23.9.2011   

RO

Jurnalul Oficial al Uniunii Europene

C 279/20

1.

La 8 decembrie 2010, Comisia Europeană a adoptat o propunere de Regulament al Parlamentului European și al Consiliului privind integritatea și transparența pieței energiei (3) („propunerea”).

2.

Comisia nu a consultat AEPD, deși articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 impunea acest lucru. Acționând din proprie inițiativă, AEPD adoptă prezentul aviz în temeiul articolului 41 alineatul (2) din prezentul regulament. AEPD înțelege că prezentul aviz vine într-o etapă târzie a procesului legislativ, însă consideră că emiterea acestuia este adecvată și utilă, având în vedere potențialul impact semnificativ al propunerii asupra dreptului la viață privată și la protecția datelor cu caracter personal. Preambulul propunerii ar trebui să cuprindă o trimitere la prezentul aviz.

3.

Principalul obiectiv al propunerii este de a evita manipularea pieței și tranzacțiile bazate pe informații privilegiate pe piețele angro de energie (gaze și energie electrică). Integritatea și transparența piețelor angro pe care se tranzacționează gaze și energie electrică între societățile producătoare de energie și traderi sunt esențiale pentru prețurile plătite în final de consumatori.

4.

În acest sens, propunerea vizează stabilirea unui set complet de norme la nivelul UE pentru a împiedica traderii să utilizeze informații privilegiate în interes personal și să manipuleze piața prin provocarea unei creșteri artificiale a prețurilor, nejustificate prin disponibilitatea, costul de producție, capacitatea de stocare sau de transport al energiei. În special, normele propuse interzic următoarele:

5.

Monitorizarea pieței la nivel european pentru a descoperi posibile încălcări ale acestor interdicții va reprezenta responsabilitatea Agenției Europene pentru Cooperarea Autorităților de Reglementare din Domeniul Energiei („ACARE”) (4).

6.

Conform propunerii, ACARE va avea acces adecvat la informații privind tranzacțiile care au loc pe piețele angro de energie. Acestea includ informații referitoare la preț, cantitatea vândută și părțile implicate. Acest volum de date va fi, de asemenea, partajat cu autoritățile naționale de reglementare care vor fi ulterior responsabile pentru anchetarea presupuselor abuzuri. În cazurile cu impact transfrontalier, ACARE va avea competența de coordonare a anchetelor. Autoritățile naționale de reglementare din statele membre vor aplica sancțiuni.

7.

Propunerea vine în urma mai multor propuneri legislative recente având drept scop consolidarea mecanismelor existente de supraveghere financiară și îmbunătățirea coordonării și cooperării la nivelul UE, inclusiv Directiva privind utilizările abuzive ale informațiilor confidențiale și manipulările pieței („MAD”) (5) și Directiva privind piețele instrumentelor financiare („MiFID”) (6). AEPD a formulat recent observații cu privire la o altă astfel de propunere recentă (7).

8.

Propunerea conține mai multe dispoziții relevante pentru protecția datelor cu caracter personal:

9.

Propunerea pornește de la premisa că, pentru a detecta un abuz de piață, (i) este necesar să existe un sistem de monitorizare a pieței care să funcționeze efectiv și care să ofere acces oportun la date complete privind tranzacțiile și că (ii) aceasta ar trebui să includă monitorizarea la nivelul UE. În consecință, propunerea de regulament prevede ca ACARE să culeagă, să analizeze și să partajeze (cu autoritățile naționale și europene competente) un volum important de date de pe piețele angro de energie.

10.

Mai precis, propunerea de regulament impune participanților la piață să furnizeze ACARE „înregistrări ale tranzacțiilor lor” cu produse de pe piața de energie. Pe lângă înregistrările tranzacțiilor, participanții la piață trebuie, de asemenea, să ofere ACARE informații referitoare la „capacitatea instalațiilor de producție, stocare, consum sau transport de energie electrică sau de gaze”.

11.

Forma, conținutul și momentul furnizării informațiilor vor fi stabilite prin acte delegate ale Comisiei.

12.

