella consulenza tecnica del CESR e nella valutazione d’impatto non sono descritte in modo logico e coerente, ma si trovano in vari punti della proposta e dei documenti collaterali. Secondo l’articolo 6, paragrafo 1, della direttiva 95/46/CE, i dati devono essere rilevati per finalità determinate, esplicite e legittime. Il GEPD esorta pertanto il legislatore a definire in modo chiaro e preciso la finalità della registrazione delle conversazioni telefoniche e delle comunicazioni elettroniche nell’articolo 16, paragrafo 7, della proposta di direttiva. |
|
29. |
Secondo l’articolo 6, paragrafo 1, lettera c), della direttiva 95/46/CE, i dati personali devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati, cioè i dati raccolti devono limitarsi a quelli necessari per conseguire l’obiettivo perseguito e non andare oltre quanto è necessario per raggiungerlo. |
|
30. |
L’articolo 16, paragrafo 7, menziona le conversazioni telefoniche o le comunicazioni elettroniche che riguardino almeno le operazioni concluse in caso di negoziazione per conto proprio e gli ordini dei clienti quando sono prestati i servizi di ricezione e trasmissione di ordini e di esecuzione di ordini per conto dei clienti. |
|
31. |
In primo luogo, eccetto per le operazioni esplicitamente menzionate, l’articolo 16, paragrafo 7, non specifica a quali conversazioni telefoniche e comunicazioni elettroniche si riferiscano le registrazioni. Il GEPD ritiene che riguardino le comunicazioni relative ai servizi prestati e alle operazioni effettuate da un’impresa di investimento. Tuttavia ciò dovrebbe essere chiaramente indicato. L’uso dell’espressione «che riguardino almeno» consente inoltre la registrazione di vari tipi di conversazioni telefoniche o comunicazioni elettroniche. La disposizione dovrebbe invece definire in modo preciso le comunicazioni che saranno registrate e limitarle a quelle necessarie ai fini della registrazione. |
|
32. |
In secondo luogo, la disposizione non precisa le categorie di dati che saranno conservate. Come già rilevato, i dati riguardanti le comunicazioni elettroniche possono comprendere un’ampia gamma di informazioni personali, quali l’identità delle persone che fanno e ricevono la comunicazione, le indicazioni relative a data, ora e durata, la rete utilizzata, la posizione geografica dell’utente in caso di dispositivi mobili, eccetera. Ciò comprende anche il possibile accesso al contenuto delle comunicazioni. Il riferimento alle “conversazioni” implica inoltre che il contenuto delle comunicazioni sarà registrato. Conformemente al principio di proporzionalità, i dati personali contenuti nelle registrazioni delle conversazioni telefoniche e delle comunicazioni elettroniche devono limitarsi a quanto è necessario per le finalità per le quali vengono rilevati. |
|
33. |
Se, per esempio, la finalità della registrazione delle comunicazioni è conservare prova delle operazioni, non sembrano esistere alternative se non registrare il contenuto delle comunicazioni per poter poi recuperare la prova di un’operazione. La registrazione del contenuto delle comunicazioni a fini di assistenza e di individuazione degli abusi di mercato o per la vigilanza generale sulla conformità alle disposizioni della proposta di direttiva sarebbe invece eccessiva e sproporzionata. Al riguardo, l’articolo 71, paragrafo 2, lettera d), della proposta di direttiva, che conferisce all’autorità competente il potere di richiedere le registrazioni detenute dalle imprese di investimento riguardanti le comunicazioni telefoniche e gli scambi di dati se esiste il ragionevole sospetto di una violazione della direttiva, esclude esplicitamente il contenuto della comunicazione. Analogamente, l’articolo 17, paragrafo 2, lettera f), della proposta di regolamento del Parlamento europeo e del Consiglio relativo all’abuso di informazioni privilegiate e alla manipolazione del mercato (11), che conferisce alle autorità competenti i medesimi poteri di indagine al fine di dimostrare l’abuso di informazioni privilegiate o la manipolazione del mercato, esclude esplicitamente il contenuto della comunicazione. |
|
34. |
Il GEPD pertanto raccomanda caldamente di precisare, all’articolo 16, paragrafo 7, della proposta di direttiva, il tipo di conversazioni telefoniche e di comunicazioni elettroniche e le categorie di dati relativi a tali conversazioni e comunicazioni che saranno registrati. Tali dati devono essere adeguati, pertinenti e non eccedenti rispetto alla finalità per la quale sono raccolti. |
|
35. |
Secondo l’articolo 6, paragrafo 1, lettera e), della direttiva 95/46/CE, i dati personali sono conservati in modo da consentire l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati (12). L’articolo 16, paragrafo 7, prevede un periodo di conservazione di tre anni. La valutazione d’impatto riconosce che eventuali misure in questo ambito devono rispettare le norme di protezione dei dati dell’UE stabilite dalla direttiva 95/46/CE. Viene tuttavia rilevato che il periodo di conservazione da fissare deve tenere conto della legislazione vigente nell’UE in materia di conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico ai fini della lotta contro i reati gravi. Si afferma che tale periodo massimo di tre anni è stato considerato conforme ai principi di necessità e proporzionalità richiesti per garantire una legittima ingerenza in un diritto fondamentale (13). |
|
36. |
A parere del GEPD, l’analisi della necessità e della proporzionalità della durata della misura non è adeguata. Nessuna delle diverse (e poco chiare) finalità della registrazione delle conversazioni telefoniche e delle comunicazioni elettroniche di cui all’articolo 16, paragrafo 6, al considerando 42, alla valutazione d’impatto e alla consulenza tecnica del CESR menzionano la lotta contro i reati gravi. |
|
37. |
La valutazione deve essere effettuata in funzione delle finalità della registrazione nel quadro della proposta di direttiva. Se, per esempio, la finalità è «assicurare che siano disponibili elementi per risolvere le controversie tra un’impresa di investimento e i suoi clienti sulle condizioni delle operazioni» (14), la valutazione d’impatto deve stabilire la durata del periodo di conservazione dei dati in relazione allo stato di limitazione dei diritti in base al quale si possono avviare tali controversie. |
|
38. |
Il GEPD invita pertanto il legislatore a valutare attentamente il periodo di conservazione necessario a conseguire la finalità della registrazione delle conversazioni telefoniche e delle comunicazioni elettroniche nell’ambito di applicazione specifico della proposta. |
2.4. Poteri delle autorità competenti
|
39. |
L’articolo 71 della direttiva elenca i poteri di vigilanza e di indagine conferiti alle autorità competenti. |
|
40. |
L’articolo 71, paragrafo 4, rimanda alla direttiva 95/46/CE e stabilisce che il trattamento dei dati personali raccolti nell’esercizio dei poteri di vigilanza e di indagine è effettuato in ogni caso nel rispetto dei diritti fondamentali alla protezione della vita privata e dei dati personali. Il GEPD accoglie con favore questa disposizione, che affronta specificamente il nesso tra il ruolo delle autorità nel condurre indagini e il trattamento dei dati personali nell’ambito delle loro attività. |
