Propunere de directiva. Accesul la activitatea institutiilor de credit si supravegherea prudentiala a institutiilor de credit si a societatilor de investitii

Avizul Autoritatii Europene pentru Protectia Datelor referitor la propunerile Comisiei pentru o directiva privind accesul la activitatea institutiilor de credit si supravegherea prudentiala a institutiilor de credit si a societatilor de investitii si pentru un regulament privind cerintele prudentiale pentru institutiile de credit si societatile de investitii

2012/C 175/01
AUTORITATEA EUROPEANA PENTRU PROTECȚIA DATELOR,
avand in vedere Tratatul privind functionarea Uniunii Europene, in special articolul 16,
avand in vedere Carta drepturilor fundamentale a Uniunii Europene, in special articolele 7 si 8,
avand in vedere Directiva 95/46/CE a Parlamentului European si a Consiliului din 24 octombrie 1995 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date [1],
avand in vedere Regulamentul (CE) nr. 45/2001 al Parlamentului European si al Consiliului din 18 decembrie 2000 privind protectia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de catre institutiile si organele comunitare si privind libera circulatie a acestor date [2], in special articolul 28 alineatul (2) litera (a),
ADOPTA PREZENTUL AVIZ:
1. INTRODUCERE
1.1. Consultarea AEPD
1. Prezentul aviz face parte dintr-un pachet de patru avize ale AEPD referitoare la sectorul financiar, adoptate in aceeasi zi [3].
2. La 20 iulie 2011, Comisia a adoptat doua propuneri privind revizuirea legislatiei in domeniul bancar. Prima propunere se refera la o directiva privind accesul la activitatea institutiilor de credit si supravegherea prudentiala a institutiilor de credit si societatilor de investitii (“propunerea de directiva”) [4]. A doua propunere vizeaza un regulament privind cerintele prudentiale pentru institutiile de credit si societatile de investitii (“propunerea de regulament”) [5]. Aceste propuneri au fost transmise AEPD, spre consultare, in aceeasi zi. La 18 noiembrie 2011, Consiliul Uniunii Europene a consultat AEPD privind propunerea de directiva.
3. AEPD a fost consultata informal anterior adoptarii propunerii de regulament. AEPD observa ca unele dintre observatiile sale au fost incluse in propunere.
4. AEPD saluta faptul ca a fost consultata de catre Comisie si Consiliu si recomanda includerea unei referiri la prezentul aviz in preambulul instrumentului adoptat.
1.2. Obiectivele si domeniul de aplicare al propunerilor
5. Propunerea legislativa contine doua instrumente juridice: o directiva privind accesul la activitatea institutiilor de credit si supravegherea prudentiala a institutiilor de credit si a societatilor de investitii si un regulament privind cerintele prudentiale pentru institutiile de credit si societatile de investitii. Obiectivele in materie de politica ale propunerii de revizuire sunt, pe scurt, asigurarea unei bune functionari a sectorului bancar si restabilirea increderii operatorilor si publicului. Instrumentele propuse vor inlocui Directiva 2006/48/CE si Directiva 2005/49/CE, care vor fi ulterior abrogate.
6. Principalele elemente noi ale propunerii de directiva sunt dispozitiile privind sanctiunile, guvernanta corporativa eficace si dispozitiile privind prevenirea increderii excesive in ratingurile de credit externe. In special, propunerea urmareste sa introduca un regim eficace si proportional de sanctiuni, un domeniu de aplicare personal corespunzator al sanctiunilor administrative, publicarea sanctiunilor si mecanisme de incurajare a raportarii incalcarilor. In plus, propunerea urmareste sa consolideze cadrul legislativ privind guvernanta corporativa si sa reduca importanta excesiva acordata ratingurilor externe [6].
7. Propunerea de regulament vine in completarea propunerii de directiva prin stabilirea de cerinte prudentiale uniforme si aplicabile direct institutiilor de credit si societatilor de investitii. Astfel cum se arata in expunerea de motive, obiectivul central al initiativei este consolidarea eficacitatii reglementarii capitalului institutiilor in UE si reducerea impactului negativ al acestuia asupra sistemului financiar [7].
1.3. Scopul avizului AEPD
8. Desi majoritatea dispozitiilor instrumentelor propuse fac referire la urmarirea activitatilor desfasurate de institutiile de credit, implementarea si aplicarea cadrului legislativ pot, in unele cazuri, sa afecteze drepturile persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal.
9. Mai multe dispozitii ale propunerii de directiva permit schimbul de informatii intre autoritatile din statele membre si, posibil, tari terte [8]. Aceste informatii pot fi legate de persoane fizice, precum angajatii, actionarii si membrii conducerii institutiilor de credit. In plus, conform propunerii de directiva, autoritatile competente pot impune sanctiuni directe persoanelor fizice si au obligatia de a publica sanctiunile aplicate, inclusiv identitatea persoanelor responsabile [9]. Pentru a facilita detectarea incalcarilor, propunerea introduce obligatia autoritatilor competente de a institui mecanisme de incurajare a raportarii acestora [10]. In plus, propunerea de regulament obliga institutiile de credit si societatile de investitii sa divulge informatii referitoare la propriile politici de remunerare, inclusiv sumele platite, defalcate pe categorii de personal si de salarizare [11]. Toate aceste dispozitii pot avea implicatii asupra persoanelor in cauza in ceea ce priveste protectia datelor.
10. Avand in vedere cele de mai sus, prezentul aviz trateaza urmatoarele aspecte ale pachetului referitoare la protectia vietii private si a datelor: 1. aplicabilitatea legislatiei privind protectia datelor; 2. transferurile de date catre tari terte; 3. secretul profesional si utilizarea informatiilor confidentiale; 4. publicarea obligatorie a sanctiunilor; 5. mecanismele de raportare a incalcarilor; 6. cerintele de divulgare privind politicile de remunerare.
2. ANALIZA PROPUNERILOR
2.1. Aplicabilitatea legislatiei privind protectia datelor
11. Considerentul 74 din propunerea de directiva contine o referire la aplicabilitatea integrala a legislatiei in domeniul protectiei datelor. Cu toate acestea, se recomanda introducerea in propuneri, prin intermediul unui articol de fond, a unei referiri la legislatia aplicabila in domeniul protectiei datelor. Un bun exemplu de astfel de dispozitii de fond se afla in articolul 22 al propunerii de regulament al Parlamentului European si al Consiliului privind utilizarile abuzive ale informatiilor privilegiate si manipularile pietei [12], care prevede, ca regula generala, faptul ca Directiva 95/46/CE si Regulamentul (CE) nr. 45/2001 se aplica prelucrarii datelor cu caracter personal in contextul propunerii.
12. Acest aspect este deosebit de important in cazuri precum cel al diverselor dispozitii privind schimburile de informatii cu caracter personal. Aceste dispozitii sunt perfect legitime, dar trebuie sa fie aplicate intr-o maniera consecventa cu legislatia in domeniul protectiei datelor. Trebuie sa se evite in special riscul ca acestea sa fie interpretate ca fiind o autorizatie “in alb” pentru schimbul tuturor tipurilor de date cu caracter personal. O referire la legislatia in domeniul protectiei datelor, inclusiv in continutul articolelor de fond, va reduce in mod semnificativ acest risc.
13. Prin urmare, AEPD propune introducerea unei dispozitii de fond similare celei din articolul 22 al propunerii de regulament al Parlamentului European si al Consiliului privind utilizarile abuzive ale informatiilor privilegiate si manipularile pietei [13], care sa contina sugestiile pe care le-a prezentat cu privire la aceasta propunere [14], cum ar fi aplicabilitatea legislatiei in vigoare in domeniul protectiei datelor si clarificarea referirii la Directiva 95/46/CE prin mentionarea faptului ca dispozitiile se aplica in conformitate cu normele nationale de aplicare a Directivei 95/46/CE.
2.2. Transferuri catre tari terte
14. Articolul 48 din propunerea de directiva prevede ca Comisia poate propune Consiliului negocierea de acorduri cu tari terte, prin care sa se asigure, printre altele, ca autoritatile competente din tarile terte pot obtine informatiile necesare pentru supravegherea societatilor-mama care sunt situate pe teritoriile lor si au filiale in unul sau mai multe state membre.