Având în vedere că propunerea lasă definirea conținutului informațiilor care urmează a fi colectate în cadrul prezentului exercițiu de monitorizare și raportare exclusiv în seama actelor delegate, nu poate fi exclus faptul că vor fi implicate date cu caracter personal – și anume, orice informație referitoare la o persoană fizică identificată sau identificabilă (8). În temeiul legislației europene actuale, acest lucru este permis numai atunci când este necesar și proporțional în vederea îndeplinirii scopului specific (9). Propunerea de regulament ar trebui, în consecință, să specifice în mod clar dacă și în ce măsură înregistrările tranzacțiilor și informațiile privind capacitatea care urmează a fi colectate în scopul monitorizării pot include date cu caracter personal (10).

13.

În cazul în care se prevede prelucrarea datelor cu caracter personal, pot fi, de asemenea, necesare garanții specifice – spre exemplu, în ceea ce privește limitarea scopului, perioada de reținere și potențialii beneficiari ai informațiilor. Având în vedere natura lor fundamentală, aceste garanții privind protecția datelor ar trebui prevăzute direct în textul propunerii de regulament și nu în acte delegate.

14.

Dacă, în schimb, prelucrarea datelor cu caracter personal nu este prevăzută (sau aceasta ar fi doar excepțională și s-ar limita la cazuri rare în care un trader de pe piața angro de energie ar putea fi o persoană fizică și nu o entitate juridică), acest aspect ar trebui stabilit în mod clar în propunere, cel puțin într-un considerent.

15.

Articolul 9 alineatul (1) impune ACARE să „asigure confidențialitatea, integritatea și protecția” informațiilor primite în temeiul articolului 7 (și anume, înregistrările tranzacțiilor și informațiile privind capacitatea colectate în cadrul exercițiului de monitorizare a pieței). Articolul 9 prevede, de asemenea, că „acolo unde este cazul”, ACARE „se va conforma” Regulamentului (CE) nr. 45/2001 atunci când prelucrează date cu caracter personal în temeiul articolului 7.

16.

Mai mult decât atât, articolul 9 alineatul (1) prevede, de asemenea, că ACARE „identifică sursele de risc operațional și le reduce la minimum prin instituirea unor sisteme, mijloace de control și proceduri adecvate”.

17.

În final, articolul 9 alineatul (2) permite ACARE să facă publice anumite informații pe care le deține, „cu condiția ca informațiile sensibile din punct de vedere comercial referitoare la anumiți participanți la piață sau la anumite tranzacții să nu fie divulgate”.

18.

AEPD salută faptul că articolul 9 este dedicat, în parte, protecției datelor și că propunerea de regulament impune în mod specific ca ACARE să se conformeze Regulamentului (CE) nr. 45/2001.

19.

Afirmând acest lucru, AEPD subliniază că Regulamentul (CE) nr. 45/2001 se aplică integral ACARE în virtutea prezentului regulament ori de câte ori prelucrează date cu caracter personal. În consecință, propunerea ar trebui să reamintească faptul că Regulamentul (CE) nr. 45/2001 este aplicabil pentru ACARE nu doar atunci când prelucrează date în temeiul articolului 7, ci și în toate celelalte situații: important, și atunci când ACARE prelucrează date cu caracter personal referitoare la presupuse abuzuri de piață/încălcări în temeiul articolului 11. În plus, din motive de precizie, AEPD recomandă ca, în locul formulării „acolo unde este cazul” pentru a descrie situațiile în care ACARE trebuie să se conformeze Regulamentului (CE) nr. 45/2001, să se utilizeze formularea „ori de câte ori se prelucrează date cu caracter personal”.

20.

De asemenea, trebuie să se facă referire la Directiva 95/46/CE având în vedere că această directivă se aplică în cazul prelucrării datelor cu caracter personal de către autoritățile naționale de reglementare implicate. Într-adevăr, din motive de claritate, AEPD recomandă ca propunerea de regulament să menționeze, într-o manieră generală (cel puțin într-un considerent) că, deși ACARE se supune Regulamentului (CE) nr. 45/2001, Directiva 95/46/CE se aplică în cazul autorităților naționale de reglementare în cauză.

21.

