Aviz. Propunere de regulament. Utilizarile abuzive ale informatiilor privilegiate si manipularile pietei

Avizul Autoritatii Europene pentru Protectia Datelor referitor la propunerile Comisiei pentru un regulament al Parlamentului European si al Consiliului privind utilizarile abuzive ale informatiilor privilegiate si manipularile pietei si pentru o directiva a Parlamentului European si a Consiliului privind sanctiunile penale pentru utilizarile abuzive ale informatiilor privilegiate si manipularile pietei

2012/C 177/01
AUTORITATEA EUROPEANA PENTRU PROTECȚIA DATELOR,
avand in vedere Tratatul privind functionarea Uniunii Europene, in special articolul 16,
avand in vedere Carta drepturilor fundamentale a Uniunii Europene, in special articolele 7 si 8,
avand in vedere Directiva 95/46/CE a Parlamentului European si a Consiliului din 24 octombrie 1995 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date [1],
avand in vedere Regulamentul (CE) nr. 45/2001 al Parlamentului European si al Consiliului din 18 decembrie 2000 privind protectia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de catre institutiile si organele comunitare si privind libera circulatie a acestor date [2], in special articolul 28 alineatul (2),
ADOPTA PREZENTUL AVIZ:
1. INTRODUCERE
1.1. Consultarea AEPD
1. Prezentul aviz face parte dintr-un pachet de patru avize ale AEPD referitoare la sectorul financiar, adoptate in aceeasi zi [3].
2. La 20 octombrie 2011, Comisia a adoptat o propunere de regulament al Parlamentului European si al Consiliului privind utilizarile abuzive ale informatiilor privilegiate si manipularile pietei (“propunerea de regulament”) si o propunere de directiva a Parlamentului European si a Consiliului privind sanctiunile penale pentru utilizarile abuzive ale informatiilor privilegiate si manipularile pietei (“propunerea de directiva”). Propunerile de regulament si de directiva (denumite in mod colectiv “propunerile”) au fost trimise de catre Comisie AEPD si au fost primite la 31 octombrie 2011. La 6 decembrie 2011, Consiliul Uniunii Europene a consultat AEPD in privinta propunerilor.
3. AEPD a fost consultata in mod informal inainte de adoptarea propunerii de regulament. AEPD observa ca unele dintre observatiile sale au fost incluse in propunere.
4. AEPD saluta faptul ca este consultata de catre Comisie si Consiliu.
1.2. Obiectivele si domeniul de aplicare al propunerilor
5. Directiva privind abuzul de piata (Market Abuse Directive, MAD) [4], adoptata la inceputul anului 2003, a introdus un cadru juridic comun la nivelul UE pentru prevenirea, identificarea si impunerea de sanctiuni atat pentru utilizarile abuzive ale informatiilor privilegiate, cat si pentru manipularile pietei.
6. La cativa ani de la intrarea acesteia in vigoare, Comisia a evaluat aplicarea MAD si a identificat o serie de probleme, precum inconsecvente in reglementarea anumitor instrumente si piete, deficiente in aplicarea efectiva (autoritatile de reglementare nu dispun de anumite informatii si competente, iar sanctiunile lipsesc sau nu au un caracter destul de disuasiv), lipsa claritatii privind anumite concepte esentiale si sarcini administrative asupra emitentilor.
7. Avand in vedere aceste probleme si importantele modificari aduse peisajului financiar ca urmare a evolutiilor legislative, de piata si tehnologice, Comisia a adoptat propuneri legislative pentru reformarea MAD care constau in propunerile de regulament si de directiva. Obiectivele de politica ale revizuirii propuse sunt cresterea increderii investitorilor si a integritatii pietei si asigurarea adaptarii la noile evolutii din sectorul financiar.
8. In special, propunerea de regulament extinde sfera cadrului privind abuzul de piata, califica tentativele de manipulare a pietei si de utilizare abuziva a informatiilor privilegiate drept infractiuni specifice, consolideaza competentele de anchetare acordate autoritatilor competente si introduce norme minime pentru masuri administrative, sanctiuni si amenzi.
9. Propunerea de directiva impune statelor membre sa introduca sanctiuni penale pentru actele intentionate de utilizare abuziva a informatiilor privilegiate sau de manipulare a pietei si pentru instigarea, complicitatea si tentativa de savarsire a oricareia dintre aceste infractiuni. De asemenea, extinde raspunderea asupra persoanelor juridice, inclusiv, atunci cand este posibil, raspunderea penala a persoanelor juridice.
