Garante europeo della protezione dei dati

Parere 21 giugno 2011, n. 2011/C 279/03

(Guue 23 settembre 2011 n. C/279)

Parere sulla proposta di regolamento del Parlamento europeo e del Consiglio concernente l'integrità e la trasparenza del mercato dell'energia

Il Garante europeo della protezione dei dati,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/Ce del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati1 ,

visto il regolamento (Ce) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati2 , in particolare l'articolo 41,

Ha adottato il seguente parere

 

I. Introduzione

1. L'8 dicembre 2010 la Commissione europea ha adottato una proposta di regolamento del Parlamento europeo e del Consiglio concernente l'integrità e la trasparenza del mercato dell'energia3 (in appresso "proposta").

2. Diversamente da quanto prescritto dall'articolo 28, paragrafo 2, del regolamento (Ce) n. 45/2001, la Commissione non ha consultato il Gepd. Agendo di propria iniziativa, il Gepd ha quindi adottato l'attuale parere in base all'articolo 41, paragrafo 2, del medesimo regolamento. Il Gepd, pur consapevole del fatto che questo documento giunge in una fase tardiva del processo legislativo, ritiene utile e appropriato emettere il presente parere viste le considerevoli implicazioni che la proposta potrebbe avere per il diritto alla vita privata e alla protezione dei dati. Il Gepd raccomanda di includere nel preambolo della proposta un riferimento al presente parere.

3. La proposta ha l'obiettivo principale di prevenire la manipolazione del mercato e le speculazioni sulla base di informazioni privilegiate (insider trading) nei mercati all'ingrosso dell'energia (elettricità e gas). L'integrità e la trasparenza dei mercati all'ingrosso, nei quali gas ed elettricità sono oggetto di negoziazioni tra imprese produttrici di energia e rivenditori, sono determinanti per i prezzi finali pagati dai consumatori.

4. A tale scopo, la proposta è intesa a stabilire norme esaustive a livello di Unione europea per evitare che i rivenditori possano utilizzare informazioni privilegiate a proprio vantaggio e manipolare il mercato facendo in modo che i prezzi si collochino artificialmente a un livello superiore a quello che sarebbe giustificato dalla disponibilità, dai costi di produzione, dalla capacità di stoccaggio o di trasporto dell'energia. In particolare, le norme proposte vietano quanto segue:

— l'utilizzo di informazioni privilegiate nella compravendita di energia a livello di mercati all'ingrosso; le informazioni esclusive che possono influire sui prezzi devono essere divulgate prima che possano svolgersi le negoziazioni,

— le transazioni che forniscono indicazioni false ovvero fuorvianti in merito all'offerta, alla domanda o ai prezzi dei prodotti energetici all'ingrosso,

— la diffusione di notizie false o incontrollate che forniscono indicazioni fuorvianti riguardo a tali prodotti.

5. La funzione di monitoraggio dei mercati a livello europeo per individuare possibili violazioni di tali divieti sarà affidata all'Agenzia per la cooperazione fra i regolatori nazionali dell'energia (in appresso "Acer")4 .

6. In base alla proposta, l'Acer avrà accesso tempestivo a informazioni sulle transazioni effettuate sui mercati all'ingrosso dell'energia, tra cui informazioni sui prezzi, sui quantitativi venduti e sulle parti coinvolte. Tali dati in blocco saranno condivisi anche con i regolatori nazionali che avranno quindi il compito di condurre indagini sui casi di sospetti abusi. Per gli abusi che hanno un impatto transfrontaliero, l'Acer avrà il potere di coordinare le indagini.

Le Autorità nazionali di regolamentazione degli Stati membri applicheranno le sanzioni.

7. La proposta fa seguito ad alcune altre proposte legislative recenti aventi lo scopo di rafforzare le disposizioni esistenti in materia di sorveglianza finanziaria e di migliorare il coordinamento e la cooperazione a livello di Ue, fra cui la direttiva relativa all'abuso di informazioni privilegiate e alla manipolazione del mercato ("direttiva Mad")5 , e la direttiva relativa ai mercati degli strumenti finanziari ("direttiva MiFid")6 . Di recente il Gepd si è espresso su un'altra di tali proposte7 .

 

II. Osservazioni e raccomandazioni del Gepd

 

8. La proposta prevede varie disposizioni relative alla protezione dei dati personali:

— gli articoli da 6 a 8 sul monitoraggio dei mercati e la comunicazione,

— l'articolo 9 sulla protezione dei dati e l'affidabilità operativa,

— gli articoli 10 e 11 sulle indagini e l'attuazione,

— l'articolo 14 sulle relazioni con i paesi terzi.