AEPD salută cerința potrivit căreia ACARE ar trebui să identifice și să reducă la minimum riscurile operaționale prin instituirea unor sisteme, mijloace de control și proceduri adecvate. Pentru a consolida și mai mult principiul responsabilității (11), în cazul în care prelucrarea datelor cu caracter personal ar juca un rol structural, propunerea de regulament ar trebui să impună în mod specific ACARE să instituie un cadru clar de răspundere care să asigure respectarea normelor de protecție a datelor și să facă dovada respectării. Acest cadru clar instituit de ACARE ar trebui să conțină o serie de elemente, cum ar fi:

22.

Cerințe echivalente ar trebui să fie valabile și pentru autoritățile naționale de reglementare și alte autorități europene în cauză.

23.

Având în vedere cerința de la articolul 9 alineatul (2) care prevede că ACARE ar trebui să publice anumite informații pe care le deține, AEPD înțelege că scopul acestei prevederi nu este de a autoriza ACARE să publice date în scopul „denunțării și dezaprobării” și să divulge infracțiuni comise de societăți sau de persoanele fizice.

24.

Având în vedere afirmațiile, propunerea nu prevede existența intenției de a divulga niciun fel de date cu caracter personal. Prin urmare, pentru a înlătura orice dubiu, propunerea de regulament ar trebui fie să prevadă în mod specific că informațiile publicate nu ar trebui să conțină date cu caracter personal, fie să clarifice că, dacă este cazul, datele cu caracter personal pot fi divulgate.

25.

În cazul în care urmează a fi publicate date cu caracter personal, necesitatea divulgării (de exemplu, din motive de transparență) trebuie analizată atent și comparată cu alte preocupări concurente, cum ar fi necesitatea de a proteja drepturile la viață privată și la protecția datelor cu caracter personal ale persoanelor fizice vizate.

26.

În consecință, înaintea oricărei divulgări, ar trebui evaluată proporționalitatea, ținând seama de criteriile stabilite de Curtea Europeană de Justiție în hotărârea Schecke  (13). În acest caz, CEJ a subliniat că derogările și limitările în legătură cu protecția datelor cu caracter personal trebuie să se aplice numai în măsura în care este strict necesar. Mai mult, CEJ a considerat că instituțiile europene ar trebui să exploreze diferite metode de publicare pentru a descoperi metoda corespunzătoare scopului publicării, care să afecteze cel mai puțin drepturile persoanelor vizate la viața privată și la protecția datelor cu caracter personal.

27.

Propunerea prevede că monitorizarea pieței va fi urmată de o anchetă atunci când se suspectează un abuz de piață și că acest lucru poate duce la sancțiuni adecvate. Articolul 10 alineatul (1), în special, impune statelor membre să acorde autorităților naționale de reglementare competențele necesare de investigare, astfel încât să asigure aplicarea dispozițiilor Regulamentului privind tranzacțiile bazate pe informații privilegiate și manipularea pieței (14).

28.

AEPD salută mențiunea de la articolul 10 alineatul (1) potrivit căreia (i) competențele de investigare trebuie exercitate (numai) pentru a asigura aplicarea dispozițiilor Regulamentului privind tranzacțiile bazate pe informații privilegiate și manipularea pieței (articolele 3 și 4) și că (ii) aceste competențe trebuie exercitate în mod proporțional.

29.

Având în vedere afirmațiile, propunerea ar trebui să asigure securitatea juridică și un nivel adecvat de protecție a datelor cu caracter personal. Astfel cum se va arăta în continuare, textul propus al articolului 10 ridică două mari probleme. În primul rând, articolul 10 nu marchează suficient de clar domeniul de aplicare al competențelor de investigare; spre exemplu, nu este suficient de clar dacă înregistrările convorbirilor private pot fi solicitate sau dacă se poate desfășura o inspecție la fața locului la domiciliul privat. În al doilea rând, articolul 10 nu prevede nici garanțiile procedurale necesare împotriva riscului de intruziune nejustificată în viața privată sau utilizarea abuzivă a datelor cu caracter personal; spre exemplu, nu impune emiterea unui mandat de către o autoritate judiciară.

30.