2.4.1. Il potere di eseguire ispezioni in loco
|
41. |
L’articolo 71, paragrafo 2, lettera c), stabilisce che le autorità competenti possono eseguire ispezioni in loco. A differenza della proposta di regolamento del Parlamento europeo e del Consiglio relativo all’abuso di informazioni privilegiate e alla manipolazione del mercato (15), questa disposizione non fa riferimento al potere delle autorità competenti di «entrare in locali privati allo scopo di sequestrare documenti». Ciò può indurre a ritenere che il potere di eseguire ispezioni si limiti ai locali delle imprese di investimento e non comprenda i locali privati. A fini di chiarezza, si propone quindi di esplicitare questa limitazione nel testo. Qualora la Commissione intendesse invece consentire le ispezioni nei locali privati, il GEPD rimanda all’osservazione formulata nel suo parere sulla proposta summenzionata (16), secondo cui ritiene che l’obbligo generale di ottenere la preventiva autorizzazione di un’autorità giudiziaria, a prescindere da se sia prescritta o no dalla legislazione nazionale, sia giustificato alla luce della potenziale natura intrusiva del potere in questione. |
2.4.2. Il potere di richiedere le registrazioni riguardanti le comunicazioni telefoniche e gli scambi di dati
|
42. |
L’articolo 71, paragrafo 2, lettera d), della proposta di direttiva conferisce alle autorità competenti il potere di «richiedere le registrazioni esistenti, detenute dalle imprese di investimento, riguardanti le comunicazioni telefoniche e gli scambi di dati». Precisa che la richiesta è subordinata all’esistenza di un «ragionevole sospetto» che tali registrazioni «possano essere rilevanti per dimostrare una violazione degli obblighi previsti dalla presente direttiva da parte dell’impresa di investimento». In ogni caso le registrazioni non devono riguardare «il contenuto della comunicazione cui si riferiscono». Il GEPD valuta positivamente il fatto che il testo limiti i poteri delle autorità competenti stabilendo quale condizione per poter accedere alle registrazioni il ragionevole sospetto di una violazione ed escludendo l’accesso al contenuto delle comunicazioni da parte delle autorità competenti. |
|
43. |
Tuttavia la proposta di direttiva non contiene una definizione del concetto di «registrazioni riguardanti le comunicazioni telefoniche e gli scambi di dati». La direttiva 2002/58/CE («direttiva e-Privacy») menziona il «traffico relativo ai dati», ma non le «registrazioni riguardanti le comunicazioni telefoniche e gli scambi di dati». Va da sé che il significato preciso di tali concetti determina l’impatto che i poteri di indagine possono avere sulla protezione della vita privata e dei dati personali degli interessati. Il GEPD propone di adoperare la terminologia già utilizzata nella definizione di «dati relativi al traffico» di cui alla direttiva 2002/58/CE. |
|
44. |
I dati riguardanti l’uso di strumenti di comunicazione elettronici possono comprendere un’ampia gamma di informazioni personali, quali l’identità delle persone che fanno e ricevono la telefonata, la data, l’ora e la durata della stessa, la rete utilizzata, la posizione geografica dell’utente in caso di dispositivi mobili, eccetera. Alcuni dati concernenti l’uso di Internet e della posta elettronica (per esempio, l’elenco dei siti Internet visitati) possono inoltre rivelare particolari importanti del contenuto della comunicazione. Inoltre, il trattamento dei dati sul traffico entra in conflitto con la segretezza della corrispondenza. Per questo motivo, la direttiva 2002/58/CE ha sancito il principio secondo cui i dati sul traffico devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione (17). Secondo l’articolo 15, paragrafo 1, di detta direttiva, gli Stati membri possono prevedere nella legislazione nazionale deroghe per finalità specifiche e legittime, purché siano necessarie, opportune e proporzionate all’interno di una società democratica per conseguire tali finalità (18). |
|
45. |
Il GEPD riconosce che gli obiettivi perseguiti dalla Commissione nel regolamento sulle agenzie di rating sono legittimi e comprende la necessità di iniziative volte a rafforzare la vigilanza dei mercati finanziari allo scopo di preservarne la solidità e proteggere meglio gli investitori e l’economia in generale. Tuttavia il potere di condurre indagini direttamente collegate agli scambi di dati, considerata la sua potenziale natura intrusiva, deve soddisfare i criteri di necessità e proporzionalità, cioè deve essere limitato a quanto è opportuno per realizzare l’obiettivo perseguito e non deve andare oltre quanto è necessario per raggiungerlo (19). In questa prospettiva è pertanto essenziale che le disposizioni siano formulate in modo preciso per quanto riguarda il relativo ambito di applicazione personale e materiale, nonché le circostanze e le condizioni in cui tale potere può essere esercitato. Si devono inoltre prevedere idonee salvaguardie contro il rischio di abusi. |
|
46. |
Le registrazioni in questione riguardanti le comunicazioni telefoniche e gli scambi di dati ovviamente comprendono dati personali ai sensi della direttiva 95/46/CE, della direttiva 2002/58/CE e del regolamento (CE) n. 45/2001. Occorre dunque garantire il pieno rispetto delle condizioni di un trattamento equo e legittimo dei dati personali, come previsto dalle direttive e dal regolamento. |
|
47. |
Il GEPD prende atto del fatto che l’articolo 71, paragrafo 3, prevede l’obbligo di ottenere l’autorizzazione di un’autorità giudiziaria se tale autorizzazione è richiesta ai sensi della legislazione nazionale. Tuttavia il GEPD ritiene che un obbligo generale di ottenere la preventiva autorizzazione di un’autorità giudiziaria in ogni caso, a prescindere da se tale autorizzazione sia prescritta dalla legislazione nazionale, sia giustificato alla luce della potenziale natura intrusiva dei poteri in parola e nell’interesse di un’applicazione armonizzata della normativa in tutti gli Stati membri dell’UE. Va altresì considerato che la legislazione di alcuni Stati membri prevede garanzie specifiche sull’inviolabilità del domicilio per quanto riguarda i controlli, le perquisizioni e i sequestri sproporzionati e non regolamentati in modo scrupoloso, specialmente se effettuati da istituzioni amministrative. |
|
48. |
Il GEPD raccomanda inoltre di introdurre l’obbligo per l’AESFEM di richiedere le registrazioni riguardanti le comunicazioni telefoniche e gli scambi di dati tramite una decisione formale, che specifichi la base giuridica e la finalità della richiesta, nonché le informazioni richieste, il termine entro il quale devono essere fornite e il diritto del destinatario di ottenere la revisione della decisione da parte della Corte di giustizia. |
|
49. |
L’espressione «registrazioni esistenti riguardanti le comunicazioni telefoniche e gli scambi di dati» non sembra sufficientemente chiara. Non esiste una definizione di «registrazioni riguardanti le comunicazioni telefoniche e gli scambi di dati», sebbene l’articolo 71, paragrafo 2, lettera d), della proposta di direttiva MiFID specifichi che si tratta soltanto di quelle «detenute dalle imprese di investimento». I dati conservati dalle imprese di investimento probabilmente sono quelli indicati all’articolo 16, paragrafi 6 e 7, esaminato nei punti precedenti. In teoria, ciò significa che il testo esclude le registrazioni in possesso dei fornitori di servizi di comunicazione elettronica che hanno un contratto di fornitura con l’impresa di investimento in questione. A fini di chiarezza, il GEPD raccomanda di precisare a quali registrazioni riguardanti le comunicazioni telefoniche e gli scambi di dati detenuti dalle imprese di investimenti si faccia riferimento. |
2.5. Pubblicazione delle sanzioni o di altre misure
2.5.1. Obbligo di pubblicazione delle sanzioni
|
50. |
L’articolo 74 della proposta di direttiva impone agli Stati membri di provvedere affinché le autorità competenti pubblichino ogni sanzione o misura applicata per violazione delle disposizioni della proposta di regolamento o delle disposizioni nazionali adottate in attuazione della proposta di direttiva, senza indebito ritardo, fornendo anche informazioni sul tipo e la natura della violazione e l’identità delle persone responsabili, a meno che la pubblicazione non metta gravemente a rischio la stabilità dei mercati finanziari. L’obbligo si attenua soltanto se la pubblicazione può arrecare un «danno sproporzionato» alle parti coinvolte, nel qual caso le autorità competenti pubblicano le sanzioni in forma anonima. |
|
51. |
La pubblicazione delle sanzioni contribuirebbe a rafforzare l’effetto deterrente, scoraggiando i responsabili effettivi e potenziali dal commettere reati onde evitare gravi danni alla reputazione. Al contempo, rafforzerebbe la trasparenza, in quanto gli operatori di mercato verrebbero a conoscenza del fatto che una determinata persona ha commesso una violazione (20). Questo obbligo si attenua soltanto se la pubblicazione può arrecare un danno sproporzionato alle parti coinvolte, nel qual caso le autorità competenti pubblicano le sanzioni in forma anonima. Inoltre, pur riconoscendo che l’introduzione di un regime sanzionatorio (tramite un’armonizzazione minima o totale) avrebbe un impatto sui diritti fondamentali, quali quelli sanciti dall’articolo 7 (rispetto della vita privata e della vita familiare) e dall’articolo 8 (protezione dei dati di carattere personale), e potenzialmente anche sull’articolo 47 (diritto a un ricorso effettivo e a un giudice imparziale) e sull’articolo 48 (presunzione di innocenza e diritti della difesa) della Carta dell’Unione europea (21), la valutazione d’impatto non sembra esaminare i possibili effetti della pubblicazione delle sanzioni su tali diritti. |
|
52. |
Ai sensi dell’articolo 75, paragrafo 2, lettera a), le autorità competenti hanno già, tra i loro poteri sanzionatori, il potere di diffondere una dichiarazione pubblica indicante la persona fisica o giuridica responsabile e la natura della violazione (22). Non è chiaro come l’obbligo di pubblicazione di cui all’articolo 74 possa conciliarsi con il potere di diffondere una dichiarazione pubblica di cui all’articolo 75, paragrafo 2, lettera a). L’inclusione del potere di diffondere una dichiarazione pubblica nell’articolo 75, paragrafo 2, lettera a), dimostra che la pubblicazione è di per sé una sanzione, che dovrebbe essere oggetto di una valutazione individuale alla luce dei criteri di proporzionalità enunciati all’articolo 76 (23). |
|
53. |
Il GEPD non è convinto che l’obbligo di pubblicazione delle sanzioni, così com’è attualmente formulato, soddisfi le condizioni relative alla protezione dei dati stabilite dalla Corte di giustizia nella sentenza Schecke (24). È del parere che la finalità, la necessità e la proporzionalità della misura non siano dimostrate in modo adeguato e che, in ogni caso, si debbano prevedere idonee salvaguardie dei diritti individuali. |
2.5.2. Necessità e proporzionalità della pubblicazione
|
54. |
Nella sentenza Schecke la Corte ha dichiarato invalide le disposizioni di un regolamento del Consiglio e di un regolamento della Commissione che prevedevano la pubblicazione obbligatoria di informazioni riguardanti i beneficiari dei fondi agricoli, tra cui l’identità dei beneficiari e gli importi percepiti. Secondo la Corte, detta pubblicazione costituisce un trattamento di dati personali ai sensi dell’articolo 8, paragrafo 2, della Carta dei diritti fondamentali dell’Unione europea («la Carta») e, pertanto, una lesione dei diritti riconosciuti dagli articoli 7 e 8 della Carta stessa. |
|
55. |
Dopo aver dichiarato che «le deroghe e le limitazioni alla protezione dei dati personali devono operare entro i limiti dello stretto necessario», la Corte ha proseguito l’analisi della finalità della pubblicazione e della proporzionalità. Ha concluso che nulla indicava che il Consiglio e la Commissione avessero preso in considerazione, in sede di adozione della legislazione in causa, modalità di pubblicazione delle informazioni conformi all’obiettivo di una simile pubblicazione pur essendo meno lesive dei diritti di detti beneficiari. |
|
56. |
L’articolo 74 della proposta di direttiva sembra viziato dalle stesse carenze evidenziate dalla Corte nella sentenza Schecke. Occorre tenere presente che, per valutare la conformità agli obblighi in materia di protezione dei dati di una disposizione che impone la pubblicazione di informazioni personali, è indispensabile che sia indicata una finalità chiara e ben definita per la quale è prevista la pubblicazione. Soltanto in presenza di una finalità chiara e ben definita è possibile valutare se la pubblicazione dei dati personali di cui trattasi sia effettivamente necessaria e proporzionata (25). |
|
57. |
Dopo aver letto la proposta e i documenti annessi (cioè la relazione sulla valutazione d’impatto), il GEPD ritiene che la finalità e, di conseguenza, la necessità della misura non siano definite chiaramente. Al riguardo i considerando della proposta tacciono, e la relazione sulla valutazione d’impatto si limita ad affermare che «la pubblicazione delle sanzioni è un elemento importante per garantire che abbiano un effetto dissuasivo sui destinatari, ed è necessaria per garantire che producano un effetto dissuasivo sul pubblico in generale» (26). Una siffatta affermazione generale non sembra essere sufficiente a dimostrare la necessità della misura proposta. Se la finalità generale è rafforzare l’effetto deterrente, la Commissione avrebbe forse dovuto spiegare, in particolare, perché sanzioni pecuniarie più onerose (o altri tipi di sanzione che non comportino la pubblicazione dei nomi degli inadempienti) non sarebbero state sufficienti. |
|
58. |