 

II.1. Monitoraggio dei mercati e comunicazione (articoli da 6 a 8)

 

Disposizioni pertinenti

9. La proposta è basata sul presupposto che per individuare gli abusi di mercato (i) è necessaria un'efficace azione di monitoraggio sul mercato con un accesso tempestivo a dati completi sulle transazioni e che (ii) ciò dovrebbe comprendere una supervisione del mercato a livello di Unione europea.

Il regolamento proposto stabilisce pertanto che l'Acer raccolga, esamini e condivida (con le competenti autorità nazionali e dell'Ue) una larga parte dei dati in blocco provenienti dai mercati dell'energia all'ingrosso.

10. In particolare, il regolamento proposto impone agli operatori di mercato di segnalare all'Acer "le operazioni effettuate" in prodotti energetici all'ingrosso e di fornirle informazioni relative alla "capacità degli stabilimenti di produzione, stoccaggio, consumo o trasporto dell'energia elettrica o del gas naturale".

11. La forma, il contenuto e la tempistica delle informazioni da fornire saranno stabiliti da atti delegati della Commissione.

 

Osservazioni e raccomandazioni del Gepd

12. Considerando che la proposta affida interamente agli atti delegati il compito di definire il contenuto delle informazioni da raccogliere nel quadro del monitoraggio dei mercati e della comunicazione, non si può escludere che possano essere coinvolti dati personali, vale a dire qualsiasi informazione concernente una persona fisica identificata o identificabile8 . In base alla normativa dell'Ue attualmente in vigore, la raccolta di tali dati è consentita soltanto qualora sia necessaria e proporzionata rispetto alla finalità specifica9 . Il regolamento proposto deve pertanto indicare con chiarezza se e in quale misura le informazioni sulle operazioni effettuate e sulla capacità da raccogliere ai fini del monitoraggio possono includere dati personali10 .

13. Se è previsto il trattamento di dati personali, possono essere necessarie anche garanzie specifiche riguardanti, per esempio, la limitazione della finalità, il periodo di conservazione e i possibili destinatari delle informazioni. Considerando il loro carattere essenziale, le garanzie di protezione dei dati devono essere stabilite direttamente nel testo del regolamento proposto anziché in atti delegati.

14. Se, per contro, non si prevede il trattamento di dati personali (o tale trattamento sarebbe soltanto eccezionale e limitato a rari casi, in cui un rivenditore di energia all'ingrosso potrebbe essere una persona fisica anziché una persona giuridica), questa circostanza dovrebbe essere chiaramente indicata nella proposta, almeno in un considerando.

 

II.2. Protezione dei dati e affidabilità operativa (articolo 9)

 

Disposizioni pertinenti

15. L'articolo 9, paragrafo 1, stabilisce che l'Acer "assicura la riservatezza, l'integrità e la protezione" delle informazioni ricevute ai sensi dell'articolo 7 (ossia le informazioni sulle operazioni e sulla capacità raccolte nel quadro dell'attività di monitoraggio del mercato). L'articolo 9 prevede inoltre che "laddove opportuno", l'Acer "opera nel rispetto" del regolamento (Ce) n. 45/2001 quando tratta dati personali ai sensi dell'articolo 7.

16. L'articolo 9, paragrafo 1, prevede inoltre che l'Acer "identifica le fonti di rischio operativo e le riduce al minimo attraverso lo sviluppo di sistemi, controlli e procedimenti appropriati".

17. Infine, in base all'articolo 9, paragrafo 2, l'Acer può decidere di mettere a disposizione del pubblico parte delle informazioni detenute "purché non siano divulgate informazioni commerciali sensibili su singoli operatori di mercato o su singole operazioni".

 

Osservazioni e raccomandazioni del Gepd

18. Il Gepd accoglie con favore il fatto che l'articolo 9 sia dedicato in parte alla protezione dei dati e che il regolamento proposto preveda specificamente che l'Acer operi nel rispetto del regolamento (Ce) n. 45/2001.

 

a) Applicabilità del regolamento (Ce) n. 45/2001 e della direttiva 95/46/Ce

19. Tenuto conto di quanto precede, il Gepd sottolinea che il regolamento (Ce) n. 45/2001 si applica pienamente all'Acer, in base al medesimo regolamento, ogni volta che tale Agenzia tratta dati personali. La proposta dovrebbe pertanto rammentare che il regolamento (Ce) n. 45/2001 si applica all'Acer non soltanto quanto tratta dati ai sensi dell'articolo 7, ma anche in tutte le altre situazioni, soprattutto anche quando l'Acer tratta dati personali in relazione a casi in cui siano sospettati abusi di mercato/violazioni ai sensi dell'articolo 11. Inoltre, per essere più precisi, il Gepd raccomanda di utilizzare la frase "ogniqualvolta si trattino dati personali" anziché l'espressione "laddove opportuno" per descrivere le situazioni in cui l'Acer deve operare nel rispetto del regolamento (Ce) n. 45/2001.

