g-docweb-display Portlet

Autorizzazione alla CONSOB per sottoscrivere un accordo amministrativo per il trasferimento di dati personali tra le autorità di vigilanza finanziaria dello Spazio economico europeo (SEE) e le autorità di vigilanza finanziaria al di fuori del SEE - 23 maggio 2019 [9119857]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE: Newsletter del 21 giugno 2019

 

[doc. web n. 9119857]

Autorizzazione alla CONSOB per sottoscrivere un accordo amministrativo per il trasferimento di dati personali tra le autorità di vigilanza finanziaria dello Spazio economico europeo (SEE) e le autorità di vigilanza finanziaria al di fuori del SEE - 23 maggio 2019

Registro dei provvedimenti
n. 119 del 23 maggio 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;

VISTO il decreto legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Codice in materia di protezione dei dati personali, decreto legislativo 30 giugno 2003, n. 196, così come modificato dal predetto decreto legislativo n. 101 del 2018;

VISTO l’art. 46 del Regolamento, il quale prevede che, in mancanza di una decisione di adeguatezza della Commissione dell’Unione Europea ai sensi dell’art. 45, § 3, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi e che, in particolare, fatta salva l’autorizzazione dell’autorità di controllo competente, possono altresì costituire garanzie adeguate le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati (art. 46, § 1 e § 3, lett. b));

VISTO, inoltre, che il medesimo art. 46, § 4, del Regolamento prevede che in tali casi l’autorità di controllo applichi il meccanismo di coerenza di cui all’art. 63 del Regolamento;

VISTA la nota della Commissione Nazionale per le Società e le Borsa (CONSOB) del 6 maggio 2019, successivamente integrata con le note del 10 e del 15 maggio 2019, con la quale ha chiesto al Garante, ai sensi dell’art. 46, § 3, lett. b) del Regolamento, di autorizzare un progetto di accordo amministrativo per il trasferimento di dati personali tra le autorità di vigilanza finanziaria dello Spazio economico europeo (SEE) e le autorità di vigilanza finanziaria al di fuori del SEE, che la stessa intende sottoscrivere nell’ambito dell’attività di cooperazione internazionale con omologhe autorità di Paesi terzi a fini di vigilanza e di enforcement, ai sensi dell’art. 4 del d.lgs. 24 febbraio 1998, n.  58, con particolare riferimento ai commi 3 e 5-bis;

VISTO che la CONSOB ha dichiarato che il predetto progetto è stato definito, facendo seguito a vari cicli di discussioni, dall’Autorità europea degli strumenti finanziari e dei mercati (ESMA) e dall’Organizzazione internazionale delle commissioni sui valori mobiliari (IOSCO) e che lo stesso è stato sottoposto all’attenzione del Comitato europeo per la protezione dei dati personali il 2 gennaio 2019;

VISTO il Parere del Comitato sul progetto di accordo amministrativo per il trasferimento di dati personali tra le autorità di vigilanza finanziaria dello Spazio economico europeo (SEE) e le autorità di vigilanza finanziaria al di fuori del SEE, adottato, ai sensi dell’art. 64, § 2, del Regolamento, il 12 febbraio 2019 (cfr. Parere n. 4/2019);

RILEVATO che il progetto di accordo in esame contiene le seguenti garanzie necessarie a rispettare l’art. 46, § 3, lett. b), individuate anche nel predetto parere del Comitato:

1. Definizioni di concetti-chiave e diritti dell’interessato come presenti nel Regolamento: la sezione II del progetto contiene le definizioni pertinenti necessarie per determinare il campo di applicazione dell’accordo stesso e la sua applicazione uniforme. Tra queste vi sono alcune definizioni dei concetti e dei diritti chiave propri del quadro giuridico europeo sulla protezione dei dati, quali “dato personale”, “trattamento”, “violazione dei dati personali”, “diritto di accesso”, “diritto di cancellazione”, che sono in linea con le definizioni contenute nel regolamento generale sulla protezione dei dati;

2. Principio della limitazione delle finalità e divieto di qualsiasi ulteriore utilizzo: la sezione III del progetto parte dalla premessa che le autorità hanno responsabilità e mandati normativi specifici, che comprendono la tutela degli investitori o dei clienti e la promozione dell’integrità e della fiducia nei mercati dei titoli e/o dei derivati. In base al principio della limitazione delle finalità, i trasferimenti possono quindi aver luogo solo nel quadro di tali mandati e responsabilità, ossia se sono necessari per sostenere i compiti istituzionali delle autorità, e l’autorità ricevente non è autorizzata a trattare successivamente i dati personali in modo incompatibile con tali finalità;

