Il Garante Privacy ha autorizzato la Consob a sottoscrivere un accordo amministrativo per il trasferimento di dati tra le Autorità di vigilanza finanziaria all’interno – e al di fuori – dello Spazio Economico Europeo (SEE). Si tratta del primo caso di autorizzazione al trasferimento dei dati prevista dall’art. 46 del Regolamento europeo sulla protezione dei dati personali (GDPR).
L’intesa mira a consentire il rafforzamento dell’attività di cooperazione internazionale, attraverso lo scambio reciproco di informazioni, per potenziare l’attività di repressione di comportamenti illeciti sui mercati e assicurare il rispetto da parte degli operatori degli obblighi di trasparenza. Vediamo come e perché l’autorizzazione è stata concessa.
I trasferimenti internazionali di dati tra Autorità secondo il GDPR
Nell’ambito del diritto dell’UE, i flussi di dati personali verso gli Stati membri del SEE a fini di prevenzione, indagine, accertamento o perseguimento di reati o di esecuzione di sanzioni penali sono soggetti alla direttiva 2016/680. Ciò garantisce anche che lo scambio di dati personali da parte delle autorità competenti all’interno dell’Unione non sia limitato o proibito per motivi di protezione dei dati. In caso di trasferimenti di dati personali verso un paese terzo (fuori dal SEE) o un’organizzazione internazionale, il diritto dell’UE prevede una serie di condizioni che tengono conto della diversa struttura e degli scopi della rispettiva organizzazione. L’ obiettivo di tali norme è di garantire la tutela dei diritti dei soggetti i cui dati personali vengono trattati, quando i dati sono trasferiti al di fuori dell’UE, consentendo alla protezione prevista dal diritto dell’UE di “seguire i dati”.
Tali flussi di dati hanno luogo soltanto se sono conformi alle disposizioni del GDPR. Secondo il Regolamento privacy europeo vi sono, in linea di principio, due modi per consentire il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali. I trasferimenti di dati personali possono avvenire sulla base di una decisione di adeguatezza della Commissione europea o, in mancanza di tale decisione di adeguatezza, se il titolare del trattamento o il responsabile del trattamento fornisce garanzie appropriate, compresi diritti azionabili e mezzi di ricorso giurisdizionali per l’interessato. In mancanza di una decisione di adeguatezza o di garanzie adeguate, sono previste diverse deroghe. In particolare, fatta salva l’autorizzazione dell’autorità di controllo competente, possono altresì costituire garanzie adeguate le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati.
Come è partito il progetto di accordo per il trasferimento di dati
Facendo seguito a vari cicli di discussioni, l’Autorità europea degli strumenti finanziari e dei mercati (ESMA), agendo come facilitatore per le autorità di vigilanza finanziaria del SEE e a proprio nome, e l’Organizzazione internazionale delle commissioni sui valori mobiliari (IOSCO) nel gennaio 2019 hanno presentato al Comitato europeo per la protezione dei dati (meglio noto come European Data Protection Board, è il gruppo che riunisce le autorità garanti europee), con lettera ufficiale, un progetto di accordo amministrativo conformemente all’articolo 46, paragrafo 3, lettera b), del GDPR per definire il quadro dei trasferimenti di dati personali dalle autorità di vigilanza finanziaria del SEE (e dall’ESMA stessa) verso le loro omologhe al di fuori del SEE. Successivamente la Commissione Nazionale per le Società e le Borsa (CONSOB) nel 6 maggio 2019 ha presentato una nota al Garante per la protezione dei dati personali, successivamente integrata con le note del 10 e del 15 maggio, con la quale ha chiesto al Garante italiano di autorizzare il progetto di accordo amministrativo per il trasferimento di dati personali tra le autorità di vigilanza finanziaria con omologhe autorità di Paesi terzi, nell’ambito dell’attività di cooperazione internazionale a fini di vigilanza e di enforcement.
La valutazione del Garante: le garanzie che hanno permesso di ottenere l’autorizzazione
Il Garante ha ritenuto, in linea con il parere espresso dal Comitato europeo per la protezione di dati personali, che le garanzie previste nell’accordo assicurino un livello adeguato di protezione dei dati ed ha quindi autorizzato la Consob alla sottoscrizione con provvedimento dello scorso 23 maggio 2019.