Atât domeniul de aplicare al competențelor de investigare, cât și garanțiile necesare este posibil să fie specificate de legislația națională. Într-adevăr, articolul 10 alineatul (1) oferă numeroase posibilități statelor membre prin faptul că prevede că aceste competențe de investigare „pot fi exercitate (a) direct, (b) în colaborare cu alte autorități sau întreprinderi de pe piață sau (c) prin sesizarea autorităților judiciare competente”. Se pare că aceasta generează divergențe în practicile naționale, spre exemplu, în ceea ce privește măsura și condițiile în care s-ar impune un mandat emis de o autoritate judiciară.

31.

Deși anumite legislații naționale pot prevedea deja garanții procedurale și privind protecția datelor adecvate, pentru a asigura securitatea juridică a persoanelor vizate, în propunerea de regulament trebuie operate anumite clarificări și trebuie stabilite anumite cerințe minime cu privire la garanțiile procedurale și privind protecția datelor la nivel UE, astfel cum se va explica în continuare.

32.

Ca principiu general, AEPD subliniază că atunci când legislația UE impune statelor membre să adopte măsuri la nivel național care au impact asupra drepturilor fundamentale (cum ar fi drepturile la viață privată și la protecția datelor cu caracter personal), legislația ar trebui, de asemenea, să impună măsuri efective care să fie adoptate concomitent cu măsurile restrictive pentru a asigura protecția drepturilor fundamentale în cauză. Cu alte cuvinte, armonizarea măsurilor care pot avea un impact asupra vieții private, cum ar fi competențele de investigare, ar trebui să fie însoțită de armonizarea garanțiilor procedurale și privind protecția datelor adecvate pe baza celor mai bune practici.

33.

Această abordare poate preveni existența unor divergențe semnificative la nivel național și asigura un nivel mai ridicat și mai uniform de protecție a datelor cu caracter personal la nivelul întregii Uniuni Europene.

34.

În cazul în care armonizarea garanțiilor minime în această fază nu poate fi realizată, la un nivel minim, AEPD recomandă ca propunerea de regulament să impună anume statelor membre să adopte măsuri naționale de punere în aplicare, astfel încât să asigure garanțiile procedurale și privind protecția datelor necesare. Acest lucru este cu atât mai important cu cât forma aleasă a instrumentului juridic este regulamentul aplicabil în mod direct și, în general, nu ar avea neapărată nevoie de măsuri suplimentare de punere în aplicare în statele membre.

35.

Propunerea prevede că, în mod specific, competențele de investigare urmând a fi acordate autorităților naționale de reglementare trebuie să cuprindă competența de a efectua inspecții la fața locului [articolul 10 alineatul (2) litera (c)].

36.

Nu este clar dacă aceste inspecții se vor limita la proprietatea comercială (incinte, terenuri și vehicule) a unui participant la piață sau dacă acestea pot fi, de asemenea, efectuate pe proprietatea privată (incinte, terenuri sau vehicule) a unei persoane fizice. De asemenea, este incert dacă inspecțiile pot fi, de asemenea, efectuate fără avertisment prealabil („controale inopinate”).

37.

În cazul în care Comisia urmărește să impună statelor membre obligația de a permite autorităților de reglementare să efectueze inspecții la fața locului pe proprietățile private ale persoanelor fizice sau de a efectua controale inopinate, aceasta ar trebui, în primul rând, specificată în mod clar.

38.

În al doilea rând, AEPD subliniază și faptul că proporționalitatea inspecțiilor la fața locului pe o proprietate privată (cum ar fi la domiciliul privat al persoanelor fizice) este departe de a fi evidentă și – atunci când este prevăzută – ar trebui justificată în mod specific.

39.

În al treilea rând, pentru acest caz, ar fi, de asemenea, necesare garanții suplimentare, în special cu privire la condițiile în care pot fi desfășurate aceste inspecții. Spre exemplu, și fără limitări, propunerea ar trebui să specifice că inspecția la fața locului poate fi efectuată la domiciliul unei persoane fizice numai atunci când există suspiciuni rezonabile și specifice că în locuința respectivă se află dovezi relevante care probează o încălcare gravă a articolelor 3 sau 4 din regulament (și anume, dispozițiile privind interzicerea tranzacțiilor bazate pe informații privilegiate și manipulării pieței). Important este că propunerea ar trebui, de asemenea, să impună un mandat juridic în toate statele membre (15).

40.