3. Principi della qualità dei dati e della proporzionalità: ai sensi della sezione III, n. 2, del progetto, l’autorità trasferente si limita a trasferire dati personali esatti e aggiornati che siano adeguati, pertinenti e limitati a quanto necessario per le finalità per le quali sono trasferiti e successivamente trattati. Ogni autorità informa l’altra se viene a conoscenza del fatto che i dati personali trasferiti non sono corretti. Tenuto conto delle finalità per le quali i dati personali sono stati trasferiti e successivamente trattati, ciascuna autorità integra, cancella, blocca, corregge o rettifica altrimenti i dati personali, a seconda del caso;

4. Principio della trasparenza: ogni autorità fornirà agli interessati un’informativa generale sul trattamento effettuato, indicante tra l’altro il trasferimento, le tipologie di soggetti cui i dati possono essere trasferiti, i diritti di cui gli interessati dispongono a norma di legge, le relative modalità di esercizio, informazioni su eventuali differimenti o limitazioni all’esercizio di tali diritti e le informazioni di contatto per proporre ricorso o reclamo. Detta informativa sarà fornita mediante pubblicazione, insieme all’accordo amministrativo, sul sito web di ciascuna autorità. Inoltre, le autorità del SEE forniranno agli interessati un’informativa individuale conformemente al regolamento generale sulla protezione dei dati e, nel caso dell’ESMA, conformemente al regolamento (UE) 2018/1725;

5. Principio della conservazione dei dati: come disposto dalla sezione III, n. 7, del progetto, le autorità conserveranno i dati personali per un arco di tempo non superiore a quello necessario al conseguimento della finalità per la quale i dati sono trattati nel rispetto della normativa applicabile;

6. Misure di sicurezza e di riservatezza: la sezione III, n. 4, del progetto prevede che ogni autorità ricevente predisponga misure tecniche e organizzative adeguate per proteggere i dati personali che le vengono trasferiti da accesso accidentale o illecito, distruzione, perdita, alterazione o divulgazione non autorizzata, ad esempio contrassegnando le informazioni come “dati personali” e restringendo gli accessi alle stesse. L’accordo amministrativo prevede inoltre che, qualora l’autorità ricevente venga a conoscenza di una violazione dei dati personali, essa ne informi quanto prima l’autorità trasferente e usi mezzi ragionevoli e adeguati per porre rimedio alla violazione dei dati personali e ridurre al minimo i potenziali effetti negativi;

7. Garanzie per i diritti dell’interessato: la sezione III, n. 5, del progetto prevede garanzie per i diritti dell’interessato. L’interessato può ottenere conferma dell’eventuale trasferimento dei suoi dati a un’autorità di vigilanza finanziaria al di fuori del SEE. Su richiesta, l’interessato avrà accesso ai suoi dati personali. Inoltre, l’interessato può chiedere direttamente all’autorità di vigilanza finanziaria interessata o all’autorità di vigilanza finanziaria al di fuori del SEE di rettificare, cancellare, limitare o bloccare i suoi dati. Le informazioni relative a tali garanzie devono essere fornite sul sito web dell’autorità di vigilanza finanziaria/dell’autorità di vigilanza finanziaria al di fuori del SEE. Qualsiasi restrizione a tali diritti deve essere prevista per legge ed è consentita solo nella misura e per il periodo in cui sia necessaria per tutelare la riservatezza o per conseguire obiettivi importanti di interesse pubblico generale che, quando l’autorità trasferente è un’autorità di vigilanza finanziaria del SEE, devono essere riconosciuti dallo Stato membro di appartenenza di detta autorità (ad esempio, prevenzione di un pregiudizio alle funzioni di vigilanza/rispetto delle norme);

8.  Limitazioni ai trasferimenti successivi: i trasferimenti successivi verso un soggetto terzo, che non sia un’autorità partecipante all’accordo amministrativo, in un altro paese che non sia oggetto di una decisione di adeguatezza della Commissione europea avranno luogo unicamente con il previo consenso scritto dell’autorità trasferente e purché il terzo fornisca garanzie adeguate che siano coerenti con quelle previste dall’accordo amministrativo. Le stesse garanzie sono previste in caso di comunicazione dei dati personali a un terzo nello stesso paese dell’autorità ricevente, a meno che, in casi eccezionali, tale terzo non possa fornire le suddette garanzie. In tale frangente, il trasferimento può aver luogo solo se la comunicazione è necessaria “per importanti motivi di interesse pubblico”. Quando l’autorità trasferente è un’autorità di vigilanza finanziaria del SEE, l’interesse pubblico deve essere riconosciuto dallo Stato membro di appartenenza di detta autorità. I dati personali possono essere comunicati a un terzo nello stesso paese dell’autorità ricevente (quali enti pubblici, organi giurisdizionali, organismi di autoregolamentazione e soggetti partecipanti a procedimenti di esecuzione) senza il consenso dell’autorità trasferente o in assenza di garanzie solo in due casi: i) se la finalità per cui i dati personali sono comunicati e utilizzati è coerente con la finalità per la quale i dati sono stati inizialmente trasferiti o con il quadro generale di utilizzo dichiarato nella specifica richiesta iniziale dell’autorità ricevente, e la comunicazione è necessaria per adempiere il mandato e le responsabilità dell’autorità ricevente e/o del terzo; ii) quando la comunicazione di dati personali fa seguito a una richiesta giuridicamente vincolante o è obbligatoria per legge. L’autorità ricevente informerà l’autorità trasferente prima della comunicazione e fornirà informazioni sui dati richiesti, sull’organismo richiedente e sulla base giuridica per la comunicazione stessa. L’autorità ricevente si adopererà per limitare la comunicazione dei dati personali ricevuti a norma dell’accordo amministrativo, in particolare facendo valere tutte le esenzioni e i privilegi giuridici applicabili.