1.3. Scopul avizului AEPD
10. Unele dintre masurile planificate din propuneri pentru cresterea integritatii pietei si protectia investitorilor au impact asupra drepturile persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal ale acestora.
11. In special, atunci cand autoritatile competente ancheteaza sau coopereaza in scopul identificarii, raportarii si/sau sanctionarii utilizarii abuzive a informatiilor privilegiate sau a abuzului de piata, sunt colectate, prelucrate si comunicate date cu caracter personal. In plus, mecanismul pentru incurajarea persoanelor in sensul raportarii incalcarilor va implica, de asemenea, prelucrarea datelor cu caracter personal apartinand atat persoanei care raporteaza incalcarile, cat si persoanei “incriminate”. In sfarsit, regimul de sanctiuni va afecta dreptul la protectia datelor cu caracter personal, in masura in care vor fi publicate sanctiuni care mentioneaza identitatea persoanei responsabile pentru incalcarea propunerii de regulament.
12. Desi propunerea de regulament contine mai multe dispozitii care pot afecta dreptul persoanei la protectia datelor sale cu caracter personal, propunerea de directiva nu implica in sine prelucrarea datelor cu caracter personal. Prin urmare, prezentul aviz se va axa pe propunerea de regulament, in special pe urmatoarele aspecte: 1. aplicabilitatea legislatiei din domeniul protectiei datelor; 2. listele persoanelor care au acces la informatii privilegiate; 3. atributiile autoritatilor competente; 4. sistemele instituite pentru identificarea si raportarea tranzactiilor suspecte; 5. schimbul de informatii cu tari terte; 6. publicarea sanctiunilor si raportarea incalcarilor.
2. ANALIZA PROPUNERILOR
2.1. Aplicabilitatea legislatiei din domeniul protectiei datelor
13. Atat considerentele [5], cat si dispozitiile [6] din propunerea de regulament mentioneaza Carta drepturilor fundamentale, Directiva 95/46/CE si Regulamentul (CE) nr. 45/2001. In special, articolul 22 din propunerea de regulament prevede in mod explicit ca regula generala ca “in ceea ce priveste procedurile de prelucrare a datelor cu caracter personal efectuate de statele membre in cadrul prezentului regulament, autoritatile competente aplica prevederile Directivei 95/46/CE. In ceea ce priveste procedurile de prelucrare a datelor cu caracter personal efectuate de AEVMP in cadrul prezentului regulament, AEVMP respecta prevederile Regulamentului (CE) nr. 45/2001”. De asemenea, dispozitia prevede o perioada de pastrare a datelor cu caracter personal de maximum 5 ani.
14. AEPD saluta cu deosebita satisfactie aceasta dispozitie importanta si apreciaza in general atentia acordata in mod specific legislatiei in materie de protectie a datelor in propunerea de regulament. Totusi, AEPD sugereaza ca aceasta dispozitie ar trebui reformulata, astfel incat sa sublinieze aplicabilitatea legislatiei actuale in materie de protectie a datelor. De asemenea, referirea la Directiva 95/46/CE ar trebui clarificata, prin mentionarea faptului ca dispozitiile se aplica in conformitate cu normele nationale de aplicare a Directivei 95/46/CE. AEPD observa ca unele dispozitii ale propunerii de regulament se refera in mod explicit la Directiva 95/46/CE si/sau la Regulamentul (CE) nr. 45/2001. Aceasta subliniaza aplicarea normelor relevante privind protectia datelor in cazuri specifice, dar nu inseamna ca normele nu sunt aplicabile atunci cand nu sunt mentionate in mod explicit in fiecare dispozitie care implica (eventual) prelucrarea datelor cu caracter personal.
15. La fel ca in considerentul 33, in alte considerente ar trebui sa se utilizeze in mod constant formularea “statele membre respecta” in loc de “ar trebui sa respecte” legislatia relevanta in materie de protectie a datelor, deoarece aceasta din urma este in vigoare si nu exista o marja de apreciere in privinta aplicabilitatii sale.