15. In cazul in care aceste informatii contin date cu caracter personal, Directiva 95/46/CE si Regulamentul (CE) nr. 45/2001 se aplica integral in ceea ce priveste transferul de date catre tari terte. AEPD propune precizarea in articolul 48 a faptului ca, in astfel de cazuri, aceste acorduri trebuie sa respecte conditiile privind transferul datelor personale catre tarile terte prevazute la capitolul IV din Directiva 95/46/CE si in Regulamentul (CE) nr. 45/2001. Acelasi lucru trebuie sa fie prevazut in privinta articolului 56 privind cooperarea cu autoritatile competente din tari terte care au incheiat acorduri cu state membre si ABE.
16. Pe langa aceasta, avand in vedere riscurile presupuse de astfel de transferuri, AEPD recomanda adaugarea unor garantii specifice similare celor de la articolul 23 din propunerea de regulament al Parlamentului European si al Consiliului privind utilizarile abuzive ale informatiilor privilegiate si manipularile pietei. In avizul sau privind aceasta propunere, AEPD saluta obligatia de instituire a unor garantii adecvate, precum evaluarea de la caz la caz, verificarea necesitatii transferului si existenta unui nivel corespunzator de protectie a datelor cu caracter personal in tara terta destinatara a datelor cu caracter personal.
2.3. Secretul profesional si utilizarea informatiilor confidentiale
17. Articolul 54 din propunerea de directiva prevede ca personalul autoritatilor competente trebuie sa respecte obligatia secretului profesional. Al doilea paragraf din articolul 54 interzice divulgarea informatiilor confidentiale, cu exceptia celor “sub forma de rezumat sau in forma agregata, astfel incat sa nu se poata identifica institutiile de credit individuale […]”. Aceasta formulare nu explica daca interdictia include si divulgarea datelor cu caracter personal.
18. AEPD recomanda extinderea interdictiei de divulgare a informatiilor confidentiale prevazuta la al doilea paragraf al articolului 54 alineatul (1) la cazurile in care sunt identificabile persoane (nu doar “institutii de credit individuale”). Cu alte cuvinte, dispozitia ar trebui reformulata pentru a interzice divulgarea informatiilor confidentiale, cu exceptia celor “sub forma de rezumat sau in forma agregata, astfel incat institutiile de credit si persoanele fizice individuale sa nu poata fi identificate” (subliniere adaugata).
2.4. Dispozitii privind publicarea sanctiunilor
2.4.1. Publicarea obligatorie a sanctiunilor
19. Unul dintre principalele obiective ale pachetului de propuneri consta in consolidarea si apropierea cadrelor juridice ale statelor membre privind sanctiunile si masurile administrative. Propunerea de directiva prevede atributia autoritatilor competente de a impune sanctiuni nu doar institutiilor de credit, ci si persoanelor care au responsabilitatea materiala a incalcarilor [15]. Articolul 68 obliga statele membre sa se asigure ca autoritatile competente publica fara intarziere orice sanctiune sau masura aplicata pentru incalcarea propunerii de regulament sau a dispozitiilor nationale adoptate pentru transpunerea propunerii de directiva, inclusiv informatii privind tipul si natura incalcarii si identitatea persoanelor responsabile pentru aceasta.
20. Publicarea sanctiunilor poate contribui la sporirea caracterului disuasiv, deoarece autorii efectivi si potentiali pot fi descurajati sa comita infractiuni pentru a evita prejudicii semnificative in ceea ce priveste reputatia. In plus, astfel va spori transparenta, deoarece operatorilor de pe piata li se va aduce la cunostinta faptul ca a fost comisa o incalcare de catre o anumita persoana [16]. Aceasta obligatie este restransa numai atunci cand publicarea informatiilor ar aduce un prejudiciu disproportionat partilor implicate, caz in care autoritatile competente publica sanctiunile fara a indica identitatea persoanelor responsabile.
21. AEPD nu are convingerea ca obligatia de publicare a sanctiunilor, in forma sa actuala, indeplineste cerintele legislatiei privind protectia datelor astfel cum au fost interpretate de Curtea de Justitie in Hotararea Schecke [17]. Autoritatea este de parere ca scopul, necesitatea si proportionalitatea masurii nu sunt stabilite in mod suficient si ca, in orice caz, ar fi trebuit prevazute garantii adecvate privind drepturile persoanelor.
2.4.2. Necesitatea si proportionalitatea publicarii
22. In Hotararea Schecke, Curtea de Justitie a anulat dispozitiile unui regulament al Consiliului si ale unui regulament al Comisiei, care prevedeau obligatia de publicare a informatiilor referitoare la beneficiarii fondurilor agricole, inclusiv identitatea beneficiarilor si sumele primite de acestia. Curtea a sustinut ca publicarea in cauza constituia prelucrare de date cu caracter personal, intrand sub incidenta articolului 8 alineatul (2) din Carta drepturilor fundamentale a Uniunii Europene (“Carta”) si, astfel, reprezenta o incalcare a drepturilor recunoscute in articolele 7 si 8 ale Cartei.
23. Dupa ce a concluzionat ca “derogarile de la protectia datelor cu caracter personal si restrangerile de la aceasta trebuie sa fie efectuate in limitele strictului necesar”, Curtea a analizat scopul publicarii si proportionalitatea acesteia. Curtea a concluzionat ca, in cazul respectiv, niciun element nu indica faptul ca, atunci cand au adoptat legislatia in cauza, Consiliul si Comisia au luat in considerare modalitati de publicare a informatiilor care ar fi fost conforme obiectivului unei astfel de publicari si care, in acelasi timp, ar fi afectat intr-o mai mica masura pe respectivii beneficiari.
24. Articolul 68 din propunerea de directiva pare sa fie afectat de aceleasi neajunsuri subliniate de CEJ in Hotararea Schecke. Trebuie retinut ca, atunci cand o prevedere care impune divulgarea publica a unor informatii cu caracter personal este evaluata din punctul de vedere al cerintelor de protectie a datelor, este deosebit de important sa existe un scop clar si bine definit care urmeaza a fi indeplinit prin publicarea in cauza. Numai in conditiile in care exista un astfel de scop se poate stabili daca publicarea respectivelor date cu caracter personal este cu adevarat necesara si proportionala [18].
25. Dupa ce a citit propunerea si documentele insotitoare (de exemplu, raportul evaluarii impactului), AEPD este de parere ca scopul si, astfel, necesitatea acestei masuri nu sunt clar stabilite. In timp ce considerentele propunerii nu contin nicio mentiune in aceasta privinta, raportul evaluarii impactului se limiteaza la a sustine ca “publicarea sanctiunilor este un element important pentru asigurarea efectului disuasiv al acestora asupra destinatarilor si este necesara pentru a garanta un efect disuasiv asupra publicului larg”. Cu toate acestea, raportul nu analizeaza daca unele metode mai putin intruzive ar fi putut garanta un rezultat similar in ceea ce priveste caracterul disuasiv, fara a incalca dreptul la viata privata al persoanelor in cauza. In special, raportul nu explica de ce nu sunt suficiente amenzi sau alte tipuri de sanctiuni care nu se rasfrang asupra vietii private.
26. In plus, raportul evaluarii impactului nu pare sa acorde suficienta atentie unor metode mai putin intruzive de publicare a informatiilor, precum limitarea publicarii la denumirea institutiei de credit sau chiar analizarea necesitatii publicarii de la caz la caz. In special ultima optiune poate reprezenta, prima facie, o solutie mai proportionala, indeosebi daca se considera ca publicarea este, in sine, o sanctiune in temeiul articolului 67 alineatul (2) litera (a) si ca articolul 69 prevede ca, atunci cand stabilesc sanctiunile, autoritatile competente trebuie sa aiba in vedere circumstantele relevante (respectiv, evaluarea de la caz la caz), precum gravitatea incalcarii, gradul de responsabilitate personala, recidiva, pierderile suferite de parti terte etc. Publicarea obligatorie a sanctiunilor in toate cazurile prevazute la articolul 68 nu este compatibila cu regimul de sanctiuni prevazut la articolele 67 si 69.
27. Raportul evaluarii impactului dedica doar cateva alineate explicatiilor privind caracterul insuficient al publicarii de la caz la caz. Acesta sustine ca a lasa autoritatile competente sa decida “daca publicarea este adecvata” ar reduce efectul disuasiv al publicarii [19]. Totusi, in opinia AEPD, tocmai acest aspect – mai exact, posibilitatea de a evalua cazul din perspectiva circumstantelor specifice – este cel care confera o mai mare proportionalitate acestei solutii, care devine astfel o optiune preferata in raport cu publicarea obligatorie in toate cazurile. De exemplu, aceasta discretie ar putea permite autoritatii competente sa evite publicarea in cazuri de incalcari mai putin grave, cand nu au fost produse daune importante, cand partea a demonstrat o atitudine cooperanta etc.