9. Ricorso: la sezione III, n. 8, dell’accordo amministrativo prevede un meccanismo di ricorso. Tale meccanismo garantisce il diritto di ottenere riparazione e, se del caso, un risarcimento. In caso di inosservanza dell’accordo amministrativo, compresa la violazione dei diritti dell’interessato, può essere esercitato ricorso dinanzi a un organo competente (ad esempio un organo giurisdizionale). Il ricorso dinanzi all’organo competente sarà conforme ai requisiti di legge applicabili, garantendo che i diritti dell’interessato in relazione ai principi e alle garanzie previsti dall’accordo amministrativo possano essere fatti valere effettivamente. L’autorità trasferente sarà informata di qualsiasi ricorso o reclamo e le autorità delle due parti si adopereranno per risolvere la controversia o la pretesa in via amichevole. Qualora la questione non possa essere risolta in tal modo, saranno utilizzati altri metodi per comporre la controversia, compresi meccanismi non vincolanti di mediazione o meccanismi di risoluzione delle controversie. Se l’autorità trasferente ritiene che un’autorità ricevente non abbia agito conformemente alle garanzie previste dall’accordo amministrativo, ad esempio in quanto non ha seguito la decisione cui ha portato il meccanismo non vincolante di mediazione o il meccanismo di risoluzione delle controversie, l’autorità trasferente sospenderà qualsiasi trasferimento a norma dell’accordo amministrativo verso l’autorità ricevente finché la questione non sarà risolta in modo soddisfacente. Inoltre, il “gruppo di valutazione” (e tutte le altre autorità) ne sarà informato e, qualora stabilisca che vi è stato un “cambiamento dimostrato nella volontà o capacità [dell’autorità ricevente] di agire in conformità con [l’accordo amministrativo]”, potrà raccomandare di sospendere la partecipazione dell’autorità ricevente all’accordo amministrativo. Affinché gli interessati siano messi in grado di esercitare il loro diritto di ricorso, l’accordo amministrativo sarà reso pubblico;

10. Meccanismo di vigilanza: la sezione IV del progetto prevede un meccanismo di vigilanza esterno che assicuri l’attuazione delle garanzie dell’accordo amministrativo. Tale meccanismo consiste in una combinazione di riesami periodici condotti dal “Gruppo di valutazione” e internamente da ciascuna autorità di vigilanza finanziaria/autorità di vigilanza finanziaria al di fuori del SEE. La combinazione di vigilanza esterna e interna, nonché le possibili conseguenze di un riesame negativo - tra cui l’eventuale raccomandazione di sospendere la partecipazione dell’autorità all’accordo amministrativo - assicurano un livello di protezione soddisfacente;

RILEVATO, inoltre, che, secondo le indicazioni fornite dall’Ufficio ai rappresentanti della Commissione nel corso dell’istruttoria, al fine di assicurare il rispetto del principio di trasparenza del trattamento nei confronti degli interessati, la CONSOB, nella richiesta di autorizzazione, ha dichiarato che provvederà a pubblicare con adeguata evidenza sul proprio sito Internet, l’accordo amministrativo e la comunicazione generale agli interessati prevista dalla sezione III, n. 3, del medesimo, precisando altresì la base giuridica per il trasferimento di dati personali ad autorità di paesi terzi (art. 4 del d.lgs. n. 58/1998, spec. commi 3 e 5-bis);

RITENUTO che le garanzie individuate nel predetto progetto di accordo siano idonee ad assicurare un livello adeguato di protezione dei dati;