La relazione sulla valutazione d’impatto non sembra inoltre tenere in sufficiente considerazione modalità di pubblicazione delle informazioni meno intrusive, come limitare la pubblicazione agli istituti di credito o decidere se procedere alla pubblicazione caso per caso. Soprattutto quest’ultima possibilità a prima vista sembra offrire una soluzione più proporzionata, specialmente se si considera che — come riconosciuto all’articolo 75, paragrafo 2, lettera a) — la pubblicazione stessa è una sanzione, che deve quindi essere oggetto di una valutazione individuale che tenga conto di tutte le circostanze pertinenti, per esempio la gravità della violazione, il grado di responsabilità personale, la recidiva, le perdite subite da terzi, eccetera (27). |
|
59. |
A parere del GEPD, la possibilità di valutare il caso alla luce delle circostanze specifiche rende questa soluzione più proporzionata e quindi preferibile all’obbligo di pubblicazione in ogni caso. Tale discrezionalità permetterebbe all’autorità competente, per esempio, di evitare la pubblicazione nei casi in cui la violazione sia meno grave, la violazione non provochi danni significativi, la parte si sia mostrata disposta a collaborare, eccetera. |
|
60. |
L’articolo 35, paragrafo 6, della proposta di regolamento riguarda la pubblicazione sul sito Internet dell’AESFEM dell’avviso di ogni decisione di imporre o prorogare una misura che limita la capacità di un soggetto di stipulare un derivato su merci. L’identità dei soggetti la cui capacità di negoziazione sia stata limitata dall’AESFEM deve quindi essere pubblicata, insieme con gli strumenti finanziari applicabili, le misure quantitative, come il numero massimo di contratti che il soggetto o la categoria di soggetti possono stipulare, e la relativa motivazione. L’entrata in vigore della misura è vincolata alla pubblicazione stessa (articolo 35, paragrafo 7). Sulla base del ragionamento elaborato in relazione con le disposizioni della direttiva, il GEPD invita il legislatore a valutare se la pubblicazione sia necessaria e se non esistano misure meno restrittive nei casi in cui siano coinvolte persone fisiche. |
2.5.3. La necessità di idonee salvaguardie
|
61. |
La proposta di direttiva avrebbe dovuto prevedere idonee salvaguardie per garantire il giusto equilibrio tra i diversi interessi in gioco. In primo luogo, sono necessarie garanzie in relazione al diritto delle persone accusate di impugnare la decisione dinanzi a un giudice e alla presunzione di innocenza. Al riguardo, si sarebbe dovuto usare un linguaggio specifico nel testo dell’articolo 74, in modo da imporre alle autorità competenti di adottare opportuni provvedimenti nei casi in cui la decisione sia oggetto di ricorso e in cui venga infine revocata da un giudice (28). |
|
62. |
In secondo luogo, la proposta di direttiva dovrebbe garantire il rispetto dei diritti degli interessati in modo proattivo. Il GEPD riconosce che la versione finale della proposta prevede la possibilità di escludere la pubblicazione nel caso in cui provochi danni sproporzionati. Tuttavia un approccio proattivo dovrebbe prevedere che gli interessati siano informati preventivamente del fatto che la decisione di applicare una sanzione nei loro confronti sarà pubblicata e che, in forza dell’articolo 14 della direttiva 95/46/CE, è loro riconosciuto il diritto di opporsi per motivi preminenti e legittimi (29). |
|
63. |
In terzo luogo, la proposta di direttiva non specifica il mezzo attraverso il quale l’informazione sarà pubblicata ma, nella pratica, è immaginabile che nella maggior parte degli Stati membri la pubblicazione avverrà su Internet. Le pubblicazioni su Internet presentano pericoli e criticità specifiche riguardanti, in particolare, la necessità di garantire che le informazioni siano a disposizione online solo per il periodo strettamente necessario e che i dati non possano essere manipolati o alterati. L’uso di motori di ricerca esterni comporta inoltre il rischio che le informazioni siano estrapolate dal contesto e inoltrate attraverso e al di fuori di Internet in modo difficile da controllare (30). |
|
64. |
Alla luce di quanto precede, è necessario imporre agli Stati membri di garantire che i dati personali degli interessati siano a disposizione online solo per un periodo di tempo ragionevole, al termine del quale saranno sistematicamente cancellati (31). Gli Stati membri dovrebbero inoltre essere tenuti a garantire idonee salvaguardie e misure di sicurezza, soprattutto contro i rischi connessi all’uso dei motori di ricerca esterni (32). |
2.5.4. Conclusioni sulla pubblicazione
|
65. |
Il GEPD è del parere che la disposizione relativa all’obbligo di pubblicazione delle sanzioni — così com’è attualmente formulata — non sia compatibile con il diritto fondamentale alla protezione della vita privata e dei dati personali. Il legislatore dovrebbe valutare con attenzione la necessità del sistema proposto e verificare se l’obbligo di pubblicazione non vada oltre quanto è necessario per conseguire l’obiettivo di interesse pubblico perseguito e se non esistano misure meno restrittive per raggiungere il medesimo obiettivo. Subordinatamente all’esito di questo test della proporzionalità, l’obbligo di pubblicazione dovrebbe in ogni caso essere sostenuto da salvaguardie idonee a garantire il rispetto della presunzione di innocenza, il diritto degli interessati di opporsi, la sicurezza/esattezza dei dati e la loro cancellazione dopo un adeguato periodo di tempo. |
2.6. Segnalazione di violazioni
|
66. |
L’articolo 77 della proposta di direttiva riguarda i meccanismi per la segnalazione di violazioni, anche detti sistemi di denuncia. Pur potendo essere uno strumento efficace per garantire la conformità, tali sistemi sollevano questioni significative dal punto di vista della protezione dei dati (33). Il GEPD accoglie con favore il fatto che la proposta di direttiva preveda salvaguardie specifiche, da sviluppare ulteriormente a livello nazionale, riguardanti la protezione delle persone che segnalano sospette violazioni e, più in generale, la protezione dei dati personali. La valutazione d’impatto menziona i sistemi di denuncia nell’ambito delle possibilità di introdurre sanzioni nella valutazione dei diritti fondamentali (34) e richiama l’attenzione sulla necessità che la legislazione di attuazione si conformi ai principi e ai criteri relativi alla protezione dei dati indicati dalle autorità competenti in materia. Il GEPD è consapevole del fatto che la direttiva si limita a stabilire gli elementi principali del regime che gli Stati membri dovranno istituire. Desidera nondimeno richiamare l’attenzione sugli aspetti seguenti. |
|
67. |