2.4.3. Necesitatea unor garantii adecvate
28. Propunerea de directiva ar fi trebuit sa prevada garantii adecvate prin care sa asigure un echilibru corect intre diferitele interese implicate. Mai intai, sunt necesare garantii in ceea ce priveste dreptul persoanelor acuzate de a contesta decizia in instanta si prezumtia de nevinovatie. In acest caz, articolul 68 ar fi trebuit formulat in mod specific, astfel incat sa oblige autoritatile competente sa adopte masuri corespunzatoare privind ambele situatii atunci cand decizia este supusa unei cai de atac si, ulterior, este anulata de o instanta [20].
29. In al doilea rand, propunerea de directiva ar trebui sa garanteze respectarea intr-o maniera proactiva a drepturilor persoanelor vizate. AEPD saluta faptul ca versiunea finala a propunerii prevede posibilitatea ca publicarea sa fie exclusa in cazurile in care ar putea provoca daune disproportionate. Totusi, o atitudine proactiva ar trebui sa presupuna o informare prealabila a persoanelor vizate in privinta publicarii deciziei prin care sunt sanctionati, dar si faptul ca acestia beneficiaza de dreptul de a se opune din considerente intemeiate si legitime, prevazut la articolul 14 din Directiva 95/46/CE [21].
30. In al treilea rand, in timp ce propunerea de directiva nu specifica mediul in care pot fi publicate informatiile, in practica se presupune ca, in majoritatea statelor membre, forma adoptata va fi cea a publicarii pe internet. Publicarile pe internet ridica probleme si riscuri specifice, privind in special nevoia de a garanta mentinerea informatiilor online doar pe perioada necesara, precum si integritatea lor. Utilizarea motoarelor externe de cautare presupune, de asemenea, riscul ca informatiile sa fie scoase din context si transmise prin internet si in afara acestuia in moduri care nu pot fi controlate cu usurinta [22].
31. Avand in vedere cele mai sus, statele membre trebuie sa aiba obligatia de a se asigura ca datele cu caracter personal ale persoanelor in cauza sunt pastrate online doar pentru o perioada de timp rezonabila, la sfarsitul careia sunt sterse in mod sistematic [23]. In plus, statele membre ar trebui sa se asigure ca au fost instituite masuri de securitate si garantii adecvate, privind in special protectia impotriva riscurilor legate de utilizarea motoarelor externe de cautare [24].
2.4.4. Concluzii privind publicarea
32. AEPD este de parere ca dispozitia referitoare la publicarea obligatorie a sanctiunilor – in forma sa actuala – nu respecta dreptul fundamental la protectia vietii private si a datelor. Legiuitorul ar trebui sa evalueze cu atentie oportunitatea sistemului propus si sa verifice daca obligatia de publicare depaseste ceea ce este necesar pentru satisfacerea obiectivului de interes public urmarit si daca exista metode mai putin restrictive de a indeplini acest obiectiv. Sub rezerva acestui test de proportionalitate, obligatia de publicare ar trebui, in orice caz, sa fie insotita de garantii adecvate care sa asigure respectarea prezumtiei de nevinovatie, dreptul persoanelor vizate de a se opune, securitatea/exactitatea datelor si stergerea acestora dupa o perioada de timp rezonabila.
2.5. Raportarea incalcarilor
33. Articolul 70 din propunerea de directiva se refera la mecanismele de raportare a incalcarilor, cunoscute si sub denumirea de “scheme de denuntare”. Desi pot reprezenta un eficient instrument de asigurare a conformitatii, aceste scheme ridica importante preocupari din perspectiva protectiei datelor [25]. AEPD saluta prezenta in propunere a unor garantii specifice, care urmeaza a fi dezvoltate ulterior la nivel national, privind protectia persoanelor care raporteaza suspiciuni de incalcari si, in general, protectia datelor cu caracter personal. AEPD intelege ca propunerea de directiva stabileste doar elementele principale ale schemei care urmeaza sa fie aplicata de statele membre. Cu toate acestea, doreste sa atraga atentia asupra urmatoarelor aspecte suplimentare.