2.2. Listele persoanelor care au acces la informatii privilegiate
16. Propunerea de regulament contine o dispozitie prin care emitentii unui instrument financiar sau participantii pe piata certificatelor de emisii sunt obligati sa stabileasca o lista cu persoanele care lucreaza pentru ei pe baza unui contract de munca sau a altei forme de colaborare, care au acces la informatii privilegiate [articolul 13 alineatul (1)]. Emitentii ale caror instrumente financiare sunt admise la tranzactionare pe o piata de crestere pentru IMM-uri sunt scutiti de aceasta obligatie, cu exceptia cazului in care exista o solicitare in acest sens din partea autoritatii competente [articolul 13 alineatul (2)].
17. AEPD recunoaste necesitatea acestei liste ca instrument important pentru autoritatile competente atunci cand ancheteaza posibile utilizari abuzive ale informatiilor privilegiate sau abuzuri de piata. Totusi, in masura in care aceste liste vor implica prelucrarea datelor cu caracter personal, legea de baza ar trebui sa contina principalele norme si garantii in materie de protectie a datelor. Prin urmare, AEPD recomanda introducerea, intr-o dispozitie de fond din propunerea de regulament, a unei referiri explicite la scopul unei astfel de liste. Intr-adevar, scopul este unul dintre elementele esentiale ale oricarei prelucrari in conformitate cu articolul 6 din Directiva 95/46/CE.
18. In conformitate cu articolul 13 alineatul (4) din propunerea de regulament, Comisia adopta, prin intermediul unor acte delegate, masuri de stabilire a continutului unei liste (inclusiv a informatiilor cu privire la identitatea persoanelor si la motivele pentru care sunt incluse pe lista celor care au acces la informatii privilegiate) si a conditiilor in care este intocmita o astfel de lista (inclusiv conditiile de actualizare, perioada de pastrare si responsabilitatile persoanelor incluse in lista). Totusi, AEPD recomanda:
– includerea principalelor elemente ale listei (in orice caz, motivele includerii persoanelor respective) chiar in propunerea de regulament;
– includerea unei referi la necesitatea consultarii AEPD atunci cand actele delegate privesc prelucrarea datelor cu caracter personal.
2.3. Atributiile autoritatilor competente
19. Articolul 17 alineatul (2) enumera competentele minime de supraveghere si de investigatie de care dispun autoritatile competente pentru a-si indeplini atributiile in conformitate cu propunerea de regulament.
20. Doua dintre competentele mentionate necesita o atentie deosebita, deoarece afecteaza drepturile la viata privata si la protectia datelor: competenta de a intra in sedii private in vederea confiscarii de documente in orice forma si competenta de a solicita inregistrarile convorbirilor telefonice si ale schimburilor de date.
2.3.1. Competenta de a intra in sedii private
21. Competenta de a intra in sedii private in vederea confiscarii de documente, in orice forma, este extrem de invaziva si aduce atingere dreptului la viata privata. Astfel, aceasta ar trebui sa faca obiectul unor conditii stricte si sa fie insotita de garantii adecvate [7]. Articolul 17 alineatul (2) litera (e) impune ca accesul in sediile private sa se faca pe baza unei autorizatii prealabile din partea autoritatii judiciare, in conformitate cu legislatia nationala, si atunci cand exista banuieli intemeiate ca documentele legate de obiectul anchetei ar putea fi concludente pentru a dovedi utilizarea abuziva a informatiilor privilegiate sau manipularea pietei. AEPD apreciaza faptul ca textul reglementeaza atributiile autoritatii competente impunand drept conditii pentru accesul in sedii private suspiciunea rezonabila privind incalcarea propunerii de regulament sau de directiva si autorizarea prealabila din partea unei autoritati judiciare. Cu toate acestea, AEPD considera ca cerinta generala a unei autorizari judiciare prealabile, indiferent daca aceasta este sau nu prevazuta de legislatia interna, este atat justificata, cat si necesara avand in vedere posibilul caracter invaziv al competentei in cauza.
22. Considerentul 30 din propunerea de regulament mentioneaza cazurile in care este necesar accesul la sedii private: persoana careia i s-au solicitat deja informatii nu se conformeaza (in totalitate sau partial) acestei obligatii sau exista motive pentru a considera ca, daca s-ar formula o astfel de solicitare, persoana in cauza nu s-ar conforma sau ca documentele sau informatiile la care se refera solicitarea ar fi retrase, modificate sau distruse. AEPD saluta aceste precizari. Totusi, AEPD considera ca acestea reprezinta garantii suplimentare, care sunt necesare pentru a asigura conformitatea cu dreptul la viata privata si, prin urmare, ar trebui sa fie introduse intr-o dispozitie de fond, ca o conditie a accesului la sedii private.