Come in altri pareri (35), il GEPD sottolinea la necessità di introdurre un riferimento specifico alla necessità di tutelare la riservatezza dei denuncianti e degli informatori. Il GEPD segnala che la posizione dei denuncianti è delicata. Occorre garantire alle persone che forniscono tali informazioni che i dati sulla loro identità non saranno rivelati a terzi, in particolare al presunto autore dell’illecito denunciato (36). La riservatezza dell’identità del denunciante deve essere garantita in tutte le fasi della procedura, purché ciò non sia in contrasto con le normative nazionali che disciplinano i procedimenti giudiziari. In particolare, potrebbe essere necessario rivelare l’identità del denunciante nel contesto di ulteriori indagini o di successivi procedimenti giudiziari (compreso il caso in cui si accerti che il denunciante ha dichiarato il falso in malafede) (37). Alla luce di quanto precede, il GEPD raccomanda di aggiungere all’articolo 77, paragrafo 1, lettera b), la disposizione seguente: «l’identità di detti dipendenti è garantita in tutte le fasi della procedura, fatte salve le disposizioni nazionali che ne impongano la comunicazione nel contesto di ulteriori indagini o di successivi procedimenti giudiziari». |
|
68. |
Il GEPD evidenzia altresì l’importanza di prevedere norme adeguate a garantire il diritto di accesso delle persone accusate, che è strettamente legato ai diritti di difesa (38). Le procedure per il ricevimento di segnalazioni e per il relativo seguito di cui all’articolo 77, paragrafo 1, lettera a), dovrebbero garantire che i diritti di difesa delle persone accusate, quali il diritto di essere informato, il diritto di accesso al fascicolo e la presunzione di innocenza, siano adeguatamente rispettati e limitati soltanto nella misura strettamente necessaria (39). Al riguardo il GEPD propone di inserire anche nella proposta di direttiva in esame la disposizione di cui all’articolo 29, paragrafo 1, lettera d), della proposta della Commissione concernente il regolamento del Parlamento europeo e del Consiglio relativo all’abuso di informazioni privilegiate e alla manipolazione del mercato, che impone agli Stati membri di adottare «procedure adeguate per garantire il diritto di difesa del presunto responsabile, nonché il diritto a essere sentito prima che venga presa una decisione che lo riguarda e il diritto a un effettivo ricorso giurisdizionale nei confronti di qualsiasi decisione o misura che lo riguardi». |
|
69. |
Infine, per quanto riguarda l’articolo 77, paragrafo 1, lettera c), il GEPD è lieto di constatare che la disposizione impone agli Stati membri di garantire la protezione dei dati personali concernenti sia la persona accusata sia la persona che segnala la violazione, conformemente ai principi stabiliti dalla direttiva 95/46/CE. Propone tuttavia di eliminare «i principi stabiliti dalla», al fine di rendere il rimando alla direttiva più completo e vincolante. Per quanto riguarda la necessità di rispettare la normativa in materia di protezione dei dati nell’attuazione pratica dei regimi, il GEPD desidera sottolineare, in particolare, le raccomandazioni formulate dal gruppo di lavoro «articolo 29» nel parere del 2006 relativo alla denuncia di irregolarità. Tra l’altro, nell’attuare i sistemi nazionali, gli enti interessati devono tenere presente la necessità di rispettare la proporzionalità limitando il più possibile le categorie di soggetti autorizzati a presentare denunce, le categorie di soggetti denunciabili e le violazioni per le quali possono essere denunciati; la necessità di promuovere denunce nominative e riservate rispetto alle denunce anonime; la necessità di prevedere la possibilità di rivelare l’identità del denunciante nel caso in cui abbia dichiarato il falso in malafede; e la necessità di rispettare termini rigorosi di conservazione dei dati. |
2.7. Collaborazione tra le autorità competenti degli Stati membri e con l’AESFEM
2.7.1. Collaborazione nell’ambito della proposta di direttiva
|
70. |
L’articolo 83 introduce l’obbligo di collaborazione tra le autorità competenti degli Stati membri e tra tali autorità e l’AESFEM. In particolare, l’articolo 83, paragrafo 5, impone alle autorità competenti di comunicare all’AESFEM e alle altre autorità competenti le informazioni relative a a) eventuali richieste a qualsiasi persona che ha fornito informazioni sull’esposizione totale di adottare misure per ridurre l’entità della posizione o esposizione (a norma dell’articolo 72, paragrafo 1, lettera f)); b) eventuali limitazioni alla possibilità delle persone di concludere un contratto derivato su merci (a norma dell’articolo 72, paragrafo 1, lettera g)). La notifica deve includere informazioni dettagliate sull’identità della persona cui sono indirizzate tali misure, nonché la portata delle limitazioni, il tipo di strumenti finanziari compresi e altre informazioni. |
|
71. |
La disposizione stabilisce altresì che un’autorità competente di uno Stato membro che riceva la notifica di cui sopra «può adottare misure in conformità dell’articolo 72, paragrafo 1, lettere f) o g), quando sia convinta che la misura è necessaria per conseguire l’obiettivo dell’altra autorità competente». Il GEPD desidera segnalare che questo tipo di decisione, adottata dall’autorità competente, potrebbe essere considerata conforme ai criteri relativi a una «decisione individuale automatizzata», di cui all’articolo 15 della direttiva 95/46/CE. Questa interpretazione deriva dal fatto che l’articolo 72 impone all’autorità competente ricevente l’obbligo di verificare se la misura in questione possa conseguire l’obiettivo dell’altra autorità competente. L’autorità competente dello Stato membro che riceve la notifica non è quindi specificamente tenuta a svolgere un’analisi indipendente delle circostanze del caso — basata anche sui dati personali dell’interessato — al fine di adottare una misura che limita i suoi diritti. L’articolo 15 della direttiva 95/46/CE stabilisce che a qualsiasi persona è riconosciuto il diritto di non essere sottoposta a una decisione che produca effetti giuridici o abbia effetti significativi nei suoi confronti fondata esclusivamente su un trattamento automatizzato di dati destinati a valutare taluni aspetti della sua personalità, quali il rendimento professionale, il credito, l’affidabilità, eccetera. Per quanto riguarda il contesto in esame, si applica l’articolo 15, paragrafo 2, della direttiva 95/46/CE, il quale stabilisce che una persona può essere sottoposta a una decisione del tipo sopra descritto, a condizione che tale decisione «sia autorizzata da una legge» e siano previsti provvedimenti atti a salvaguardare l’interesse legittimo della persona interessata. Le normative nazionali di attuazione della direttiva costituiscono la base giuridica per la deroga di cui all’articolo 15, paragrafo 2, della direttiva 95/46/CE, tuttavia non sono previsti provvedimenti specifici atti a salvaguardare gli interessi legittimi delle persone interessate. |
|
72. |
Il testo della proposta di direttiva sembra quindi introdurre la possibilità che una decisione automatizzata che produca effetti sulla capacità di concludere contratti sia adottata da un’autorità di uno Stato membro diverso da quello in cui la sanzione era stata inizialmente irrogata. Considerato l’impatto che una decisione del genere può avere sui diritti di una persona che svolge professionalmente attività di investimento, il GEPD rileva che il testo dovrebbe contenere un riferimento specifico al diritto di opporsi a una decisione individuale automatizzata ai sensi dell’articolo 15 della direttiva 95/46/CE. Si dovrebbero espressamente introdurre misure atte a garantire che la persona interessata sia messa al corrente del trasferimento e dell’esistenza di una procedura avviata dall’autorità competente ricevente ai fini dell’adozione di tale decisione, affinché possa effettivamente esercitare il diritto di opporsi. |