20. Va anche fatto riferimento alla direttiva 95/46/Ce considerando che tale direttiva si applica al trattamento di dati personali da parte delle autorità nazionali di regolamentazione coinvolte. Per motivi di chiarezza, il Gepd raccomanda che il regolamento proposto indichi in maniera generale (almeno in un considerando) che, mentre l'Acer è soggetta al regolamento (Ce) n. 45/2001, la direttiva 95/46/Ce si applica alle autorità nazionali di regolamentazione interessate.

 

b) Responsabilità

21. Il Gepd accoglie con favore il fatto che la proposta preveda che l'Acer identifichi le fonti di rischio operativo e le riduca al minimo attraverso lo sviluppo di sistemi, controlli e procedimenti appropriati. Per l'ulteriore rafforzamento del principio di responsabilità11 , se il trattamento dei dati personali svolge un ruolo strutturale, il regolamento proposto dovrebbe stabilire specificamente che l'Acer istituisca un quadro chiaro per la responsabilità che garantisca il rispetto delle norme relative alla protezione dei dati e ne fornisca la prova. Il quadro chiaro istituito dall'Agenzia dovrebbe contenere gli elementi di seguito indicati:

— adozione e aggiornamento, ove necessario, di una politica in materia di protezione dei dati sulla base di una valutazione d'impatto, che prenda in esame anche i rischi per la sicurezza; tale politica dovrebbe anche prevedere un piano per la sicurezza,

— esecuzione di audit periodici per valutare l'adeguatezza della politica in materia di protezione dei dati e la conformità alla medesima, verificando anche il piano per la sicurezza,

— divulgazione al pubblico (almeno in parte) dei risultati degli audit per assicurare alle parti interessate il rispetto delle norme relative alla protezione dei dati,

— notifica di violazioni dei dati e di altri problemi di sicurezza al responsabile per la protezione dei dati della Commissione, agli interessati e, ove opportuno, ad altre parti interessate e alle autorità12 .

22. Requisiti equivalenti dovrebbero essere previsti anche per le autorità nazionali di regolamentazione e altre autorità dell'Ue interessate.

 

c) Pubblicazione di informazioni da parte dell' Acer

23. Per quanto riguarda la disposizione di cui all'articolo 9, paragrafo 2, secondo cui l'Acer dovrebbe rendere disponibile al pubblico parte delle informazioni detenute, il Gepd ritiene che lo scopo di tale disposizione non sia autorizzare l'Acer a pubblicare dati allo scopo di "indicare i nomi dei colpevoli e metterli alla gogna" e di rendere noti al pubblico gli illeciti di imprese o singole persone.

24. Detto questo, la proposta non menziona se esista l'intenzione di comunicare al pubblico dati personali. Per evitare qualsiasi dubbio, il regolamento proposto dovrebbe pertanto prevedere specificamente che le informazioni pubblicate non contengano dati personali o chiarire quali eventuali dati personali possono essere comunicati.

25. Se devono essere pubblicati dati personali, occorre valutare con attenzione la necessità di comunicarli, ad esempio per motivi di trasparenza, tenendo conto anche di altre esigenze contrastanti come la necessità di tutelare il diritto alla vita privata e alla protezione dei dati personali degli interessati.

26. Pertanto, prima di comunicare qualsiasi dato personale, deve essere effettuata una valutazione della proporzionalità, tenendo conto dei criteri stabiliti dalla Corte di Giustizia europea nella causa Schecke13 . In questo caso, la Cge ha sottolineato che le deroghe e le limitazioni alla protezione dei dati personali devono operare entro i limiti dello stretto necessario. La CGE ha inoltre ritenuto che le Istituzioni europee dovrebbero valutare varie modalità di pubblicazione per trovare quella che sia conforme all'obiettivo della pubblicazione pur essendo meno lesiva del diritto degli interessati al rispetto della vita privata e alla protezione dei loro dati personali.

 

II.3. Poteri di indagine (articolo 10)

 

Disposizioni pertinenti

27. La proposta prevede che il monitoraggio dei mercati sia affiancato da un'attività di indagine laddove siano sospettati abusi, dando luogo se del caso a sanzioni adeguate.

L'articolo 10, paragrafo 1, in particolare, stabilisce che gli Stati membri attribuiscano alle autorità nazionali di regolamentazione i poteri di indagine necessari per garantire l'applicazione delle disposizioni del regolamento relative alle speculazioni basate su informazioni privilegiate e alla manipolazione dei mercati14 .

 

Osservazioni e raccomandazioni del Gepd

28. Il Gepd accoglie con favore il fatto che l'articolo 10, paragrafo 1, specifichi che (i) i poteri di indagine sono esercitati (soltanto) per garantire l'applicazione delle disposizioni del regolamento relative alle informazioni privilegiate e alla manipolazione dei mercati (articoli 3 e 4) e che (ii) tali poteri sono esercitati in modo proporzionato.

29. Detto questo, la proposta dovrebbe anche garantire la certezza giuridica e un adeguato livello di protezione dei dati personali. Come risulta evidente da quanto segue, il testo dell'articolo 10 nella formulazione proposta solleva due problemi principali. In primo luogo, l'articolo 10 non definisce con sufficiente chiarezza l'ambito dei poteri di indagine; per esempio, non è sufficientemente chiaro se possono essere richiesti tabulati telefonici privati o se può essere effettuato un sopralluogo in un'abitazione privata.

In secondo luogo, l'articolo 10 non prevede le garanzie procedurali necessarie contro il rischio di un'intrusione ingiustificata nella vita privata o di un uso improprio dei dati personali; per esempio, non richiede un mandato di un'Autorità giudiziaria.

30. Si presume che l'ambito dei poteri di indagine e le garanzie necessarie dovranno essere specificate dalla normativa nazionale.

In effetti, l'articolo 10, paragrafo 1, offre molte possibilità agli Stati membri stabilendo che i poteri di indagine possono essere esercitati "direttamente, in collaborazione con altre autorità o imprese del mercato o tramite il ricorso alle autorità giudiziarie competenti". Ne potrebbero conseguire divergenze nelle prassi nazionali, per esempio, per quanto riguarda se e in quali circostanze potrebbe essere richiesto un mandato di un'autorità giudiziaria.

31. Sebbene alcune normative nazionali possano già prevedere adeguate garanzie procedurali e di protezione dei dati, per assicurare la certezza giuridica agli interessati, nel regolamento proposto dovrebbero essere fornite alcune precisazioni e dovrebbero essere fissati requisiti minimi riguardo alle garanzie procedurali e di protezione dei dati a livello di Ue, come di seguito specificato.

32. Come principio generale, il Gepd sottolinea che, quando la normativa europea impone agli Stati membri dell'Ue di adottare a livello nazionale misure che hanno un effetto sui diritti fondamentali, come il diritto alla vita privata e alla protezione dei dati personali, la normativa dovrebbe anche prevedere misure efficaci da adottare contemporaneamente alle misure restrittive per assicurare la protezione dei diritti fondamentali in questione. In altre parole, l'armonizzazione di misure che potrebbero essere invasive della privacy, come i poteri di indagine, deve essere accompagnata dall'armonizzazione di adeguate garanzie procedurali e di protezione dei dati basate sulle migliori pratiche.

33. In questo modo sarebbe possibile evitare divergenze troppo ampie a livello nazionale e garantire un livello di protezione dei dati personali più elevato e uniforme in tutta l'Unione europea.

34. Se al momento non è fattibile un'armonizzazione delle garanzie minime, il Gepd raccomanda almeno che il regolamento proposto preveda specificamente che gli Stati membri adottino misure di attuazione nazionali per assicurare le garanzie procedurali e di protezione dei dati necessarie.

Questa esigenza risulta ancora più importante se si tiene conto che la forma di strumento giuridico scelta è un regolamento, che è direttamente applicabile e, in linea generale, non richiederebbe ulteriori misure di attuazione negli Stati membri.

 

II.4. Sopralluoghi (articolo 10, paragrafo 2, lettera c)

 

Disposizioni pertinenti

35. La proposta prevede che i poteri di indagine da conferire alle autorità nazionali di regolamentazione comprendano specificamente il diritto di condurre sopralluoghi (articolo 10, paragrafo 2, lettera c).

 

Osservazioni e raccomandazioni del Gepd

36. Non è chiaro se i sopralluoghi sarebbero limitati a proprietà ad uso commerciale (locali, terreni e veicoli) di un operatore di mercato o se potrebbero riguardare anche proprietà private (locali, terreni o veicoli) di persone fisiche. Non è chiaro neppure se i sopralluoghi possono essere effettuati anche senza preavviso (accertamenti "a sorpresa").

37. Se la Commissione prevede di richiedere agli Stati membri di consentire alle autorità di regolamentazione di effettuare sopralluoghi riguardo a proprietà private di persone fisiche o di effettuare sopralluoghi senza preavviso, questa circostanza dovrebbe essere, in primo luogo, chiaramente specificata.

38. In secondo luogo, il Gepd sottolinea inoltre che la proporzionalità dei sopralluoghi riguardanti proprietà private, come ad esempio l'abitazione privata di persone fisiche, è tutt'altro che ovvia e, qualora sia prevista, dovrebbe essere specificamente giustificata.

39. In terzo luogo, in questo caso sarebbero necessarie anche altre garanzie, in particolare per quanto riguarda le condizioni alle quali i sopralluoghi possono essere effettuati. Per esempio, e senza limitazione, la proposta dovrebbe specificare che un sopralluogo può essere effettuato nell'abitazione di una persona soltanto se esiste uno specifico sospetto ragionevole che in quella particolare abitazione si trovano prove che possono dimostrare una grave violazione degli articoli 3 e 4 del regolamento, ossia delle disposizioni relative al divieto di insider trading e di manipolazione del mercato. Soprattutto, la proposta dovrebbe anche prevedere la necessità di un mandato giudiziario in tutti gli Stati membri15 .

40. In quarto luogo, per garantire la proporzionalità ed evitare un'eccessiva ingerenza nella vita privata, i sopralluoghi annunciati in abitazioni private dovrebbero essere subordinati all'ulteriore condizione che, in caso di una visita annunciata, le prove potrebbero essere distrutte o manomesse.

Tale condizione dovrebbe essere chiaramente prevista nel regolamento proposto.

 

II.5. Potere di richiedere "i tabulati telefonici esistenti nonché i registri esistenti del traffico dati" (articolo 10, paragrafo 2, lettera d)

 

Disposizioni pertinenti

41. L'articolo 10, paragrafo 2, lettera d) prevede che i poteri delle autorità nazionali di regolamentazione comprendano anche specificamente il diritto di "richiedere i tabulati telefonici esistenti nonché i registri esistenti del traffico dati".

 

Osservazioni e raccomandazioni del Gepd

42. Il Gepd riconosce il valore dei tabulati telefonici e dei registri del traffico dati nei casi di insider trading, in particolare per stabilire un legame tra chi è in possesso di informazioni privilegiate e gli operatori. Detto questo, l'ambito di questo diritto non è sufficientemente chiaro, né sono previste adeguate garanzie procedurali e di protezione dei dati personali. Il Gepd raccomanda pertanto di chiarire la proposta come di seguito indicato. In particolare, dovrebbero essere presi in considerazione gli aspetti di seguito specificati.

 

a) Quali tipi di tabulati telefonici e di registri del traffico dati possono essere richiesti?

43. Ai fini della certezza giuridica, la proposta deve in primo luogo chiarire quali tipi di tabulati e di registri possono essere richiesti, se necessario, dalle autorità.

44. La proposta dovrebbe limitare specificamente l'ambito dei poteri di indagine al (i) contenuto dei tabulati telefonici e dei registri del traffico di e-mail e di dati già regolarmente e legalmente raccolti dagli operatori per motivi commerciali per fornire la prova delle transazioni eseguite, e ai (b) dati sul traffico, come ad esempio chi ha effettuato la telefonata o ha inviato le informazioni, a chi e quando, che possono essere già ottenuti direttamente dagli operatori di mercato interessati.

45. Inoltre, la proposta dovrebbe anche specificare che i tabulati e i registri devono essere raccolti per uno scopo legittimo e in conformità alle norme vigenti in materia di protezione dei dati, e che gli interessati devono essere adeguatamente informati ai sensi degli articoli 10 e 11 della direttiva 95/46/Ce.

 

b) A cosa si riferisce l'aggettivo "esistenti"?

46. Il Gepd accoglie con favore il fatto che la proposta limiti questo diritto ai tabulati e ai registri "esistenti" e che pertanto non preveda che le autorità di regolamentazione abbiano il potere di obbligare un operatore o una terza parte specificamente a intercettare, controllare o registrare il traffico telefonico o di dati ai fini di un'indagine.

47. Tuttavia, per evitare qualsiasi dubbio, questa intenzione deve essere ulteriormente chiarita, almeno in un considerando. Si deve evitare che si possa intendere che il regolamento proposto fornisca una base giuridica per le autorità nazionali di regolamentazione per intercettare, controllare o registrare le comunicazioni telefoniche o di dati, apertamente o segretamente, con o senza un mandato.

 

c) Può essere richiesto anche il contenuto delle conversazioni telefoniche e del traffico dati o possono essere richiesti soltanto i dati sul traffico?

48. Il testo della proposta fa riferimento ai "tabulati telefonici esistenti nonché i registri esistenti del traffico dati". Non è sufficientemente chiaro se possono essere richiesti sia il contenuto delle comunicazioni telefoniche e di dati esistenti sia i dati sul traffico (ad esempio, chi ha effettuato la telefonata o ha inviato le informazioni, a chi e quando).

49. Questo aspetto deve essere ulteriormente chiarito nelle disposizioni del regolamento proposto. Come indicato nei paragrafi da 43 a 45, è necessario in primo luogo che siano chiaramente specificati i tipi di tabulati e di registri che possono essere richiesti e che sia garantito che tali tabulati e registri siano raccolti nel rispetto delle normative vigenti in materia di protezione dei dati.

 

d) È possibile richiedere i tabulati e i registri ai fornitori di servizi internet e ai gestori delle telecomunicazioni?

50. La proposta dovrebbe specificare in maniera inequivocabile a chi le autorità nazionali di regolamentazione possono richiedere tabulati e registri. A questo proposito, il Gepd ritiene che l'articolo 10, paragrafo 2, lettera d), non sia inteso a consentire alle autorità nazionali di richiedere i dati sul traffico ai fornitori di "servizi di comunicazione elettronica accessibili al pubblico"16 , come ad esempio le compagnie telefoniche o i fornitori di servizi Internet.

51. In realtà, la proposta non fa alcun riferimento a tali fornitori e non utilizza l'espressione "dati sul traffico". Soprattutto, non fa neppure riferimento, implicito o esplicito, al fatto che si cerchi di ottenere una deroga alle disposizioni della direttiva relativa alla tutela della vita privata nel settore delle comunicazioni elettroniche17 , che stabilisce il principio generale secondo cui è possibile un ulteriore trattamento dei dati relativi al traffico soltanto ai fini della fatturazione per l'abbonato e dei pagamenti di interconnessione.

52. Per evitare qualsiasi dubbio, il Gepd raccomanda che nel testo del regolamento proposto, almeno in un considerando, venga esplicitamente menzionato il fatto che la proposta non prevede alcuna base giuridica per i dati da richiedere ai fornitori di servizi di comunicazione elettronica accessibili al pubblico.

 

e) Le informazioni possono essere richieste anche a terzi?

53. Inoltre, la proposta dovrebbe chiarire se le autorità nazionali di regolamentazione possono richiedere informazioni soltanto all'operatore di mercato sottoposto a indagine o se hanno anche il potere di richiedere informazioni a terzi, come una parte di una transazione cui partecipa l'operatore di mercato sottoposto a indagine o un albergo in cui ha soggiornato una persona sospettata di aver fatto ricorso a informazioni privilegiate.

 

f) Possono essere richiesti dati privati?

54. Infine, la proposta dovrebbe inoltre chiarire se le autorità possono anche richiedere dati privati di persone fisiche, come i dipendenti o gli amministratori con incarichi esecutivi dell'operatore di mercato sottoposto a indagine, come ad esempio i messaggi di testo inviati da dispositivi mobili personali o la cronologia dei siti visitati memorizzata su un computer di uso domestico.

55. La proporzionalità di una richiesta di dati privati è discutibile e, se prevista, tale richiesta dovrebbe essere specificamente giustificata.

56. Come nel caso dei sopralluoghi (cfr. i precedenti paragrafi da 35 a 40), la proposta dovrebbe prevedere un mandato di un'autorità giudiziaria e ulteriori garanzie specifiche se le autorità richiedono dati privati.

 

II.6. Segnalazione di presunti abusi di mercato (articolo 11): limitazione della finalità e conservazione dei dati

 

Disposizioni pertinenti

57. Riguardo alla cooperazione transfrontaliera, all'Acer viene affidato l'importante ruolo di segnalare alle autorità nazionali di regolamentazione i potenziali abusi di mercato e di agevolare lo scambio di informazioni. Per favorire la cooperazione, l'articolo 11, paragrafo 2 prevede anche specificamente che le autorità nazionali di regolamentazione informino l'Acer "nel modo più dettagliato possibile" qualora abbiano ragionevoli motivi per sospettare eventuali violazioni del regolamento proposto. Per assicurare un approccio coordinato, l'articolo 11, paragrafo 3 prevede inoltre una condivisione delle informazioni tra le autorità nazionali di regolamentazione, le autorità finanziarie competenti, l'Acer e l'Autorità europea degli strumenti finanziari e dei mercati ("Esma")18 .

 

Osservazioni e raccomandazioni del Gepd

58. Conformemente al principio della limitazione della finalità19 , la proposta dovrebbe stabilire esplicitamente che i dati personali trasmessi sulla base dell'articolo 11 del regolamento proposto (segnalazioni di presunti abusi di mercato) dovrebbero essere utilizzati soltanto ai fini delle indagini sul presunto abuso di mercato segnalato. In ogni caso, le informazioni non devono essere utilizzate per scopi incompatibili con tale finalità.

59. Inoltre, i dati non dovrebbero essere conservati per periodi di tempo troppo lunghi. Questo vale soprattutto nei casi in cui è possibile dimostrare che il sospetto iniziale era infondato.

In tali casi, deve essere fornita una giustificazione specifica per l'ulteriore conservazione dei dati20 .

60. A questo proposito, la proposta dovrebbe in primo luogo fissare un periodo massimo per la conservazione dei dati da parte dell'Acer e di altri destinatari delle informazioni, tenendo conto delle finalità della memorizzazione dei dati.

Salvo che sia stata avviata un'indagine su un presunto abuso di mercato e l'indagine sia ancora in corso, tutti i dati personali relativi al presunto abuso di mercato segnalato dovrebbero essere cancellati dagli archivi di tutti i destinatari al termine di un periodo specifico. Salvo che sia chiaramente giustificato un periodo più lungo, il Gepd ritiene che la cancellazione debba essere effettuata al massimo entro due anni dalla data di segnalazione del sospetto21 .

61. Qualora un sospetto risulti infondato e/o venga chiusa un'indagine senza che siano intraprese altre azioni, la proposta dovrebbe obbligare l'autorità di regolamentazione che ha inviato la segnalazione, l'Acer e i terzi che hanno accesso alle informazioni relative al presunto abuso di mercato, a informare immediatamente tali parti in modo che possano aggiornare i loro archivi di conseguenza (e/o cancellare le informazioni relative al sospetto segnalato dai loro archivi con effetto immediato o al termine di un periodo di conservazione proporzionato a seconda dei casi)22 .

62. Tali disposizioni dovrebbero contribuire a garantire che, in casi in cui il sospetto non sia stato confermato (o anche indagato ulteriormente), persone innocenti non vengano mantenute in una "lista nera" e considerate "sospette" per un indebito periodo di tempo prolungato [cfr. l'articolo 6, lettera e), della direttiva 95/46/Ce e il corrispondente articolo 4, lettera e), del regolamento (Ce) n. 45/2001].

 

II.7. Trasmissione di dati a Paesi terzi (articolo 14)

 

Disposizioni pertinenti

63. Gli articoli 7, 8 e 11 del regolamento proposto prevedono scambi di dati e di informazioni tra l'Acer, L'Esma e le autorità degli Stati membri. L'articolo 14 ("Relazioni con i paesi terzi") prevede che l'Acer "può concludere accordi amministrativi con le organizzazioni internazionali e le amministrazioni di paesi terzi". Ciò può comportare il trasferimento di dati personali dall'Acer e possibilmente anche dall'Esma e/o dalle autorità degli Stati membri alle organizzazioni internazionali e alle Autorità di Paesi terzi.

 

Osservazioni e raccomandazioni del Gepd

64. Il Gepd raccomanda che l'articolo 14 della proposta chiarisca che i trasferimenti di dati personali possono essere effettuati soltanto conformemente all'articolo 9 del regolamento (Ce) n. 45/2001 e agli articoli 25 e 26 della direttiva 95/46/Ce. In particolare, i trasferimenti internazionali devono aver luogo soltanto se il Paese terzo di cui trattasi garantisce un livello di protezione adeguato o il trasferimento di dati a soggetti di diritto o persone fisiche di un Paese terzo che non garantisca un livello di protezione adeguato deve essere consentito qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi.

65. Il Gepd sottolinea che, in linea di principio, deroghe come quelle menzionate all'articolo 9, paragrafo 6, del regolamento (Ce) n. 45/2001 e all'articolo 26, paragrafo 1, della direttiva non devono essere utilizzate per giustificare trasferimenti di dati massicci, sistematici e/o strutturali a Paesi terzi.

 

II.8. Controlli preventivi delle attività di coordinamento dell'Acer in relazione alle indagini

66. Alcuni dei dati condivisi tra l'Acer, l'Esma e varie autorità degli Stati membri riguardo a presunte violazioni potrebbero includere dati personali come l'identità dei presunti autori delle violazioni o di altre persone coinvolte (per esempio, testimoni, informatori, lavoratori o altre persone che agiscono per conto delle imprese che svolgono attività commerciali).

67. L'articolo 27, paragrafo 1, del regolamento (Ce) n. 45/2001 stabilisce che "i trattamenti che possono presentare rischi specifici per i diritti e le libertà degli interessati, per la loro natura, oggetto o finalità sono soggetti a controllo preventivo da parte del garante europeo della protezione dei dati".

L'articolo 27, paragrafo 2, ribadisce in modo specifico che i trattamenti di dati relativi a "sospetti" e "infrazioni" possono presentare tali rischi e richiedono controlli preventivi. Considerando il ruolo previsto per l'Acer nel coordinamento delle indagini, sembra probabile che l'Acer possa trattare dati relativi a "sospetti" e pertanto che le sue attività siano sottoposte a controlli preventivi23 .