2.3.2. Competenta de a solicita inregistrarile convorbirilor telefonice si ale schimburilor de date
23. Articolul 17 alineatul (2) autorizeaza autoritatile competente sa “solicite inregistrari ale convorbirilor telefonice si ale schimburilor de date existente detinute de operatorii de telecomunicatii sau de societatile de investitii”, dar precizeaza ca aceasta cerinta este conditionata de “banuieli intemeiate” ca aceste inregistrari “ar putea fi concludente pentru a dovedi utilizarea abuziva a informatiilor privilegiate sau manipularea pietei” in temeiul propunerii de regulament sau de directiva. Totusi, aceste inregistrari nu includ “continutul comunicarilor respective”. In plus, articolul 17 alineatul (3) prevede ca atributiile mentionate la alineatul (2) sunt exercitate in conformitate cu legislatia nationala.
24. Datele referitoare la utilizarea mijloacelor de comunicatii electronice pot cuprinde o gama larga de informatii cu caracter personal, precum identitatea persoanelor care initiaza sau primesc apelul, ora si durata apelului, reteaua folosita, localizarea geografica a utilizatorului in cazul aparatelor portabile etc. Unele date de trafic privind utilizarea internetului si a e-mailului (de exemplu, lista site-urilor vizitate) pot oferi, de asemenea, detalii importante despre continutul comunicarii. In plus, prelucrarea datelor privind traficul contravine secretului corespondentei. Avand in vedere acest aspect, Directiva 2002/58/CE [8] (Directiva asupra confidentialitatii si comunicatiilor electronice) a instituit principiul conform caruia datele privind traficul trebuie sterse sau trecute in anonimat atunci cand nu mai sunt necesare in vederea transmiterii comunicatiei [9]. Conform articolului 15 alineatul (1) din aceasta directiva, statele membre pot include in legislatia nationala derogari in anumite scopuri legitime, dar derogarile trebuie sa fie necesare, corespunzatoare si proportionale in cadrul unei societati democratice, pentru atingerea acestor scopuri [10].
25. AEPD recunoaste ca obiectivele urmarite de Comisie in propunerea de regulament sunt legitime. De asemenea, AEPD intelege necesitatea unor initiative care sa vizeze consolidarea supravegherii pietelor financiare pentru a mentine soliditatea acestora si pentru a proteja mai bine investitorii si economia in general. Totusi, competentele de anchetare legate in mod direct de datele privind traficul, avand in vedere caracterul lor potential invaziv, trebuie sa respecte cerintele de necesitate si proportionalitate, adica sa se limiteze la ceea ce este adecvat pentru atingerea obiectivului urmarit si sa nu depaseasca ceea ce este necesar pentru atingerea acestuia [11]. Prin urmare, este esential din aceasta perspectiva ca dispozitiile sa fie formulate clar in ceea ce priveste domeniul lor de aplicare personal si material, precum si circumstantele si conditiile in care pot fi folosite. In plus, trebuie prevazute garantii adecvate impotriva riscului de abuzuri.
26. Inregistrarile convorbirilor telefonice si schimburilor de date vizate vor include, in mod evident, date cu caracter personal in sensul Directivei 95/46/CE, al Directivei 2002/58/CE si al Regulamentului (CE) nr. 45/2001. Considerentul 31 din propunerea de regulament mentioneaza ca “inregistrarile convorbirilor telefonice si ale schimburilor de date […] pot stabili identitatea unei persoane responsabile de diseminarea informatiilor false sau inselatoare, pot demonstra ca anumite persoane s-au aflat in contact la un anumit moment sau ca exista o relatie intre doua sau mai multe persoane” [12]. Prin urmare, trebuie sa se asigure respectarea deplina a conditiilor prelucrarii corecte si legale a datelor cu caracter personal, astfel cum sunt prevazute in directive si in regulament.
2.3.3. Cerinta privind autorizatia judiciara
27. AEPD observa ca, in conformitate cu articolul 17 alineatul (3), aceasta competenta se exercita in conformitate cu legislatia nationala, fara a se face referire in mod explicit la o autorizatie judiciara prealabila, cum este cazul competentei de a intra in sedii private. AEPD considera ca cerinta generala a unei autorizari judiciare prealabile in toate cazurile – indiferent daca legislatia nationala prevede sau nu acest lucru – ar fi justificata avand in vedere posibilul caracter invaziv al competentei in cauza si in interesul aplicarii armonizate a legislatiei in toate statele membre ale UE. De asemenea, trebuie avut in vedere faptul ca mai multe legi ale statelor membre prevad garantii speciale privind inviolabilitatea domiciliului impotriva controalelor, a perchezitiilor sau a confiscarilor disproportionate si nereglementate atent, in special atunci cand acestea sunt realizate de institutii cu rol administrativ.
28. In plus, AEPD recomanda introducerea cerintei ca autoritatile competente sa solicite inregistrarile convorbirilor telefonice si ale schimburilor de date printr-o decizie oficiala, care sa precizeze temeiul juridic si scopul cererii, informatiile solicitate, termenul in care trebuie furnizate informatiile, precum si dreptul destinatarului cererii de a se adresa Curtii de Justitie pentru analizarea deciziei.
2.3.4. Definitia inregistrarilor convorbirilor telefonice si ale schimburilor de date
29. Propunerea de regulament nu defineste notiunile de “inregistrari ale convorbirilor telefonice si ale schimburilor de date”. Directiva 2002/58/CE (Directiva asupra confidentialitatii si comunicatiilor electronice) face referire numai la “date de transfer”, dar nu si la “inregistrari ale convorbirilor telefonice si ale schimburilor de date”. Este de la sine inteles ca semnificatia exacta a acestor notiuni determina impactul pe care competenta de anchetare o poate avea asupra vietii private si protectiei datelor persoanelor vizate. AEPD sugereaza utilizarea terminologiei deja existente in definitia “datelor de transfer” din Directiva 2002/58/CE.
30. Articolul 17 alineatul (2) litera (f) face referire la “inregistrari ale convorbirilor telefonice si ale schimburilor de date existente detinute de operatorii de telecomunicatii”. Directiva asupra confidentialitatii si comunicatiilor electronice stabileste principiul conform caruia datele de transfer trebuie sa fie sterse atunci nu mai sunt necesare in scopurile comerciale pentru care au fost colectate. Totusi, conform articolului 15 alineatul (1) din aceasta directiva, statele membre pot fi exceptate de la aceasta obligatie in sensul aplicarii legii. Directiva privind pastrarea datelor intentioneaza sa alinieze initiativele statelor membre in temeiul articolului 15 alineatul (1) din Directiva asupra confidentialitatii si comunicatiilor electronice, in ceea ce priveste pastrarea datelor in vederea investigarii, a depistarii si a urmaririi penale a infractiunilor “grave”.
31. Intrebarea este daca inregistrarile convorbirilor telefonice si ale schimburilor de date mentionate la articolul 17 alineatul (2) litera (f) fac referire la datele disponibile ca urmare a stocarii traficului si a datelor de localizare reglementate de Directiva asupra confidentialitatii si comunicatiilor electronice sau la datele suplimentare prevazute de Directiva privind pastrarea datelor. Ultima optiune ar genera motive grave de ingrijorare, deoarece derogarile prevazute la articolul 15 alineatul (1) din Directiva asupra confidentialitatii si comunicatiilor electronice (si anume prevenirea, detectarea, investigarea si urmarirea penala a unor fapte penale) ar fi utilizate pentru a creste numarul scopurilor in care sunt pastrate datele in temeiul Directivei privind pastrarea datelor (si anume investigarea, detectarea si urmarirea penala a unor fapte penale “grave”). Cu alte cuvinte, datele pastrate in temeiul Directivei privind pastrarea datelor ar fi astfel folosite in scopuri care nu sunt prevazute de directiva. Aceasta ar implica o incurajare din partea UE pentru utilizarea “lacunei legislative” care reprezinta una dintre principalele deficiente ale actualei Directive privind pastrarea datelor [13].
32. Prin urmare, AEPD recomanda cu insistenta specificarea categoriilor de inregistrari telefonice si schimburi de date care pot fi solicitate de autoritatile competente. Aceste date trebuie sa fie adecvate, relevante si sa nu depaseasca limitele scopurilor pentru care sunt accesate si prelucrate. De asemenea, AEPD recomanda limitarea sferei articolului 17 alineatul (2) litera (f) la datele prelucrate (detinute) in mod normal de operatorii de telecomunicatii in cadrul Directivei 2002/58/CE asupra confidentialitatii si comunicatiilor electronice. Aceasta exclude, in principiu, accesul la datele retinute in sensul Directivei privind pastrarea datelor, in masura in care acest acces nu este in scopul investigarii, al detectarii si al urmaririi penale a unor fapte penale “grave” [14].
33. Articolul 17 alineatul (2) litera (f) prevede accesul la “inregistrari ale convorbirilor telefonice si ale schimburilor de date […] detinute de […] societatile de investitii”. Textul ar trebui sa specifice categoriile de inregistrari si sa explice care sunt societatile la care se face referire. AEPD presupune ca inregistrarile vor coincide cu cele mentionate in propunerea de directiva a Parlamentului European si a Consiliului privind pietele instrumentelor financiare (“propunerea MiFID”). AEPD subliniaza ca a prezentat o serie de observatii referitoare la aceasta propunere, prin care a recomandat si clarificarea acestor notiuni [15]. De asemenea, in masura in care datele privind apelurile telefonice si schimburile de date se refera la conversatiile telefonice si la comunicatiile electronice mentionate la articolul 16 alineatul (7) din propunerea MiFID, AEPD a recomandat definirea scopului inregistrarii acestor comunicatii, precum si specificarea tipului de comunicatii si a categoriilor de date ale acestora care vor fi inregistrate [16].
34. In sfarsit, AEPD observa cu satisfactie ca textul impune drept conditie pentru accesul la inregistrari existenta unei banuieli intemeiate privind incalcarea propunerii de regulament sau a propunerii de directiva si ca exclude in mod explicit accesul autoritatilor competente la continutul comunicatiilor.
2.4. Sisteme functionale de detectare si raportare a tranzactiilor suspecte
35. Articolul 11 alineatul (1) din propunerea de regulament prevede ca orice persoana care administreaza activitatile unui loc de tranzactionare adopta si mentine modalitati si proceduri efective cu scopul de a preveni si a identifica abuzurile de piata. De asemenea, alineatul (2) prevede ca orice persoana care efectueaza tranzactii cu instrumente financiare cu titlu profesional trebuie sa detina sisteme functionale de detectare si raportare a ordinelor si tranzactiilor care pot constitui utilizari abuzive ale informatiilor privilegiate, manipulari ale pietei sau tentative de participare la manipularea pietei sau la utilizarea abuziva a informatiilor privilegiate. In caz de suspiciuni, autoritatea competenta este informata fara intarziere. Comisia va adopta standardele tehnice de reglementare pentru a stabili modalitatile si procedurile adecvate mentionate la alineatul (1) si pentru a determina sistemele si modelele de notificare mentionate la alineatul (2) [articolul 11 alineatul (3) ultima teza].
36. In masura in care aceste sisteme vor implica, cel mai probabil, date cu caracter personal (de exemplu, monitorizarea tranzactiilor efectuate de persoane mentionate in listele persoanelor care au acces la informatii privilegiate), AEPD doreste sa sublinieze ca aceste standarde ar trebui elaborate in conformitate cu principiul “confidentialitatii prin proiectare”, adica integrarea protectiei datelor si a vietii private chiar din momentul proiectarii noilor produse, servicii si proceduri care implica prelucrarea datelor cu caracter personal [17]. In plus, AEPD recomanda includerea unei referiri la necesitatea consultarii AEPD in masura in care aceste standarde de reglementare privesc prelucrarea datelor cu caracter personal.
2.5. Schimbul de informatii cu state terte
37. AEPD remarca referirea la Directiva 95/46/CE, in special la articolele 25 sau 26, precum si garantiile specifice mentionate la articolul 23 din propunerea de regulament, referitoare la divulgarea datelor cu caracter personal catre tari terte. Avand in vedere riscurile caracteristice unor astfel de transferuri, sunt considerate garantii adecvate: evaluarea de la caz la caz, verificarea necesitatii transferului, cerinta de autorizare expresa prealabila din partea autoritatii competente a unui nou transfer de date catre si de catre o tara terta, precum si existenta unui nivel corespunzator de protectie a datelor cu caracter personal in tara terta care primeste datele cu caracter personal.
2.6. Publicarea sanctiunilor
2.6.1. Publicarea obligatorie a sanctiunilor
38. Articolul 26 alineatul (3) din propunerea de regulament obliga statele membre sa se asigure ca autoritatile competente publica fiecare masura sau sanctiune administrativa aplicata pentru incalcarea propunerii de regulament in cel mai scurt timp, inclusiv cel putin informatii privind natura incalcarii si identitatea persoanelor responsabile, exceptand situatia in care aceasta divulgare pericliteaza stabilitatea pietelor financiare.
39. Publicarea sanctiunilor ar contribui la cresterea caracterului disuasiv, deoarece autorii efectivi si potentiali ar fi descurajati sa savarseasca infractiuni pentru a evita afectarea semnificativa a reputatiei. In plus, in acest fel va creste transparenta, deoarece operatorii de pe piata ar sti ca a fost comisa o incalcare de catre o anumita persoana. Aceasta obligatie este restransa numai atunci cand publicarea informatiilor ar aduce un prejudiciu disproportionat partilor implicate, caz in care autoritatile competente publica sanctiunile fara a indica identitatea persoanelor responsabile.
40. AEPD saluta referirea de la considerentul 35 la Carta drepturilor fundamentale si, in special, la dreptul la protectia datelor cu caracter personal in momentul adoptarii si publicarii sanctiunilor. Cu toate acestea, AEPD nu are convingerea ca publicarea obligatorie a sanctiunilor, in forma sa actuala, indeplineste cerintele legislatiei privind protectia datelor astfel cum au fost interpretate de Curtea de Justitie in hotararea Schecke [18]. AEPD este de parere ca scopul, necesitatea si proportionalitatea masurii nu sunt stabilite in mod suficient si ca, in orice caz, ar trebui prevazute garantii adecvate impotriva riscurilor la adresa drepturilor persoanelor.
2.6.2. Necesitatea si proportionalitatea publicarii
41. In hotararea Schecke, Curtea de Justitie a anulat dispozitiile unui regulament al Consiliului si ale unui regulament al Comisiei, care prevedeau obligatia de publicare a informatiilor referitoare la beneficiarii fondurilor agricole, inclusiv identitatea beneficiarilor si sumele primite de acestia. Curtea a sustinut ca publicarea in cauza constituia o prelucrare de date cu caracter personal care intra sub incidenta articolului 8 alineatul (2) din Carta drepturilor fundamentale a Uniunii Europene (“Carta”) si, astfel, reprezenta o incalcare a drepturilor recunoscute la articolele 7 si 8 din Carta.
42. Dupa ce a afirmat ca, potrivit analizei sale, “derogarile de la protectia datelor cu caracter personal si restrangerile de la aceasta trebuie sa fie efectuate in limitele strictului necesar”, Curtea a continuat prin a analiza scopul publicarii si proportionalitatea acesteia. Curtea a concluzionat ca nu exista indicii potrivit carora, atunci cand au adoptat actele legislative in cauza, Consiliul si Comisia ar fi luat in considerare modalitati de publicare a informatiilor care sa fie consecvente cu obiectivul unei astfel de publicari si care, in acelasi timp, sa ii afecteze intr-o mai mica masura pe respectivii beneficiari.
43. Articolul 26 alineatul (3) din propunerea de regulament pare sa fie afectat de aceleasi deficiente subliniate de CEJ in hotararea Schecke. Trebuie retinut ca, atunci cand o dispozitie care impune divulgarea publica a unor informatii cu caracter personal este evaluata din perspectiva respectarii cerintelor de protectie a datelor, este deosebit de important sa existe un scop clar si bine definit care se intentioneaza a fi urmarit prin publicarea in cauza. Numai in conditiile existentei unui astfel de scop clar si bine definit se poate stabili daca publicarea respectivelor date cu caracter personal este cu adevarat necesara si proportionala [19].
44. Dupa ce a citit propunerea si documentele insotitoare (respectiv, raportul de evaluare a impactului), AEPD este de parere ca scopul si, implicit, necesitatea acestei masuri nu sunt clar stabilite. In timp ce considerentele propunerii nu mentioneaza aceste aspecte, evaluarea impactului se refera doar la efectele pozitive generale (si anume efectul disuasiv asupra abuzurilor de piata, contributia la protectia investitorilor, tratamentul egal al emitentilor, o mai buna aplicare a legii) si se limiteaza la mentionarea faptului ca “publicarea sanctiunilor are o deosebita importanta pentru cresterea transparentei si mentinerea increderii in piata financiara” si ca “publicarea sanctiunilor impuse va contribui la obiectivul de descurajare si creste integritatea pietei si protectia investitorilor” [20]. O declaratie formulata in termeni atat de generali nu pare suficienta pentru a demonstra necesitatea masurii propuse. Daca scopul general este cresterea caracterului disuasiv, se pare ca Comisia ar fi trebuit sa explice, in special, motivul pentru care nu ar fi fost suficiente sanctiuni financiare mai severe (sau alte sanctiuni care nu sunt echivalente cu metoda dezaprobarii publice).