În al patrulea rând, pentru a asigura proporționalitatea și pentru a preveni o intruziune excesivă în viața privată, inspecțiile neanunțate la domiciliile private ar trebui să se supună condiției suplimentare potrivit căreia, în cazul unei vizite anunțate, există posibilitatea distrugerii sau compromiterii dovezilor. Acest aspect ar trebui prevăzut în mod clar în propunerea de regulament.

41.

Articolul 10 alineatul (2) litera (d) prevede că, în mod specific, competențele autorităților naționale de reglementare ar trebui să includă și competența de a „solicita înregistrările telefonice existente și înregistrările transferurilor de date existente”.

42.

AEPD confirmă valoarea înregistrărilor telefonice și ale transferurilor de date în cazurile de tranzacții bazate pe informații privilegiate, în special pentru a stabili legături între persoanele din interior și traderi. Afirmând acest lucru, domeniul de aplicare al acestei competențe nu este suficient de clar, la fel nici garanțiile procedurale și privind protecția datelor adecvate prevăzute. În consecință, AEPD recomandă clarificarea propunerii, astfel cum se discută în continuare. În mod special, ar trebui abordate următoarele aspecte:

43.

Din motive de securitate juridică, propunerea ar trebui, în primul rând, să clarifice tipurile de înregistrări care pot fi, după caz, solicitate de autorități.

44.

Propunerea ar trebui să limiteze anume domeniul de aplicare al competențelor de investigare la (i) conținutul înregistrărilor telefonice, electronice și al altor înregistrări ale transferurilor de date care sunt deja colectate în mod obișnuit și legal de traderi din motive comerciale pentru probarea tranzacțiilor și la (ii) datele de transfer (de exemplu, cine a efectuat apelul sau cine a trimis informațiile, cui și când), care sunt deja disponibile direct de la participanții la piață (traderi) în cauză.

45.

În plus, propunerea ar trebui să prevadă și că înregistrările trebuie să fi fost colectate pentru un scop legal și în conformitate cu legislația aplicabilă privind protecția datelor, inclusiv dispoziția privind informarea în mod corespunzător a persoanelor vizate în temeiul articolelor 10 și 11 din Directiva 95/46/CE.

46.

AEPD salută faptul că propunerea limitează această competență la înregistrările „existente” și, astfel, nu obligă, prin competențele autorităților de reglementare, un trader sau o parte terță să intercepteze, să monitorizeze și să înregistreze în mod specific convorbirile telefonice sau transferurile de date în scopul anchetării.

47.

Cu toate acestea, pentru a înlătura orice dubiu, această intenție ar trebui clarificată, cel puțin într-un considerent. Ar trebui să nu existe posibilitatea interpretării propunerii de regulament ca oferind un temei juridic autorităților naționale de reglementare pentru interceptarea, monitorizarea sau înregistrarea comunicărilor telefonice sau de date, fie în secret, fie deschis, cu sau fără mandat.

48.

Textul propunerii face referire la „înregistrările telefonice existente și înregistrările transferurilor de date existente”. Nu este suficient de clar dacă pot fi solicitate atât conținutul comunicărilor telefonice și de date existente, cât și datele de transfer (de exemplu, cine a efectuat apelul sau cine a trimis informațiile, cui și când).

49.

Acest aspect trebuie clarificat în dispozițiile propunerii de regulament. Astfel cum s-a discutat la alineatele 43-45, trebuie specificat în mod clar tipul de înregistrări care pot fi solicitate și trebuie să se garanteze în primul rând că acele înregistrări au fost colectate în conformitate cu legislația aplicabilă privind protecția datelor.

50.

Propunerea ar trebui să prevadă în mod neechivoc instituțiile cărora autoritățile naționale de reglementare le pot solicita înregistrări. În acest sens, AEPD înțelege că articolul 10 alineatul (2) litera (d) nu este destinat să permită autorităților naționale să solicite date de transfer de la furnizorii de „servicii de comunicații electronice destinate publicului” (16) (cum ar fi companiile de telefonie sau furnizorii de servicii de Internet).

51.