68. Nel quadro di una procedura di controllo preventivo, il Gepd può fornire all'Acer ulteriori orientamenti e raccomandazioni specifiche per quanto riguarda la conformità alle norme in materia di protezione dei dati. Il controllo preventivo delle attività dell'Acer possono anche rappresentare un valore aggiunto se si considera il fatto che il regolamento (Ce) n. 713/2009, che ha istituito l'Acer, non contiene alcun riferimento alla protezione dei dati personali e non è stato sottoposto al parere legislativo del Gepd.

 

III. Conclusioni

69. La proposta dovrebbe chiarire se possono essere trattati dati personali nel contesto del monitoraggio dei mercati e della rendicontazione e quali garanzie si applicano. Se, per contro, non si prevede il trattamento di dati personali (o tale trattamento sarebbe soltanto eccezionale e limitato a rari casi, in cui un rivenditore di energia all'ingrosso potrebbe essere una persona fisica anziché una persona giuridica), questa circostanza dovrebbe essere chiaramente indicata nella proposta, almeno in un considerando.

70. Le disposizioni sulla protezione dei dati, sulla sicurezza dei dati e sulla responsabilità dovrebbero essere chiarite e ulteriormente rafforzate, soprattutto se il trattamento di dati personali potrebbe svolgere un ruolo più strutturale. La Commissione deve fare in modo che siano previsti controlli adeguati per garantire la conformità alle norme in materia di protezione dei dati e per fornirne la prova ("responsabilità").

71. La proposta dovrebbe chiarire se i sopralluoghi sarebbero limitati a proprietà ad uso commerciale (locali e veicoli) di un operatore di mercato o se potrebbero riguardare anche proprietà private (locali o veicoli) di persone fisiche. Nell'ultimo caso, la necessità e la proporzionalità di questo potere dovrebbero essere chiaramente giustificate e dovrebbero essere richiesti un mandato giudiziario e garanzie aggiuntive.

Tutto questo dovrebbe essere chiaramente previsto nel regolamento proposto.

72. Dovrebbe essere chiarito l'ambito del potere di richiedere "i tabulati telefonici esistenti nonché i registri esistenti del traffico dati". La proposta dovrebbe specificare in maniera inequivocabile quali tabulati e registri possono essere richiesti e a chi. Il fatto che non possano essere richiesti dati ai fornitori di servizi di comunicazione elettronica accessibili al pubblico dovrebbe essere esplicitamente menzionato nel testo del regolamento proposto, almeno in un considerando.

La proposta dovrebbe inoltre chiarire se le autorità possono anche richiedere dati privati di persone fisiche, come i dipendenti o gli amministratori con incarichi esecutivi dell'operatore di mercato sottoposto a indagine, come ad esempio i messaggi di testo inviati da dispositivi mobili personali o la cronologia dei siti visitati memorizzata su un computer di uso domestico. In questo caso, dovrebbero essere chiaramente giustificate la necessità e la proporzionalità di tale potere e la proposta dovrebbe anche prevedere un mandato di un'Autorità giudiziaria.

73. Per quanto riguarda la segnalazione di presunti abusi di mercato, la proposta dovrebbe esplicitamente prevedere che i dati personali contenuti nella relativa documentazione vengano utilizzati soltanto ai fini delle indagini sui presunti abusi di mercato segnalati. Salvo che sia stata avviata un'indagine su un presunto abuso di mercato e l'indagine sia ancora in corso (o un sospetto sia risultato fondato e le indagini si siano concluse con esito positivo), tutti i dati personali relativi al presunto abuso di mercato segnalato dovrebbero essere cancellati dagli archivi di tutti i destinatari al termine di un periodo specifico (se non diversamente giustificato, al massimo entro due anni dalla data di segnalazione del sospetto). Inoltre, le parti di uno scambio di informazioni devono anche inviarsi reciprocamente un aggiornamento qualora un sospetto si riveli infondato e/o un'indagine sia stata chiusa senza intraprendere ulteriori azioni.

74. Riguardo ai trasferimenti di dati personali a Paesi terzi, la proposta dovrebbe chiarire che, in linea di principio, i trasferimenti di dati a soggetti di diritto o persone fisiche di un Paese terzo che non garantisce un livello di protezione adeguato possono essere effettuati soltanto se il responsabile del trattamento presenta garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi.

75. L'Acer dovrebbe presentare al Gepd, per i controlli preventivi, le proprie attività di trattamento di dati personali in relazione al coordinamento delle indagini ai sensi dell'articolo 11 del regolamento proposto.

 

Fatto a Bruxelles, il 21 giugno 2011.