2.7.2. Collaborazione nell’ambito della proposta di regolamento
|
73. |
L’articolo 34, paragrafo 2, del regolamento stabilisce che, dopo aver ricevuto la comunicazione di una misura ai sensi dell’articolo 83, paragrafo 5, della direttiva, l’AESFEM registra la misura e la sua motivazione e, in relazione alle misure adottate ai sensi dell’articolo 72, paragrafo 1, lettere f) e g), della direttiva, mantiene e pubblica sul proprio sito Internet una banca dati contenente una breve descrizione delle misure in vigore, «comprese le informazioni sul soggetto o categoria di soggetti interessati». |
|
74. |
Tale pubblicazione costituisce un’ulteriore attività di trattamento di dati personali. Le osservazioni formulate al precedente paragrafo 2.5 riguardo alla pubblicazione delle sanzioni valgono anche in questo caso. La valutazione d’impatto non sembra contenere una valutazione dell’impatto sui diritti fondamentali di questo tipo di pubblicazione su Internet. Il GEPD invita pertanto il legislatore a riflettere sull’effettiva necessità e proporzionalità della misura in questione. |
2.8. Scambio di informazioni con i paesi terzi
|
75. |
Il GEPD prende atto del riferimento alla direttiva 95/46/CE, in particolare al capo IV, e al regolamento (CE) n. 45/2001 di cui all’articolo 92 della proposta di direttiva. |
|
76. |
Tuttavia, considerati i rischi associati a tali trasferimenti, il GEPD raccomanda di prevedere salvaguardie specifiche, quali la valutazione individuale, la garanzia che il trasferimento sia necessito, l’obbligo di ottenere l’autorizzazione esplicita preventiva dell’autorità competente per un ulteriore trasferimento di dati verso e da un paese terzo e l’assicurazione di un adeguato livello di protezione dei dati personali nel paese terzo che riceve i dati. |
|
77. |
Un buon esempio di disposizione contenente garanzie adeguate è fornito dall’articolo 23 della proposta di regolamento del Parlamento europeo e del Consiglio relativo all’abuso di informazioni privilegiate e alla manipolazione del mercato (40). |
3. CONCLUSIONI
|
78. |
Il GEPD formula le seguenti raccomandazioni:
|
Fatto a Bruxelles, il 10 febbraio 2012
Giovanni BUTTARELLI
Garante europeo aggiunto della protezione dei dati
(1) GU L 281 del 23.11.1995, pag. 31.
(2) GU L 8 del 12.1.2001, pag. 1.
(3) Pareri del GEPD del 10 febbraio 2012 sul pacchetto legislativo relativo alla revisione della legislazione bancaria, alle agenzie di rating del credito, ai mercati degli strumenti finanziari (MiFID/MiFIR) e agli abusi di mercato.
(4) GU L 145 del 30.4.2004, pag. 1.
(5) Cfr. considerando 20, 30 e 45 della proposta di regolamento e considerando 41, 43, 69 e 103 della proposta di direttiva.
(6) COM(2011) 651.
(7) Proposta di regolamento del Parlamento europeo e del Consiglio relativo all’abuso di informazioni privilegiate e alla manipolazione del mercato, COM(2011) 651.
(8) Cfr. parere del GEPD del 10 febbraio 2012 sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo all’abuso di informazioni privilegiate e alla manipolazione del mercato, COM(2011) 651.
(9) CESR, consulenza tecnica alla Commissione europea nel contesto del riesame della MiFID — Protezione degli investitori e intermediari, 29 luglio 2010, CESR/10-417 pag. 7, http://www.esma.europa.eu/system/files/10_417.pdf
(10) Valutazione d’impatto, pag. 150.
(11) COM(2011) 651 definitivo.
(12) Articolo 6, paragrafo 1, lettera e), della direttiva 95/46/CE.
(13) Valutazione d’impatto, pag. 150.
(14) Cfr. studio del CESR di cui al punto 26.
(15) COM(2011) 651.
(16) Cfr. il recente parere del GEPD, del 10 febbraio 2012, sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo all’abuso di informazioni privilegiate e alla manipolazione del mercato.
(17) Cfr. articolo 6, paragrafo 1, della direttiva 2002/58/CE (GU L 201 del 31.7.2002, pag. 37).
(18) L’articolo 15, paragrafo 1, della direttiva 2002/58/CE prevede che tale restrizione «costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo […]».
(19) Cfr., per esempio, cause riunite C-92/09 e C-93/09, Volker und Markus Schecke GbR (C-92/09), Hartmut Eifert/Land Hessen (C-93/09), non ancora pubblicate nella Raccolta, punto 74.
(20) Cfr. relazione sulla valutazione d’impatto, pag. 42 e segg.
(21) Cfr. anche pag. 43, valutazione dell’impatto sui diritti fondamentali dell’opzione «armonizzazione minima»: «L’opzione incide sugli articoli 7 (rispetto della vita privata e della vita familiare) e 8 (protezione dei dati di carattere personale) e potenzialmente anche sugli articoli 47 (diritto a un ricorso effettivo e a un giudice imparziale) e 48 (presunzione di innocenza e diritti della difesa) della Carta dell’UE. L’opzione prevede la limitazione di detti diritti de iure, pur rispettandone l’essenza. La limitazione di tali diritti è necessaria per conseguire l’obiettivo di interesse generale di assicurare l’osservanza delle disposizioni della MiFID intese a garantire una negoziazione corretta e ordinata e la protezione degli investitori. Per essere legittime, le misure amministrative e le sanzioni inflitte devono essere proporzionate alla violazione, rispettare il diritto di non essere giudicato o punito due volte per lo stesso reato, la presunzione di innocenza, il diritto di difesa e il diritto a un ricorso effettivo e a un giudice imparziale in ogni circostanza […]».
(22) Cfr. il recente parere del GEPD, del 10 febbraio 2012, sulle proposte della Commissione concernenti la direttiva sull’accesso all’attività degli enti creditizi e sulla vigilanza prudenziale degli enti creditizi e delle imprese di investimento e il regolamento relativo ai requisiti prudenziali per gli enti creditizi e le imprese di investimento.
(23) «Gli Stati membri assicurano che, nello stabilire il tipo di sanzione o misura amministrativa e il livello delle sanzioni pecuniarie amministrative, le autorità competenti tengano conto di tutte le circostanze pertinenti, tra cui: a) la gravità e la durata della violazione; b) il grado di responsabilità della persona fisica o giuridica responsabile; c) la capacità finanziaria della persona fisica o giuridica responsabile, quale risulta dal fatturato complessivo della persona giuridica responsabile o dal reddito annuo della persona fisica responsabile; d) l’entità dei profitti realizzati e delle perdite evitate da parte della persona fisica o giuridica responsabile, nella misura in cui possano essere determinati; e) le perdite subite da terzi a causa della violazione, nella misura in cui possano essere determinate; f) il livello di collaborazione con l’autorità competente da parte della persona fisica o giuridica responsabile; g) precedenti violazioni da parte della persona fisica o giuridica responsabile […]».
(24) Cause riunite C-92/09 e C-93/09, Schecke, punti 56-64.
