g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Autorizzazione
  4. Provvedimento del 17 maggio 2023 [9904047]

Provvedimento del 17 maggio 2023 [9904047]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9904047]

Provvedimento del 17 maggio 2023

Registro dei provvedimenti
n. 196 del 17 maggio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTO l’art. 46 del Regolamento, il quale prevede che:

- in mancanza di una decisione di adeguatezza della Commissione dell’Unione europea ai sensi dell’art. 45, par. 3, il titolare o il responsabile del trattamento può trasferire dati personali verso un Paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi (par. 1);

- fatta salva l’autorizzazione dell’Autorità di controllo competente, possono altresì costituire in particolare garanzie adeguate le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati (par. 3, lett. b));

- in tali casi l’Autorità di controllo applica il meccanismo di coerenza di cui all’art. 63 (par. 4);

VISTA la nota della CONSOB – Commissione nazionale per le società e le Borsa del 26 gennaio 2023, con la quale ha chiesto al Garante, ai sensi dell’art. 46, par. 3, lett. b), del Regolamento, di autorizzare il progetto di Data protection agreement (di seguito, DPA) che la medesima Commissione intende sottoscrivere con il Public Company accounting oversight board (di seguito, PCAOB, ossia l’autorità non governativa di vigilanza USA sui revisori contabili), in sostituzione dell’accordo vigente – che integra lo Statement of protocol (di seguito, SOP) del 2016 – volto a regolare il trasferimento di dati personali a tale ultimo organismo nell’attività di cooperazione per fini di vigilanza ed enforcement per agevolare l’assolvimento delle rispettive funzioni di controllo, ispezioni e indagine sui revisori che ricadono sotto la vigilanza di entrambe le autorità, ai sensi di quanto previsto dall’art. 33 del d.lgs. 27 gennaio 2010, n. 39 e dall’art. 4, commi 3 e 5-bis, del d.lgs. 24 febbraio 1998, n.  58;

VISTO il Parere 5/2021 sul progetto di accordo amministrativo per il trasferimento di dati personali tra l'Haut Conseil du Commissariat aux Comptes (H3C) e il Public Company Accounting Oversight Board (PCAOB), adottato dal Comitato europeo per la protezione dei dati (di seguito, Comitato), ai sensi dell’art. 64, par. 2, del Regolamento, il 2 febbraio 2021;

VISTO che nella predetta nota la CONSOB ha dichiarato che:

- “i contenuti del progetto di accordo sono allineati al progetto di accordo amministrativo per il trasferimento di dati personali tra l’autorità di vigilanza francese sui revisori H3C e il PCAOB che ha formato oggetto di avallo generale da parte dell’European Data Protection Board (“EDPB”) con Parere n. 5 del 2021” (sopra citato);

- rispetto al testo sottoposto all’esame del Comitato, che riguarda i trasferimenti posti in essere tra la competente autorità di vigilanza francese e il PCAOB, sono state apportate limitate variazioni per dare attuazione al quadro normativo nazionale e inserite “alcune previsioni rafforzative della protezione dei dati personali già inserite dall’autorità di vigilanza sui revisori belga nel proprio accordo di data protection con l’autorità statunitense, stipulato successivamente”;

- nell’impegnarsi a rispettare il DPA, verrà data informazione al Garante “in merito a qualsiasi sospensione nei flussi di trasferimenti di dati personali al PCAOB ai sensi dell’accordo nonché all’eventuale revisione o cessazione dell’accordo medesimo, per le valutazioni del caso”;

- pubblicherà sul proprio sito il DPA unitamente alla “comunicazione generale agli interessati in esso prevista, precisando la base giuridica per il trasferimento dei dati personali al PCAOB”;

RILEVATO che il progetto di DPA in esame contiene, in particolare, le seguenti garanzie necessarie a rispettare l’art. 46, par. 3, lett. b), del Regolamento:

- in ossequio ai principi di liceità e correttezza e di limitazione della finalità (art. 5, par. 1, lett. a) e b), del Regolamento), viene previsto che i dati personali trasferiti dalla CONSOB al PCAOB possano essere trattati da quest’ultimo esclusivamente al fine di svolgere le proprie funzioni di regolazione in materia di revisione dei conti conformemente alla legislazione USA (cfr. Sarbanes-Oxley Act del 2002, ossia per il controllo dei revisori, delle ispezioni e delle indagini sulle imprese di revisione contabile registrate e sulle persone associate soggette alla regolamentazione del PCAOB e della CONSOB), per cui il PCAOB non sarà autorizzato a trattare, per finalità diverse da quelle stabilite nel DPA, i dati personali che riceve, in attuazione dello stesso (art. III.1);

- in ossequio al principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento), la CONSOB trasferirà al PCAOB documenti contenenti dati personali solo su richiesta e solo se, ove richiesto, il PCAOB indichi le ragioni per le quali necessita di accedere a tali documenti, fermo restando che tali dati potranno essere principalmente i nominativi e le informazioni relative alle attività professionali delle singole persone che sono state responsabili o hanno partecipato alle attività di audit sottoposte a controlli durante un'ispezione o un'indagine, o che svolgono un ruolo significativo nella gestione e nel controllo di qualità riferito alla società di revisione, escludendo che siano oggetto di trasferimento le categorie di dati personali di cui agli artt. 9 e 10 del Regolamento (art. III.6);

- in ossequio al principio di esattezza (art. 5, par. 1, lett. d), del Regolamento), le parti dovranno darsi reciproca informativa nell’ipotesi in cui divengano consapevoli di eventuali inesattezze nei dati trasferiti o ricevuti e dovranno apportare le opportune rettifiche (art. III.2);

- in ossequio al principio di liceità, correttezza e trasparenza e ai relativi obblighi informativi nei confronti degli interessati (artt. 5, par. 1, lett. a), e 12-14 del Regolamento), sono individuate misure volte ad assicurare la trasparenza del DPA e dei trasferimenti di dati personali che da esso derivano, nonché l’esercizio dei diritti di cui agli artt. 15 e ss. del Regolamento (artt. III.3 e III.5);

- in ossequio al principio di integrità e riservatezza e agli obblighi di sicurezza (artt. 5, par. 1, lett. f), 24, 32, e 33 del Regolamento), sono individuate misure tecniche e organizzative per evitare la distruzione, la perdita, l'alterazione, la divulgazione o l'accesso accidentali o illegali ai dati personali (art. III.4);

- vengono introdotte restrizioni a successivi trasferimenti di dati personali da parte del PCAOB, che potranno avvenire unicamente verso i soggetti specificamente indicati nell'allegato II del DPA (inclusi l’Attorney general e gli State Attorneys general), a condizione che la CONSOB abbia prestato il preventivo consenso scritto e la terza parte destinataria fornisca garanzie adeguate e coerenti con quelle del DPA. Solo nel caso di successivi trasferimenti di dati personali alla SEC il PCAOB sarà esonerato dalla necessità di richiedere tale consenso. Se il PCAOB decide di comunicare i dati personali senza il consenso scritto della CONSOB, notificherà a quest'ultima la propria intenzione in merito alla comunicazione dei dati e la CONSOB potrà quindi decidere se sospendere il trasferimento dei dati personali, comunicandolo al Garante. Inoltre, in via eccezionale, quando la terza parte non è in grado di fornire le adeguate garanzie, i dati personali possono essere comunicati a tale parte con il consenso della CONSOB se la comunicazione è fondata su importanti motivi di interesse pubblico riconosciuti negli USA e in Italia o nell'UE, oppure se è necessaria per far valere, esercitare o difendere un diritto in sede giudiziaria. Per quanto riguarda il trasferimento di dati personali alla SEC, il PCAOB otterrà da questa garanzie adeguate, coerenti con le garanzie previste nel DPA, e, inoltre, il PCAOB informerà periodicamente la CONSOB della natura dei dati personali comunicati e del motivo di tali comunicazioni, a condizione che tali informazioni non mettano a repentaglio un'indagine in corso. Infine, un interessato può richiedere alla CONSOB determinate informazioni relative ai propri dati personali trasferiti dalla stessa al PCAOB, e spetterà alla CONSOB fornire tali informazioni conformemente alle disposizioni applicabili del Regolamento e del Codice (art. III.7);

- è previsto un meccanismo di ricorso per l’interessato, che può rivolgersi sia alla CONSOB che al PCAOB che a entrambi. Ove la CONSOB ritenga che il PCAOB non abbia agito in modo coerente con le garanzie previste dal DPA, può sospendere i trasferimenti finché la questione non sia stata risolta in modo soddisfacente informandone l'interessato. In ogni caso, l'interessato può esercitare il diritto a presentare ricorso in sede giudiziaria o amministrativa (anche ai fini del risarcimento dei danni) secondo la disciplina italiana in materia di protezione dei dati personali (art. III.8);

- viene stabilito un meccanismo di controllo che garantisca l’attuazione delle garanzie del DPA, consistente in una combinazione di controlli interni ed esterni. Per quanto riguarda i controlli interni, ciascuna delle parti condurrà revisioni periodiche delle proprie politiche e procedure di attuazione delle garanzie dell'accordo amministrativo, informandone l’altra parte. Per quanto riguarda i controlli esterni, a seguito di richiesta della CONSOB di condurre una revisione indipendente della conformità alle garanzie previste dal DPA, il PCAOB comunicherà all'Office of internal oversight and performance assurance (di seguito, “IOPA”, ossia un ufficio indipendente del PCAOB) di eseguire un controllo per accertare e confermare l'effettiva attuazione di tali garanzie, all’esito del quale fornirà alla CONSOB una sintesi dei risultati della propria valutazione, previa approvazione da parte del consiglio direttivo del PCAOB. Nel caso in cui la CONSOB non abbia ricevuto i risultati del controllo condotto dall'IOPA e ritenga che il PCAOB non abbia agito in modo coerente con le garanzie specificamente riferite ai suoi obblighi ai sensi del DPA, la CONSOB può sospendere i trasferimenti verso il PCAOB finché la questione non sia stata risolta in modo soddisfacente dal PCAOB stesso, comunicandolo al Garante. (art. III.9);

CONSIDERATO che il Comitato, nel richiamato parere 5/2021 reso ai sensi dell’art. 64, par. 2, del Regolamento, ha ritenuto che “il progetto di accordo amministrativo attualmente sottoposto all'EDPB per il necessario parere potrebbe essere considerato da altre autorità di audit del SEE come un modello da seguire per inquadrare lo stesso tipo di trasferimenti di dati personali al PCAOB nei propri accordi amministrativi specifici, che a loro volta devono essere sottoposti all'autorità di controllo competente per la necessaria autorizzazione” (punto 5);

RITENUTO, pertanto, che le garanzie individuate nel predetto progetto di DPA in esame siano idonee ad assicurare un livello adeguato di protezione dei dati ai sensi degli artt. 44 e ss. del Regolamento, poiché in linea con quelle contenute nel progetto di accordo tra l’autorità francese di vigilanza e il PCAOB su cui il Comitato si è pronunciato con il parere 5/2021;

RILEVATA la peculiare natura giuridica del progetto di DPA in esame, che non risulta essere uno strumento giuridicamente vincolante ai sensi dell’art. 46, par. 2, lett. a), del Regolamento;

RITENUTO, pertanto, indispensabile che, al fine di assicurare un livello adeguato di protezione in caso di trasferimento dei dati verso un Paese terzo, le parti firmatarie dell’accordo rispettino pienamente tutte le clausole previste nel progetto in esame, fermo restando che il Garante si riserva di vigilare sull’applicazione pratica della DPA e sui conseguenti trattamenti di dati personali, verificando, in particolare, il rispetto degli artt. III.7, III.8 e III.9 relativi ai trasferimenti successivi e ai meccanismi di ricorso e di controllo, al fine di garantire che gli interessati dispongano di diritti effettivi e azionabili e di adeguati mezzi di ricorso e che sia effettivamente verificata la conformità all'accordo amministrativo;

RILEVATO che il progetto di accordo in esame, approvato in via preliminare da questa Autorità nell’adunanza del 13 aprile, è stato sottoposto ai membri del Comitato, tramite procedura con votazione scritta – avviata in data 20 aprile 2023 ai sensi degli artt. 46, par. 4, 63 e 64, par. 3, del Regolamento – e che, in tale sede, non è stata ritenuta necessaria l’adozione di un ulteriore parere del Comitato al riguardo, rispetto al citato parere n. 5/2021;

CONSIDERATO, infine, che il Garante si riserva di sospendere i flussi di dati personali effettuati dalla CONSOB verso il PCAOB, ai sensi dell’art. 58, par. 2, lett. j), del Regolamento, ove non venga assicurato il rispetto delle garanzie adeguate ai sensi del Regolamento;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 46, par. 3, lett. b) e 58, par.  3, lett. i), del Regolamento, autorizza la CONSOB a stipulare il progetto di accordo amministrativo per il trasferimento di dati personali tra la CONSOB medesima e il Public Company accounting oversight board dell’ordinamento degli USA, volto ad agevolare l’assolvimento delle rispettive funzioni di controllo, ispezioni e indagine sui revisori che ricadono sotto la vigilanza di entrambe le autorità, a condizione che le parti firmatarie dell’accordo rispettino pienamente tutte le clausole ivi previste.

Roma, 17 maggio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi

 

Scheda

Doc-Web
9904047
Data
17/05/23

Argomenti

Informativa Borsa Trasferimento dati all'estero Autorità indipendenti Minimizzazione

Tipologie

Autorizzazione