RILEVATA, tuttavia, la peculiare natura giuridica del progetto di accordo in esame che, come precisato anche dal Comitato, non risulta essere uno strumento giuridicamente vincolante ai sensi dell’art. 46, § 2, lett. a), del Regolamento;

RITENUTO, pertanto, indispensabile , al fine di assicurare un livello adeguato di protezione in caso di trasferimento dei dati verso un paese terzo, di dover autorizzare l’accordo amministrativo in esame come idonea garanzia per la protezione dei dati in vista del loro trasferimento transfrontaliero, a condizione che i firmatari rispettino pienamente tutte le clausole previste nel progetto in esame;

CONSIDERATO che il Garante sorveglierà l’applicazione pratica dell’accordo amministrativo - verificando il rispetto delle garanzie ivi previste, in particolare, nelle sezioni III, nn. 5, 6 e 8, e IV (relative ai diritti dell’interessato, ai trasferimenti successivi e ai meccanismi di ricorso e di vigilanza di conformità all’accordo amministrativo da parte del predetto Gruppo di valutazione) - le cui violazioni porterebbero alla sospensione dei flussi di dati effettuati dalla CONSOB ai sensi dell’art. 58, § 2, lett. j), del Regolamento;

CONSIDERATO che, a tal fine, occorre che la CONSOB informi il Garante di qualsiasi sospensione dei trasferimenti di dati personali in base alle sezioni II, n. 8 e IV dell’accordo in esame, nonché di qualsiasi revisione o sospensione della partecipazione all’accordo ai sensi della sezione V;

RITENUTO, inoltre, necessario che, al fine di agevolare i controlli del Garante, come raccomandato dal Comitato nel predetto parere, in ossequio al principio di accountability, la CONSOB, come le altre autorità di vigilanza e l’ESMA, conservi adeguata documentazione circa:

a) il numero di richieste e lamentate violazioni presentate dagli interessati a livello UE;

b) i dettagli sui casi non risolti mediante i previsti meccanismi di risoluzione delle controversie e sulle rispettive risultanze e sulle azioni intraprese dal previsto Gruppo di valutazione a seguito dei riesami periodici, comprese le azioni relative alla comunicazione di dati personali a norma della sezione III, n. 6. 2. 3, del progetto di accordo amministrativo;

c) le notifiche ricevute in merito alla comunicazione di informazioni a terzi da parte delle autorità di vigilanza finanziaria al di fuori del SEE, in seguito a una richiesta giuridicamente vincolante o per obbligo di legge;

RITENUTO parimenti necessario che, al fine di poter adeguatamente valutare l’effettività delle garanzie contenute nell’accordo in esame, la medesima documentazione sia messa a disposizione dell’Autorità su richiesta, e, per i primi due anni di applicazione, la CONSOB trasmetta al Garante una relazione annuale elaborata sulla base della predetta documentazione;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

TUTTO CIO’ PREMESSO, IL GARANTE

ai sensi degli artt. 46, par. 3, lett. b), e 58, par.  3, lett. i), del Regolamento, autorizza la CONSOB a sottoscrivere l’accordo amministrativo per il trasferimento di dati personali tra le autorità di vigilanza finanziaria dello Spazio economico europeo (SEE) e le autorità di vigilanza finanziaria al di fuori del SEE, a condizione che:

- i firmatari rispettino pienamente tutte le clausole dello stesso;

- il Gruppo di valutazione di cui alla sezione IV del progetto di accordo effettui un’adeguata attività di vigilanza di conformità all’accordo amministrativo;

- la CONSOB informi il Garante di qualsiasi sospensione dei trasferimenti di dati personali in base alle sezioni II, n. 8 e IV del progetto di accordo, nonché di qualsiasi revisione o sospensione della partecipazione all’accordo ai sensi della sezione V;

- la CONSOB, come le altre autorità di vigilanza e l’ESMA, conservi adeguata documentazione circa:

a) il numero di richieste e lamentate violazioni presentate dagli interessati a livello UE;

b) dettagli sui casi non risolti mediante i previsti meccanismi di risoluzione delle controversie e sulle rispettive risultanze e azioni del Gruppo di valutazione a seguito dei riesami periodici, comprese le azioni relative alla comunicazione di dati personali a norma della sezione III, n. 6. 2. 3, del progetto di accordo amministrativo;

c) le notifiche ricevute in merito alla comunicazione di informazioni a terzi da parte delle autorità di vigilanza finanziaria al di fuori del SEE, in seguito a una richiesta giuridicamente vincolante o per obbligo di legge;

- per i primi due anni di applicazione, la CONSOB trasmetta al Garante una relazione annuale elaborata sulla base della predetta documentazione e, per gli anni successivi, la medesima documentazione sia messa a disposizione dell’Autorità su richiesta.

Roma, 23 maggio 2019

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia