• Privacy -Banche, assicurazioni e finanziarie

25 febbraio 2019

European Data Protection Board (EDPB) - Settima sessione plenaria: parere sul progetto di accordo amministrativo (AA) per il trasferimento dei dati personali in ambito vigilanza mercati finanziari

di Maria Alessandra Monanni

Il 12 febbraio si è riunita a Bruxelles la settima sessione plenaria del Comitato europeo per la protezione dei dati (EDPB), in occasione della quale è stato adottato il primo parere sul progetto di accordo amministrativo (di seguito AA) in relazione al trasferimento dei dati personali tra le autorità di vigilanza del SEE - tra cui si include l'Autorità europea degli strumenti finanziari e dei mercati (ESMA - European Securities and Markets Authority) - e le autorità dei Paesi non-SEE.

Nel corso della sessione plenaria del Comitato europeo per la protezione dei datisono stati discussi i seguenti temi: 

  • adozione del programma di lavoro biennale 2019-2020, come previsto dall'art. 29 del regolamento interno del EDPB;
  • adozione, in conformità all'art. 46, par. 3, lettera b), del GDPR, del primo parere sul progetto di accordo amministrativo (AA) avente ad oggetto il trasferimento dei dati personali tra le autorità di vigilanza finanziaria dello Spazio Economico Europeo (SEE) e di quelle di Paesi non SEE.
  • adozione di una nota informativa sul trasferimento dei dati in ambito GDPR, indirizzata a enti commerciali e autorità pubbliche, in caso di nessun accordo sulla Brexit.  Per cui si dovranno stabilire come gestire i flussi di dati dal SEE al Regno Unito e viceversa.
  • adozione di linee guida sui codici di condotta, per fornire indicazioni pratiche e assistenza interpretativa in relazione all'applicazione delle disposizioni del GDPR art. 40 (codici di condotta) e art. 41 (monitoraggio codici di condotta approvati).

L'aspetto importante della sessione plenaria in esame è rappresentato proprio dall'adozione da parte dell'EDPB, del primo parere sul progetto di accordo amministrativo (di seguito AA) in relazione al trasferimento dei dati personali tra le autorità di vigilanza del SEE - tra cui si include l'Autorità europea degli strumenti finanziari e dei mercati (ESMA - European Securities and Markets Authority) - e le autorità dei Paesi non-SEE.

Questo accordo sarà sottoposto al vaglio delle autorità di vigilanza competenti, per ottenere l'autorizzazione a livello nazionale, le quali vigileranno sull'applicazione dell'AA e la protezione dei dati secondo il principio di adeguatezza. Il trasferimento dei dati dovrà perciò essere soggetto a "garanzie adeguate". Infatti "il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o unorganizzazione internazionale, solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi" (art. 46, par. 1,GDPR), per cui "possono altresì costituire in particolare garanzie adeguate, di cui al paragrafo 1, le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati" (art. 46, par. 3, GDPR).

Il Comitato europeo per la protezione dei dati (EDPB)

L'EDPB, in qualità di organo indipendente "dotato di personalità giuridica" (art. 68, comma 1, GDPR), assume un ruolo centrale nell'applicazione del Regolamento europeo (GDPR) con il compito di vigilare sulle Autorità nazionali affinché applichino correttamente e coerentemente la nuova normativa europea sulla protezione dei dati. Oltre al compito di promuovere la cooperazione tra le autorità competenti in materia di protezione dei dati personali nell'Unione europea - secondo appunto i "principi di cooperazione e di coerenza", come previsto dal Capo VII del GDPR.

Trasferimento dei dati personali all'estero

Il Capo V del GDPR, artt. 44-50, disciplina il "trasferimento dei dati personali verso paesi terzi e organizzazioni internazionali" che deve avvenire secondo un adeguato livello di protezione. Infatti, qualora sia stato accertato un idoneo livello di protezione, il trasferimento dei dati personali all'estero potrà non essere sottoposto a specifiche autorizzazioni (art. 45, par. 1, GDPR).

Si specifica, ai sensi dell'art. 46, par. 2, che "possono costituire garanzie adeguate (…) senza necessitare di autorizzazioni specifiche da parte di unautorità di controllo:

a. uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;
b. le norme vincolanti dimpresa in conformità dell'art. 47;
c. le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura desame di cui allart. 93, par. 2;
d. le clausole tipo di protezione dei dati adottate da unautorità di controllo e approvate dalla Commissione sempre secondo la procedura desame;
e. un codice di condotta approvato a norma dell'art. 40;
f. un meccanismo di certificazione approvato a norma dell'art. 42".

Inoltre, "fatta salva l'autorizzazione dell'autorità di controllo competente, possono altresì costituire in particolare garanzie adeguate:

a) le clausole contrattuali tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nellorganizzazione internazionale; o

b) le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati" (art. 46, par. 3 GDPR).

La circolazione dei dati all'interno dello Spazio Economico Europeo è libera, invece al di fuori della SEE di norma essa è vietata, salvo non si impieghino le suddette garanzie. Quindi il trasferimento di dati personali al di fuori del SEE è consentito solo se si applica il requisito dell'adeguatezza.

Il parere 04/2019, adozione 12 febbraio 2019: contenuto

L'Autorità europea degli strumenti finanziari e dei mercati (ESMA) e l'Organizzazione internazionale della Commissione per i valori mobiliari (IOSCO), hanno presentato il progetto di accordo amministrativo, ai sensi dell'art. 46, par. 3, lettera b) del GDPR, per il trasferimento di dati personali all'interno e all'esterno del SEE, nel campo della vigilanza dei mercati finanziari.

L'obiettivo del progetto consiste nel garantire un'efficace «cooperazione internazionale tra le autorità di vigilanza agendo in qualità di autorità pubbliche, autorità di regolamentazione e / o supervisori di valori mobiliari e / o mercati dei derivati, al fine di "salvaguardare investitori o clienti e favorire lintegrità e fiducia nei mercati dei titoli e dei derivati" conformemente ai loro mandati, come definiti dalle leggi applicabili».

Nella valutazione del progetto operata dall'EDPB, si tengono conto dei possibili rischi, posti in essere dai relativi trasferimenti di dati personali, che includono la tipologia di dati soggetti all'AA e i rispettivi obiettivi raggiunti.

Il progetto comprende le seguenti garanzie.

  • Definizioni dei concetti GDPR e diritti delle persone interessate: include definizioni rilevanti, per la portata della sua applicazione, sulla base del principio di coerenza. Tra queste definizioni troviamo, in linea con il GDPR, alcune che rappresentano concetti chiave propri del quadro giuridico di protezione dei dati, "dati personali", "trattamento", "violazione dei dati personali", "diritto di accesso" e "diritto di cancellazione".
  • Limitazione del principio di utilizzazione e divieto di ogni ulteriore utilizzo: la valutazione avviene sulla base delle responsabilità specifiche delle autorità di vigilanza che comprendono "la protezione degli investitori o dei clienti e la promozione dellintegrità e della fiducia nei mercati dei e dei derivati".
  • Principio della qualità e proporzionalità dei dati: l'Autorità trasferirà i dati personali solo se accurati, pertinenti e limitati ai necessari scopi per i quali vengono trasferiti e ulteriormente elaborati. Ogni Autorità avrà il compito di far presente della correttezza o meno dei dati.
  • Principio di trasparenza: ciascuna Autorità informerà in via generale i diretti interessati del trattamento effettuato, compreso il trasferimento; su quale tipologia di ente tali dati vengono trasferiti; quali siano i diritti degli interessati esercitabili e quali restrizioni applicabili sull'esercizio degli stessi.
  • Principio di conservazione dei dati: le Autorità potranno conservare i dati personali per un periodo non superiore a quello necessario per lo scopo stesso per il quale essi sono trattati, in conformità con le leggi applicabili.
  • Misure di sicurezza e riservatezza: ciascuna autorità ricevente disporrà di adeguate misure tecniche e organizzative per proteggere i dati personali trasferiti in caso di accessi accidentali o illegali, distruzione, perdita, alterazione. L'AA inoltre prevede che nel caso in cui unAutorità ricevente venga a conoscenza di una violazione dei dati personali, informerà prima possibile l'Autorità trasferente e utilizzerà mezzi appropriati al fine di porre rimedio alla violazione dei dati personali e ridurre al minimo i potenziali effetti negativi.
  • Misure di salvaguardia relative ai diritti degli interessati: l'AA prevede garanzie relative ai diritti dellinteressato, il quale può ottenere conferma dei propri dati trasferiti a unaltra autorità di vigilanza finanziaria al di fuori del SEE. Ai soggetti verrà inoltre fornito l'accesso ai propri dati personali su richiesta.
  • Restrizioni su trasferimenti successivi: i dati personali possono essere condivisi con una terza parte nello stesso paese dell'Autorità ricevente (come enti pubblici, tribunali, organizzazioni di autoregolamentazione e partecipanti allesecuzione di un procedimento) senza il consenso dellautorità trasferente, o garanzie solo in due casi:

(i) Se lo scopo per cui i dati personali sono condivisi e quindi utilizzati è coerente con quello per il quale i dati sono stati inizialmente trasferiti o con il quadro generale delluso, indicato nella richiesta specifica originale dellautorità ricevente e la condivisione è necessaria per adempiere al mandato e alle responsabilità dellautorità ricevente e / o di terzi.

(ii) Quando la condivisione di dati personali segue ad una richiesta legalmente applicabile o è richiesta dalla legge. Lautorità ricevente notificherà lautorità trasferente prima della condivisione e includerà informazioni sui dati pretesi, lorganismo richiedente e la base giuridica per la condivisione. L'Autorità ricevente farà del proprio meglio per limitare la condivisione dei dati personali ricevuti nellambito del presente accordo, in particolare attraverso laffermazione di tutte le disposizioni giuridiche applicabili, esenzioni e privilegi.

  • Risarcimento: l'AA prevede una procedura di ricorso al fine di ottenere un risarcimento in caso di violazione dei diritti degli interessati. L'autorità trasferente sarà informata di eventuali controversie o richieste e le autorità di entrambe le parti si adopereranno al meglio per risolvere la controversia o il reclamo amichevolmente. Nel caso in cui la questione non possa essere risolta in questo modo, verranno utilizzati altri metodi per decidere la controversia, inclusi meccanismi di mediazione non vincolante o meccanismi di risoluzione delle controversie. Se l'autorità trasferente ritiene che l'autorità ricevente non abbia agito in modo coerente con le garanzie stabilite nell'AA, sospende qualsiasi trasferimento, ai sensi dell'AA, allautorità ricevente, fino a quando il problema non viene risolto in modo soddisfacente.
  • Meccanismo di sorveglianza: l'AA prevede un meccanismo di supervisione esterno per assicurare lattuazione delle misure di salvaguardia dell'AA.

L'EDPB accoglie favorevolmente gli sforzi compiuti per l'elaborazione di questo AA multilaterale il quale include un importante numero di garanzie sulla protezione dei dati.  L'obiettivo del Comitato è assicurare che tali garanzie mantengano un livello adeguato di protezione dei dati nel momento in cui essi vengono trasferiti verso un paese terzo, tenendo conto della natura unica dell'AA, non vincolante.

Ogni Autorità competente controllerà l'applicazione dell'AA in relazione ai diritti delle persone interessate e ai meccanismi di trasferimento. Oltre ad autorizzare solamente questo accordo per la protezione dei dati personali, affinché vi sia un'adeguata tutela del relativo trasferimento transfrontaliero, subordinato al pieno rispetto da parte dei firmatari di tutte le clausole annesse.

 


Dott.ssa Maria Alessandra Monanni

Legal Specialist in Proprietà Intellettuale 
Copywriter e Blogger