(25) In proposito, cfr. anche il parere del GEPD del 15 aprile 2011 sulle regole finanziarie applicabili al bilancio annuale dell’Unione (GU C 215 del 21.7.2011, pag. 13).
(26) Cfr. precedente nota 11.
(27) Cioè conformemente all’articolo 74 della proposta di direttiva, che stabilisce i criteri per determinare le sanzioni.
(28) Per esempio, le autorità nazionali potrebbero prendere in considerazione le misure seguenti: rinviare la pubblicazione finché il ricorso viene respinto o, come proposto nella relazione sulla valutazione d’impatto, indicare chiaramente che la decisione è oggetto di ricorso e che l’interessato è presunto innocente finché la decisione non diventa definitiva, pubblicare una rettifica qualora la decisione sia revocata da un giudice.
(29) Cfr. parere del GEPD del 10 aprile 2007 sul finanziamento della politica agricola comune (GU C 134 del 16.6.2007, pag. 1).
(30) Al riguardo cfr. il documento pubblicato dal Garante italiano per la protezione dei dati, Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web, disponibile all’indirizzo: http://www.garanteprivacy.it/garante/doc.jsp?ID=1803707
(31) Questa preoccupazione riguarda anche il più generale diritto all’oblio, la cui inclusione nel nuovo quadro legislativo per la protezione dei dati personali è in discussione.
(32) Queste misure e salvaguardie possono consistere, per esempio, nell’escludere l’indicizzazione dei dati da parte dei motori di ricerca esterni.
(33) Il gruppo di lavoro «articolo 29» ha pubblicato un parere su tali sistemi nel 2006, in cui esamina gli aspetti della questione legati alla protezione dei dati: parere 1/2006 relativo all’applicazione della normativa UE sulla protezione dei dati alle procedure interne per la denuncia delle irregolarità riguardanti la tenuta della contabilità, i controlli contabili interni, la revisione contabile, la lotta contro la corruzione, la criminalità bancaria e finanziaria. Il parere è disponibile all’indirizzo: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm
(34) Cfr. valutazione d’impatto, pagg. 137-138: «L’introduzione di “sistemi di denuncia” solleva questioni riguardanti la protezione dei dati personali (articolo 8 della Carta dell’UE e articolo 16 del TFUE), la presunzione di innocenza e il diritto di difesa (articolo 48) della Carta dell’UE. Pertanto l’attuazione di qualsiasi sistema di denuncia deve soddisfare e integrare i principi e i criteri relativi alla protezione dei dati indicati dalle autorità europee preposte alla protezione dei dati e garantire salvaguardie in conformità della Carta dei diritti fondamentali».
(35) Cfr., per esempio, i pareri del GEPD del 15 aprile 2011 sulle regole finanziarie applicabili al bilancio annuale dell’Unione e del 1o giugno 2011 relativo alle indagini svolte dall’Ufficio per la lotta antifrode (OLAF), entrambi disponibili all’indirizzo: http://www.edps.europa.eu
(36) L’importanza di garantire che l’identità del denunciante resti segreta è già stata sottolineata dal GEPD in una lettera al Mediatore europeo del 30 luglio 2010, relativa al caso 2010-0458, reperibile nel sito Internet del GEPD (http://www.edps.europa.eu). Cfr. anche i pareri del GEPD sul controllo preventivo del 23 giugno 2006 (caso 2005-0418), concernente le indagini interne dell’OLAF, e del 4 ottobre 2007 (casi 2007-47, 2007-48, 2007-49, 2007-50, 2007-72), concernente le indagini esterne dell’OLAF.
(37) Cfr. parere del 15 aprile 2011 sulle regole finanziarie applicabili al bilancio annuale dell’Unione, disponibile all’indirizzo: http://www.edps.europa.eu
(38) Al riguardo cfr. il documento del GEPD Guidelines concerning the processing of personal data in administrative inquiries and disciplinary proceedings by European institutions and bodies, pointing out the close relationship between the right of access of the data subjects and the right of defence of the persons being accused (Linee guida relative al trattamento di dati personali nelle indagini amministrative e nei procedimenti disciplinari delle istituzioni e degli organismi europei, in cui si dà risalto alla stretta relazione fra il diritto di accesso dell’interessato e il diritto di difesa della persona accusata), pagg. 8 e 9, disponibile all’indirizzo: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/10-04-23_Guidelines_inquiries_EN.pdf
(39) Cfr. parere del gruppo di lavoro «articolo 29» relativo alla denuncia di irregolarità, pagg. 13-14.
(40) L’articolo 23 della proposta di regolamento del Parlamento europeo e del Consiglio relativo all’abuso di informazioni privilegiate e alla manipolazione del mercato [COM (2011) 651] recita:
«1. L’autorità competente di uno Stato membro può trasferire dati personali ad un paese terzo a condizione che siano soddisfatti i requisiti previsti dalla direttiva 95/46/CE, in particolare gli articoli 25 e 26, e solo su base individuale. L’autorità competente dello Stato membro garantisce che il trasferimento sia necessario ai fini del presente regolamento. L’autorità competente assicura che il paese terzo non trasferisca i dati ad un altro paese terzo salvo che non sia stata data esplicita autorizzazione scritta e siano soddisfatte le condizioni specificate dall’autorità competente dello Stato membro. I dati personali possono essere trasferiti solo ad un paese terzo che offra un adeguato livello di protezione dei dati personali.
2. L’autorità competente di uno Stato membro può comunicare le informazioni ricevute da un’autorità competente di un altro Stato membro ad un’autorità competente di un paese terzo soltanto quando essa abbia ottenuto l’accordo esplicito dell’autorità competente che ha trasmesso le informazioni e, laddove applicabile, comunica tali informazioni esclusivamente per le finalità per le quali l’autorità competente ha espresso il proprio accordo.
3. Un accordo di cooperazione che preveda lo scambio di dati personali deve conformarsi deve conformarsi alla direttiva 95/46/CE».