Într-adevăr, propunerea nu face deloc referire la acești furnizori și nici nu utilizează termenul de „date de transfer”. Este important, de asemenea, că nu face referire, nici implicit, nici explicit, la faptul că derogarea ar fi urmărită din cerințele stabilite prin Directiva e-Privacy (17), care stabilește principiul general că datele de transfer pot fi prelucrate ulterior numai în scopul facturării și efectuării de plăți on-line.

52.

Pentru a înlătura orice dubiu, AEPD recomandă să se menționeze clar în textul propunerii de regulament, cel puțin într-un considerent, faptul că propunerea nu prevede niciun temei juridic pentru a solicita date de la furnizorii de servicii de comunicații electronice destinate publicului.

53.

Mai mult, propunerea ar trebui să clarifice dacă autoritățile naționale de reglementare pot solicita înregistrări numai de la participantul la piață anchetat sau dacă acestea au competența de a solicita și unor terțe părți (cum ar fi o parte la o tranzacție încheiată cu participantul la piață anchetat sau un hotel în care a fost cazată o persoană fizică suspectată de utilizarea abuzivă a informațiilor confidențiale) să furnizeze propriile lor înregistrări.

54.

În final, propunerea ar trebui să stabilească și dacă autoritățile pot solicita, de asemenea, înregistrări private ale persoanelor fizice, cum ar fi angajați sau directori ai participantului la piață anchetat (de exemplu, mesaje-text trimise de pe dispozitive mobile personale sau istoricul de răsfoire al utilizării Internetului de la domiciliu stocat pe un calculator de la domiciliu).

55.

Proporționalitatea solicitării unor înregistrări private este discutabilă și – în cazul în care este prevăzută – ar trebui justificată în mod specific.

56.

La fel ca în cazul inspecțiilor la fața locului (a se vedea alineatele 35-40 de mai sus), propunerea ar trebui să impună obținerea unui mandat de la o autoritate judiciară, precum și garanții specifice suplimentare în cazul în care autoritățile solicită orice înregistrare privată.

57.

În ceea ce privește respectarea cooperării transfrontaliere, ACARE i-a fost atribuit un rol important, avertizând autoritățile naționale de reglementare cu privire la un potențial abuz de piață și facilitând schimbul de informații. Pentru a facilita cooperarea, articolul 11 alineatul (2) impune, de asemenea, în mod specific autorităților naționale de reglementare să informeze ACARE „cât mai exact cu putință” atunci când au motive întemeiate să suspecteze orice încălcare a propunerii de regulament. Pentru a asigura o abordare coordonată, articolul 11 alineatul (3) prevede, de asemenea, partajarea informațiilor între autoritățile naționale de reglementare, autoritățile financiare competente, ACARE, precum și Autoritatea Europeană pentru Valori Mobiliare și Piețe („AEVMP”) (18).

58.

În conformitate cu principiul limitării scopului (19), propunerea ar trebui să prevadă în mod explicit că toate datele cu caracter personal transferate în temeiul articolului 11 din propunerea de regulament (raportări privind presupuse abuzuri de piață) ar trebui utilizate numai în scopul anchetării presupusului abuz de piață raportat. În orice caz, informațiile nu ar trebui utilizate în alte scopuri incompatibile cu scopul respectiv.

59.

De asemenea, datele nu ar trebui reținute pentru perioade îndelungate. Acest lucru este cu atât mai important în acele cazuri în care se poate dovedi că suspiciunea inițială a fost neîntemeiată. În acele cazuri trebuie să existe o justificare specifică pentru reținerea ulterioară (20).

60.

În acest sens, propunerea ar trebui, în primul rând, să stabilească o perioadă maximă de reținere în care ACARE și alți beneficiari ai informațiilor să poată păstra datele, ținând seama de scopul stocării datelor. Cu excepția cazului în care un presupus abuz de piață a avut ca rezultat o anchetă specifică, iar aceasta nu s-a încheiat, toate datele cu caracter personal referitoare la presupusul abuz de piață raportat ar trebui șterse din înregistrările tuturor beneficiarilor după expirarea unei perioade stabilite. Cu excepția cazului în care prelungirea perioadei de reținere este justificată în mod clar, AEPD consideră că ștergerea acelor date ar trebui efectuată cel târziu după doi ani de la data raportării suspiciunii (21).

61.