Nell’accordo si prevedono, infatti, il rispetto dei principi del GDPR e l’adozione di adeguate misure di sicurezza e garanzie per i diritti degli interessati.
Trattandosi del primo caso di autorizzazione ex. art. 46, è significativo analizzare quali sono le effettive garanzie che hanno portato l’Autorità a concedere il permesso di trasferire i dati personali in paesi terzi. Ad esempio nell’accordo si prevede che:
- le autorità hanno responsabilità e mandati normativi specifici, pertanto in base al principio della limitazione delle finalità, i trasferimenti potranno aver luogo solo nel quadro di tali mandati e responsabilità, ossia se sono necessari per sostenere i compiti istituzionali delle autorità, e l’autorità ricevente non sarà autorizzata a trattare successivamente i dati personali in modo incompatibile con tali finalità;
- ogni autorità fornirà agli interessati un’informativa generale – ed una individuale – sul trattamento effettuato, contenente tutti gli elementi necessari per assicurare il rispetto dei requisiti minimi e del principio di trasparenza previsti dal GDPR. L’informativa generale sarà fornita mediante pubblicazione, insieme all’accordo amministrativo, sul sito web di ciascuna autorità;
- ogni autorità ricevente predisporrà misure tecniche e organizzative di sicurezza e di riservatezza adeguate per proteggere i dati personali, ad esempio contrassegnando le informazioni come “dati personali” e restringendo gli accessi alle stesse. L’accordo amministrativo prevede inoltre che, qualora l’autorità ricevente venga a conoscenza di una violazione dei dati personali, essa ne informi quanto prima l’autorità trasferente e usi mezzi ragionevoli e adeguati per porre rimedio alla violazione dei dati personali e ridurre al minimo i potenziali effetti negativi;
- vengono introdotte garanzie per l’esercizio dei diritti: gli interessati potranno ottenere conferma dell’eventuale trasferimento dei propri dati ad un’autorità di vigilanza finanziaria al di fuori del SEE, inoltre, su richiesta, avranno accesso ai propri dati personali e potranno chiedere direttamente all’autorità di vigilanza finanziaria interessata o all’autorità di vigilanza finanziaria al di fuori del SEE di rettificare, cancellare, limitare o bloccare i suoi dati.
Sono previste anche specifiche cautele per i trasferimenti successivi di dati verso un soggetto che non sia un’autorità partecipante all’accordo o un Paese privo della decisione di adeguatezza della Commissione europea. Nello specifico, tali trasferimenti possono aver luogo unicamente con il previo consenso scritto dell’autorità trasferente e purché il terzo fornisca garanzie analoghe a quelle previste dall’accordo.
Il Garante ha tuttavia precisato che l’accordo sarà valido ad alcune condizioni: le parti dovranno rispettare pienamente tutte le clausole e la Consob dovrà informare l’Autorità di qualsiasi sospensione di trasferimenti di dati e di qualsiasi revisione o sospensione della partecipazione all’intesa. Inoltre la Consob, conformemente con il principio di responsabilizzazione introdotto dal GDPR, dovrà conservare tutta la documentazione relativa all’applicazione dell’accordo, come:
- il numero di richieste e lamentate violazioni presentate dagli interessati a livello europeo; e
- i dettagli sui casi non risolti mediante i meccanismi di risoluzione delle controversie previsti e sulle rispettive risultanze ed azioni intraprese.
La Consob per i primi due anni sarà inoltre tenuta a trasmettere all’Autorità una relazione annuale elaborata sulla base della predetta documentazione.
Il Garante sorveglierà sull’applicazione pratica dell’accordo, verificando il rispetto delle garanzie, le cui violazioni potrebbero comportare la sospensione dei flussi di dati effettuati dalla Consob. Trattandosi della prima autorizzazione al trasferimento di dati di questo tipo, sarà interessante osservare in che modo e con quale livello di dettaglio l’Autorità monitorerà il rispetto di tutte le condizioni – sia tecniche che organizzative – su cui si regge la legittimità dell’accordo di collaborazione tra le Autorità.