II Comunicazioni
COMUNICAZIONI PROVENIENTI DALLE ISTITUZIONI, DAGLI ORGANI E DAGLI ORGANISMI DELL'UNIONE EUROPEA
Commissione europea
|
25.5.2012 |
IT |
Gazzetta ufficiale dell'Unione europea |
C 147/15 |
Autorizzazione degli aiuti di Stato sulla base degli articoli 107 e 108 TFUE
Casi contro i quali la Commissione non solleva obiezioni
(Testo rilevante ai fini del SEE)
2012/C 147/02
|
Data di adozione della decisione |
27.1.2012 |
||||
|
Numero di riferimento dell'aiuto di Stato |
N 598/09 |
||||
|
Stato membro |
Germania |
||||
|
Regione |
Berlin, Brandenburg |
||||
|
Titolo (e/o nome del beneficiario) |
Förderrichtlinien der Medienboard Berlin-Brandenburg GmbH |
||||
|
Base giuridica |
Förderrichtlinien der Medienboard Berlin-Brandenburg GmbH |
||||
|
Tipo di misura |
Regime |
||||
|
Obiettivo |
Cultura |
||||
|
Forma dell'aiuto |
Sovvenzione rimborsabile |
||||
|
Dotazione di bilancio |
|
||||
|
Intensità |
50 % |
||||
|
Durata |
1.1.2010-31.12.2014 |
||||
|
Settore economico |
Attività ricreative, culturali e sportive |
||||
|
Nome e indirizzo dell'autorità che eroga l'aiuto |
Medienboard Berlin-Brandenburg |
||||
|
Altre informazioni |
— |
Il testo delle decisioni nelle lingue facenti fede, ad eccezione dei dati riservati, è disponibile sul sito:
http://ec.europa.eu/community_law/state_aids/state_aids_texts_it.htm
|
Data di adozione della decisione |
4.4.2012 |
||||
|
Numero di riferimento dell'aiuto di Stato |
SA.32582 (11/N) |
||||
|
Stato membro |
Germania |
||||
|
Regione |
Thüringen |
||||
|
Titolo (e/o nome del beneficiario) |
Ergänzungsnotifizierung zum großen Investitionsvorhaben der ersol Solar Energy AG (heute: Bosch Solar Energy AG), Arnstadt (staatl. Beihilfe N 539/08) — Investitionszulage zu Gunsten der CRS Reprocessing Germany GmbH |
||||
|
Base giuridica |
Investitionszulagengesetz 2007 |
||||
|
Tipo di misura |
Aiuto individuale |
||||
|
Obiettivo |
Sviluppo regionale, occupazione, tutela dell'ambiente |
||||
|
Forma dell'aiuto |
Sovvenzione a fondo perduto |
||||
|
Dotazione di bilancio |
Importo totale dell'aiuto previsto 0,27 Mio EUR |
||||
|
Intensità |
10 % |
||||
|
Durata |
Fino al 31.12.2011 |
||||
|
Settore economico |
Fabbricazione di altri prodotti chimici di base inorganici |
||||
|
Nome e indirizzo dell'autorità che eroga l'aiuto |
|
||||
|
Altre informazioni |
— |
Il testo delle decisioni nelle lingue facenti fede, ad eccezione dei dati riservati, è disponibile sul sito:
http://ec.europa.eu/community_law/state_aids/state_aids_texts_it.htm
IV Informazioni
INFORMAZIONI PROVENIENTI DALLE ISTITUZIONI, DAGLI ORGANI E DAGLI ORGANISMI DELL'UNIONE EUROPEA
Commissione europea
|
25.5.2012 |
IT |
Gazzetta ufficiale dell'Unione europea |
C 147/17 |
Tassi di cambio dell'euro (1)
24 maggio 2012
2012/C 147/03
1 euro =
|
|
Moneta |
Tasso di cambio |
|
USD |
dollari USA |
1,2557 |
|
JPY |
yen giapponesi |
99,75 |
|
DKK |
corone danesi |
7,4313 |
|
GBP |
sterline inglesi |
0,80095 |
|
SEK |
corone svedesi |
8,9760 |
|
CHF |
franchi svizzeri |
1,2010 |
|
ISK |
corone islandesi |
|
|
NOK |
corone norvegesi |
7,5360 |
|
BGN |
lev bulgari |
1,9558 |
|
CZK |
corone ceche |
25,390 |
|
HUF |
fiorini ungheresi |
299,78 |
|
LTL |
litas lituani |
3,4528 |
|
LVL |
lats lettoni |
0,6975 |
|
PLN |
zloty polacchi |
4,3483 |
|
RON |
leu rumeni |
4,4680 |
|
TRY |
lire turche |
2,3180 |
|
AUD |
dollari australiani |
1,2842 |
|
CAD |
dollari canadesi |
1,2877 |
|
HKD |
dollari di Hong Kong |
9,7491 |
|
NZD |
dollari neozelandesi |
1,6660 |
|
SGD |
dollari di Singapore |
1,6016 |
|
KRW |
won sudcoreani |
1 477,95 |
|
ZAR |
rand sudafricani |
10,5046 |
|
CNY |
renminbi Yuan cinese |
7,9542 |
|
HRK |
kuna croata |
7,5758 |
|
IDR |
rupia indonesiana |
11 828,69 |
|
MYR |
ringgit malese |
3,9460 |
|
PHP |
peso filippino |
54,789 |
|
RUB |
rublo russo |
39,7675 |
|
THB |
baht thailandese |
39,655 |
|
BRL |
real brasiliano |
2,5565 |
|
MXN |
peso messicano |
17,5421 |
|
INR |
rupia indiana |
69,8420 |
(1) Fonte: tassi di cambio di riferimento pubblicati dalla Banca centrale europea.
V Avvisi
PROCEDIMENTI AMMINISTRATIVI
Commissione europea
|
25.5.2012 |
IT |
Gazzetta ufficiale dell'Unione europea |
C 147/18 |
Invito a presentare proposte 2012 — Strumento finanziario per la protezione civile — Esercitazioni nell'ambito del meccanismo comunitario di protezione civile
2012/C 147/04
|
1. |
La Commissione europea, direzione generale per gli Aiuti umanitari e la protezione civile, pubblica un invito a presentare proposte finalizzato a individuare proposte relative a esercitazioni che possano beneficiare di un sostegno finanziario nell'ambito della decisione 2007/162/CE, Euratom del Consiglio (1), del 5 marzo 2007, che istituisce uno strumento finanziario per la protezione civile e della decisione 2007/779/CE, Euratom del Consiglio (2), dell’8 novembre 2007, che istituisce un meccanismo comunitario di protezione civile (rifusione). Tale sostegno finanziario sarà concesso sotto forma di sovvenzioni. |
|
2. |
I settori interessati, la tipologia e il contenuto delle proposte, nonché le condizioni di finanziamento, sono descritti nella Guida per la richiesta di sovvenzioni che contiene altresì istruzioni particolareggiate su tempi e modi per la presentazione delle proposte. La guida e i moduli di domanda di sovvenzione possono essere scaricati dal sito web «Europa» al seguente indirizzo: http://ec.europa.eu/echo/funding/opportunities/proposals_en.htm |
|
3. |
Le proposte devono pervenire all'indirizzo della Commissione indicato nella Guida entro il 16 luglio 2012. Le proposte devono essere inviate per posta o tramite corriere entro e non oltre il 16 luglio 2012 (fa fede la data di spedizione, il timbro postale o la data della ricevuta). Le proposte possono essere recapitate anche a mano allo specifico indirizzo indicato nella Guida entro le ore 17 del 16 luglio 2012 (fa fede la ricevuta datata e firmata dal Non saranno prese in considerazione proposte presentate mediante fax ovvero posta elettronica, né domande incomplete o inviate separatamente in più parti. |
|
4. |
La procedura per la concessione delle sovvenzioni si articola nelle seguenti fasi:
I beneficiari verranno selezionati in base ai criteri indicati nella Guida, entro i limiti della dotazione disponibile. In caso di decisione positiva da parte della Commissione, verrà stipulata una convenzione di sovvenzione tra la Commissione e il proponente. L'intera procedura è strettamente riservata. |