34. Ca si in cazul altor avize [26], AEPD subliniaza necesitatea introducerii unei referiri specifice la nevoia de a respecta confidentialitatea denuntatorilor si informatorilor. AEPD aminteste ca denuntatorii se afla intr-o pozitie delicata. Persoanelor care furnizeaza astfel de informatii trebuie sa li se garanteze ca datele lor de identitate vor fi prelucrate in conditii de confidentialitate, in special fata de persoana in privinta careia este raportata o suspiciune de ilegalitate [27]. Confidentialitatea datelor de identitate ale denuntatorilor trebuie sa fie garantata in toate etapele procedurii, atat timp cat aceasta nu contravine reglementarilor nationale privind procedurile judiciare. In special, ar putea fi necesar ca identitatea sa fie divulgata in contextul extinderii cercetarilor sau initierii unor proceduri juridice ulterioare ca urmare a anchetei (inclusiv atunci cand se constata ca au fost prezentate declaratii false cu rea intentie) [28]. Avand in vedere cele de mai sus, AEPD recomanda adaugarea la articolul 70 litera (b) a urmatoarei prevederi:”identitatea acestor persoane trebuie garantata in toate etapele procedurii, cu exceptia cazului in care divulgarea este impusa de legislatia interna, in contextul extinderii anchetelor sau initierii de proceduri juridice ulterioare”.
35. AEPD subliniaza, de asemenea, importanta elaborarii unor norme adecvate de garantare a drepturilor de acces ale persoanelor acuzate, care sunt strans legate de dreptul la aparare [29]. Procedurile de primire a raportului si urmarirea acestora mentionate la articolul 70 alineatul (2) litera (a) ar trebui sa garanteze respectarea corespunzatoare a dreptului la informare, a dreptului de acces la dosarul de ancheta si a prezumtiei de nevinovatie si restrangerea acestora numai in masura necesara [30]. In aceasta privinta, AEPD sugereaza includerea in propunerea de directiva a dispozitiei de la articolul 29 litera (d) din propunerea Comisiei de regulament al Parlamentului European si al Consiliului privind utilizarile abuzive ale informatiilor privilegiate si manipularile pietei, care obliga statele membre sa instituie “proceduri adecvate pentru a garanta dreptul persoanei incriminate de a se apara si de a fi ascultata inainte de adoptarea unei decizii care o priveste si dreptul la o cale de atac judiciara eficienta impotriva oricarei decizii sau masuri care o priveste”.
36. In sfarsit, in ceea ce priveste alineatul (2) litera (c), AEPD observa cu satisfactie ca aceasta dispozitie obliga statele membre sa asigure protectia datelor cu caracter personal atat ale persoanei incriminate, cat si ale celei care incrimineaza, in conformitate cu principiile stabilite in Directiva 95/46/CE. Totusi, AEPD propune eliminarea cuvintelor “principiile stabilite in” pentru ca referirea la directiva sa aiba un caracter mai cuprinzator si obligatoriu. In privinta necesitatii de a respecta legislatia in materie de protectie a datelor in cursul aplicarii practice a schemelor, AEPD doreste sa sublinieze in special recomandarile Grupului de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal continute in avizul sau din 2006 privind denuntarea. Printre altele, in cursul aplicarii schemelor nationale, entitatile competente ar trebui sa aiba in vedere necesitatea de a respecta proportionalitatea prin limitarea, intr-o masura cat mai mare, a categoriilor de persoane indreptatite sa raporteze, a categoriilor de persoane care pot fi incriminate si a incalcarilor pentru care pot fi incriminate; nevoia de a favoriza rapoartele identificate si confidentiale in detrimentul rapoartelor anonime; nevoia de a dispune divulgarea identitatii informatorilor atunci cand acestia au prezentat declaratii rauvoitoare; nevoia de a respecta perioade stricte de pastrare a datelor.
3. CONCLUZII
37. AEPD adreseaza urmatoarele recomandari:
– introducerea in propuneri a unei dispozitii de fond, dupa cum urmeaza: “In ceea ce priveste procedurile de prelucrare a datelor cu caracter personal efectuate de statele membre in cadrul prezentului regulament, autoritatile competente aplica dispozitiile nationale de punere in aplicare a Directivei 95/46/CE. In ceea ce priveste procedurile de prelucrare a datelor cu caracter personal efectuate de ABE in cadrul prezentului regulament, ABE respecta dispozitiile Regulamentului (CE) nr. 45/2001”;
– modificarea articolului 54 alineatul (1) al doilea paragraf, pentru a permite divulgarea informatiilor confidentiale numai sub forma de rezumat sau in forma agregata, “astfel incat institutiile de credit si persoanele fizice individuale sa nu poata fi identificate” (subliniere adaugata);
– clarificarea in articolele 48 si 56 a faptului ca acordurile cu tari terte sau autoritati din tari terte pentru transferul de date cu caracter personal trebuie sa respecte conditiile de transfer al datelor cu caracter personal catre tari terte, astfel cum sunt stabilite in capitolul IV din Directiva 95/46/CE si in Regulamentul (CE) nr. 45/2001, si introducerea in propunerea de directiva a unei dispozitii similare celei de la articolul 23 din propunerea de regulament al Parlamentului European si al Consiliului privind utilizarile abuzive ale informatiilor privilegiate si manipularile pietei [31];
– avand in vedere indoielile exprimate in prezentul aviz, evaluarea necesitatii si proportionalitatii sistemului propus de publicare obligatorie a sanctiunilor. Sub rezerva rezultatului testului de necesitate si proportionalitate, asigurarea, in orice caz, a unor garantii adecvate care sa asigure respectarea prezumtiei de nevinovatie, a dreptului persoanelor vizate de a se opune, securitatea/exactitatea datelor si stergerea acestora dupa o perioada de timp rezonabila;
– in ceea ce priveste articolul 70: 1. adaugarea la litera (b) a unei dispozitii conform careia: “identitatea acestor persoane trebuie garantata in toate etapele procedurii, cu exceptia cazului in care divulgarea este impusa de legislatia interna, in contextul extinderii anchetelor sau initierii de proceduri juridice ulterioare”; 2. adaugarea unei litere (d) prin care statele membre sunt obligate sa instituie “proceduri adecvate pentru a garanta dreptul persoanei incriminate de a se apara si de a fi ascultata inainte de adoptarea unei decizii care o priveste si dreptul la o cale de atac judiciara eficienta impotriva oricarei decizii sau masuri care o priveste”; 3. eliminarea cuvintelor “principiile stabilite in” de la litera (c) a prevederii.
Adoptat la Bruxelles, 10 februarie 2012.
Giovanni Buttarelli
Adjunctul Autoritatii Europene pentru Protectia Datelor
[1] JO L 281, 23.11.1995, p. 31.
[2] JO L 8, 12.1.2001, p. 1.
[3] Avizele AEPD din 10 februarie 2012 referitoare la pachetul legislativ privind revizuirea legislatiei in domeniul bancar, agentiile de rating de credit, pietele de instrumente financiare (MIFID/MIDIR) si abuzul de piata.
[4] COM(2011) 453.
[5] COM(2011) 452.
[6] Expunerea de motive a propunerii de directiva, pp. 2 si 3.
[7] Expunerea de motive a propunerii de regulament, pp. 2 si 3.
[8] A se vedea, in special, articolele 24, 48 si 51 din propunerea de directiva.
[9] Articolul 65 alineatul (2) si articolul 68 din propunerea de directiva.
[10] Articolul 70 din directiva propusa.
[11] Articolul 435 din regulamentul propus.
[12] Propunere a Comisiei de regulament al Parlamentului European si al Consiliului privind utilizarile abuzive ale informatiilor privilegiate si manipularile pietei, COM(2011) 651.
[13] A se vedea nota de subsol nr. 12.
[14] A se vedea Avizul din 10 februarie 2012 referitor la propunerile Comisiei privind un regulament al Parlamentului European si al Consiliului privind utilizarile abuzive ale informatiilor privilegiate si manipularile pietei, COM(2011) 651, si o directiva a Parlamentului European si a Consiliului privind sanctiunile penale pentru utilizarile abuzive ale informatiilor privilegiate si manipularile pietei, COM(2011) 654.
[15] Domeniul de aplicare personal al sanctiunilor este clarificat in articolul 65 al propunerii de directiva, conform caruia statele membre se asigura ca, in cazul incalcarii obligatiilor care revin institutiilor, holdingurilor financiare, holdingurilor financiare mixte si holdingurilor cu activitate mixta, se pot aplica sanctiuni membrilor organului de conducere si oricaror alte persoane care sunt responsabile pentru incalcare conform legislatiei nationale.
[16] A se vedea raportul evaluarii impactului, p. 42 si urmatoarele.
[17] Cauzele conexate C-92/09 si C-93/09, Schecke, punctele 56-64.
[18] A se vedea, in aceasta privinta, Avizul AEPD din 15 aprilie 2011 privind normele financiare aplicabile bugetului anual al Uniunii (JO C 215, 21.7.2011, p. 13).
[19] A se vedea pp. 44 si 45.
[20] De exemplu, autoritatile nationale ar putea lua in considerare urmatoarele masuri: sa amane publicarea pana la respingerea contestatiei sau, potrivit sugestiei din raportul evaluarii impactului, sa arate in mod clar ca decizia poate fi contestata si ca persoana beneficiaza de prezumtia de nevinovatie pana cand decizia devine finala si sa publice o rectificare atunci cand decizia este anulata de o instanta.
[21] A se vedea Avizul AEPD din 10 aprilie 2007 privind finantarea politicii agricole comune (JO C 134, 16.6.2007, p. 1).
[22] A se vedea in aceasta privinta documentul publicat de autoritatea italiana pentru protectia datelor, cu titlul “Orientari privind prelucrarea datelor cu caracter personal continute in acte si documente administrative, efectuata de catre organisme publice in vederea publicarii si difuzarii prin internet”, disponibila pe site-ul autoritatii italiene pentru protectia datelor: http://www.garanteprivacy.it/garante/doc.jsp?ID=1803707
[23] Aceste aspecte sunt legate, de asemenea, de dreptul general “de a fi uitat”, a carui includere in noul cadrul legislativ pentru protectia datelor cu caracter personal este in discutie.
[24] Aceste masuri si garantii pot consta, de exemplu, in excluderea indexarii datelor prin motoarele externe de cautare.
[25] Grupul de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal a publicat un aviz privind aceste scheme in 2006, in care facea referire la aspecte de protectie a datelor caracteristice acestui fenomen: Avizul nr. 1/2006 privind aplicarea normelor UE de protectie a datelor pentru sistemele de informare interna in domeniul contabilitatii, al reviziilor contabile interne, al auditului, al combaterii coruptiei si infractiunilor in domeniul bancar si financiar (Grupul de lucru privind denuntarea). Avizul este disponibil pe site-ul Grupului de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm
[26] A se vedea, de exemplu, Avizul AEPD privind normele financiare aplicabile bugetului anual al Uniunii din 15 aprilie 2011 (JO C 215, 21.7.2011, p. 13) si Avizul privind investigatiile efectuate de OLAF din 1 iunie 2011 (JO C 279, 23.9.2011, p. 11).
[27] Importanta mentinerii confidentialitatii denuntatorilor a fost deja amintita de AEPD in cadrul unei scrisori catre Ombudsmanul European din 30 iulie 2010, in cazul 2010-0458, disponibila pe site-ul AEPD (http://www.edps.europa.eu). A se vedea, de asemenea, avizele privind verificarile prealabile din 23 iunie 2006, referitoare la anchetele interne ale OLAF (cazul 2010-0418), si din 4 octombrie 2007 privind anchetele externe ale OLAF (cazurile 2007-47, 2007-48, 2007-49, 2007-50, 2007-72).
[28] A se vedea Avizul privind normele financiare aplicabile bugetului anual al Uniunii din 15 aprilie 2011, disponibil la: http://www.edps.europa.eu
[29] A se vedea, in aceasta privinta, Orientarile AEPD privind prelucrarea datelor cu caracter personal in anchetele administrative si procedurile disciplinare din institutiile si organismele europene, care dezvaluie relatia stransa intre dreptul de acces al persoanelor vizate si dreptul la aparare al persoanelor incriminate (pp. 8 si 9): http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/10-04-23_Guidelines_inquiries_EN.pdf
[30] A se vedea Avizul Grupului de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal privind schemele de informare, pp. 13 si 14.
[31] A se vedea nota de subsol nr. 12.