În cazul în care suspiciunea se dovedește neîntemeiată și/sau ancheta este încheiată fără a fi impuse măsuri suplimentare, propunerea ar trebui să oblige autoritatea de reglementare care a efectuat raportarea, ACARE și orice parte terță cu acces la informații privind presupusul abuz de piață, să informeze imediat aceste părți, astfel încât acestea să își poată actualiza în consecință propriile înregistrări (și/sau să șteargă informațiile privind suspiciunea raportată din înregistrările lor imediat sau după expirarea unei perioade corespunzătoare de reținere, în funcție de caz) (22).

62.

Aceste dispoziții ar trebui să garanteze că, în cazurile în care suspiciunea nu a fost confirmată (sau chiar anchetată suplimentar) sau în cazurile în care s-a stabilit că suspiciunea este neîntemeiată, persoanele fizice nevinovate nu vor figura în continuare pe o „listă neagră” și nu vor fi considerate „suspecte” pe o perioadă nejustificat de lungă [a se vedea articolul 6 litera (e) din Directiva 95/46/CE și articolul corespunzător 4 litera (e) din Regulamentul (CE) nr. 45/2001].

63.

Articolele 7, 8 și 11 din propunerea de regulament prevăd schimburile de date și informații între ACARE, AEVMP și autoritățile statelor membre. Articolul 14 („Relații cu țările terțe”) prevede că ACARE „poate încheia acorduri administrative cu organizațiile internaționale și cu administrațiile din țări terțe”. Aceasta poate determina transferul de date cu caracter personal de la ACARE și posibil și de la AEVMP și/sau de la autoritățile statelor membre către organizațiile internaționale și autoritățile din țări terțe.

64.

AEPD recomandă că articolul 14 din propunere clarifică faptul că datele cu caracter personal pot fi transferate numai în conformitate cu articolul 9 din Regulamentul (CE) nr. 45/2001 și articolele 25 și 26 din Directiva 95/46/CE. Mai precis, transferurile internaționale vor fi efectuate numai dacă țara terță în cauză garantează un nivel adecvat de protecție, sau către entități sau persoane fizice dintr-o țară terță care nu își permit să asigure o protecție adecvată, în cazul în care operatorul prezintă garanții corespunzătoare cu privire la protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor fizice și la exercitarea drepturilor corespunzătoare.

65.

AEPD subliniază că derogările [cum ar fi cele menționate la articolul 9 alineatul (6) din Regulamentul (CE) nr. 45/2001 și la articolul 26 alineatul (1) din directivă] nu ar trebui utilizate, în principiu, pentru a justifica transferurile masive, sistematice și/sau structurale de date către țările terțe.

66.

Este posibil ca o parte din datele partajate între ACARE, AEVMP și diferite autorități ale statelor membre privind presupuse încălcări să includă date cu caracter personal, cum ar fi identitatea presupușilor făptași sau a altor persoane fizice implicate (de exemplu, martori, denunțători, angajați sau alte persoane care acționează în numele întreprinderilor implicate în tranzacție).

67.

Articolul 27 alineatul (1) din Regulamentul (CE) nr. 45/2001 prevede că „operațiunile de prelucrare care pot prezenta riscuri specifice prin natura, domeniul de aplicare sau scopurile lor privind drepturile și libertățile persoanelor vizate fac obiectul unei verificări prealabile de către Autoritatea Europeană pentru Protecția Datelor”. Articolul 27 alineatul (2) confirmă în mod specific că prelucrarea de date referitoare la „presupuse infracțiuni” și „infracțiuni” prezintă astfel de riscuri și necesită verificarea prealabilă. Având în vedere rolul prevăzut pentru ACARE în coordonarea anchetelor, pare probabil că aceasta va prelucra date referitoare la „presupuse infracțiuni” și, astfel, activitățile sale vor face obiectul verificării prealabile (23).

68.

În cadrul unei proceduri de verificare prealabilă, AEPD poate furniza ACARE orientări suplimentare și recomandări specifice cu privire la respectarea normelor de protecție a datelor. De asemenea, verificarea prealabilă a activităților ACARE poate aduce o valoare adăugată, având în vedere că Regulamentul (CE) nr. 713/2009 de instituire a ACARE nu conține nicio trimitere la protecția datelor cu caracter personal și nu a făcut obiectul unui Aviz legislativ al AEPD.

69.

Propunerea ar trebui să clarifice dacă datele cu caracter personal pot fi prelucrate în contextul monitorizării pieței și raportării datelor și ce garanții se vor aplica. Dacă, în schimb, nu se prevede prelucrarea datelor cu caracter personal (sau aceasta ar fi doar excepțională și s-ar limita la cazuri rare în care un trader de pe piața angro de energie ar putea fi o persoană fizică și nu o entitate juridică), acest aspect ar trebui stabilit în mod clar în propunere, cel puțin într-un considerent.

70.

Dispozițiile privind protecția datelor, securitatea datelor și responsabilitatea ar trebui clarificate și consolidate suplimentar, în special în cazul în care prelucrarea datelor cu caracter personal ar juca un rol mai structural. Comisia ar trebui să instituie controale adecvate care să asigure respectarea normelor de protecție a datelor și să facă dovada respectării („responsabilitate”).

71.

Propunerea ar trebui să clarifice dacă inspecțiile la fața locului s-ar limita la proprietatea comercială (incinte și vehicule) a unui participant la piață sau s-ar aplica și proprietăților private (incinte sau vehicule) ale persoanelor fizice. În cel de-al doilea caz, necesitatea și proporționalitatea acestei competențe ar trebui justificată în mod clar, fiind necesară obținerea unui mandat judiciar și a unor garanții suplimentare. Acest aspect ar trebui prevăzut în mod clar în propunerea de regulament.

72.

Ar trebui clarificat domeniul de aplicare al competențelor de a solicita „înregistrările telefonice existente și înregistrările transferurilor de date existente”. Propunerea ar trebui să specifice în mod neechivoc ce înregistrări pot fi solicitate și de la cine. Textul propunerii de regulament ar trebui să menționeze în mod explicit, cel puțin într-un considerent, că furnizorilor de servicii de comunicații electronice destinate publicului nu le pot fi solicitate date. De asemenea, propunerea ar trebui să clarifice dacă autoritățile pot solicita înregistrările private ale persoanelor fizice, cum ar fi angajați sau directori ai participantului la piață anchetat (de exemplu, mesaje-text trimise de pe dispozitive mobile personale sau istoricul de răsfoire al utilizării Internetului de la domiciliu). Dacă este cazul, necesitatea și proporționalitatea acestei competențe ar trebui justificată în mod clar, iar propunerea ar trebui, de asemenea, să impună obținerea unui mandat de la o autoritate judiciară.

73.

În ceea ce privește raportarea unui presupus abuz de piață, propunerea ar trebui să prevadă în mod explicit că toate datele cu caracter personal cuprinse în aceste rapoarte ar trebui utilizate numai în scopul anchetării presupusului abuz de piață raportat. Cu excepția cazului în care un presupus abuz de piață a avut ca rezultat o anchetă specifică, iar aceasta nu s-a încheiat (sau o suspiciune s-a dovedit întemeiată și a avut ca rezultat o anchetă de succes), toate datele cu caracter personal referitoare la presupusul abuz de piață raportat ar trebui șterse din înregistrările tuturor beneficiarilor după expirarea unei perioade stabilite (cu excepția unei justificări contrare, cel târziu după doi ani de la data raportării). În plus, părțile la un schimb de informații ar trebui, de asemenea, să își transmită reciproc o actualizare în cazul în care o suspiciune se dovedește neîntemeiată și/sau o anchetă este încheiată fără a se impune măsuri suplimentare.

74.

Referitor la transferurile de date cu caracter personal către țările terțe, propunerea ar trebui să clarifice că, în principiu, transferurile pot fi efectuate către entități sau persoane fizice dintr-o țară terță care nu își permit să asigure o protecție adecvată, în cazul în care operatorul prezintă garanții corespunzătoare cu privire la protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor fizice și la exercitarea drepturilor corespunzătoare.

75.

ACARE ar trebui să își prezinte activitățile de prelucrare a datelor cu caracter personal către AEPD pentru verificare prealabilă cu privire la coordonarea anchetelor în temeiul articolului 11 din propunerea de regulament.