45. In plus, raportul de evaluare a impactului nu pare sa ia in considerare metode mai putin agresive, precum luarea deciziei de publicare de la caz la caz. In special, ultima optiune poate reprezenta, prima facie, o solutie mai proportionala, indeosebi atunci cand se considera ca publicarea este, in sine, o sanctiune – astfel cum se recunoaste la articolul 26 alineatul (1) litera (d) – care trebuie, astfel, sa fie evaluata de la caz la caz, in functie de circumstantele relevante, precum gravitatea incalcarii, gradul de responsabilitate personala, recidiva, pierderile suferite de parti terte etc. [21].
46. Raportul de evaluare a impactului nu explica de ce publicarea in cazuri individuale nu este o optiune suficienta. Acesta se limiteaza la a mentiona ca publicarea sanctiunilor impuse “va contribui la obiectivul eliminarii optiunilor si aprecierii proprii, prin eliminarea, atunci cand este posibil, a marjei de apreciere de care dispun statele membre in prezent, de a nu solicita o astfel de publicare” [22]. In opinia AEPD, posibilitatea de a evalua cazul din perspectiva circumstantelor specifice reprezinta o solutie mai proportionala si, astfel, o optiune preferata in raport cu publicarea obligatorie in toate cazurile. De exemplu, aceasta marja de apreciere ar permite autoritatii competente sa evite publicarea in cazuri de incalcari mai putin grave, cand nu au fost cauzate prejudicii importante, cand partea a demonstrat o atitudine cooperanta etc. Prin urmare, evaluarea impactului nu elimina indoielile privind necesitatea si proportionalitatea masurii.
2.6.3. Necesitatea de garantii adecvate
47. Propunerea de regulament ar fi trebuit sa prevada garantii adecvate prin care sa asigure un echilibru corect intre diferitele interese implicate. Mai intai, sunt necesare garantii in ceea ce priveste dreptul persoanelor incriminate de a contesta o decizie in instanta, precum si prezumtia de nevinovatie. Articolul 26 alineatul (3) ar fi trebuit sa contina o formulare specifica in acest sens, astfel incat sa oblige autoritatile competente sa adopte masuri corespunzatoare privind ambele situatii in care decizia face obiectul unui recurs si, ulterior, este anulata de o instanta [23].
48. In al doilea rand, propunerea de regulament ar trebui sa garanteze respectarea intr-o maniera proactiva a drepturilor persoanelor vizate. AEPD saluta faptul ca versiunea finala a propunerii prevede posibilitatea ca publicarea sa fie exclusa in cazurile in care aceasta ar putea cauza prejudicii disproportionate. Totusi, o atitudine proactiva ar trebui sa presupuna o informare prealabila a persoanelor vizate in privinta publicarii deciziei prin care sunt sanctionati, precum si in privinta faptului ca beneficiaza de dreptul de opozitie, in temeiul articolului 14 din Directiva 95/46/CE [24], din considerente intemeiate si legitime.
49. In al treilea rand, desi propunerea de regulament nu specifica mediul in care ar trebui publicate informatiile, in practica se presupune ca, in majoritatea statelor membre, forma adoptata va fi cea a publicarii pe internet. Publicarile pe internet ridica probleme si riscuri specifice, legate in special de nevoia de a garanta mentinerea informatiilor online doar pe perioada necesara si faptul ca datele nu pot fi manipulate sau modificate. Utilizarea motoarelor externe de cautare presupune, de asemenea, riscul ca informatiile sa poata fi scoase din context si transmise prin internet si in afara acestuia in moduri care nu pot fi controlate cu usurinta [25].
50. Avand in vedere cele mai sus, este necesar ca statele membre sa fie obligate sa se asigure ca datele cu caracter personal ale persoanelor vizate sunt pastrate online doar pentru o perioada de timp rezonabila, dupa care sunt sterse in mod sistematic [26]. In plus, ar trebui sa se impuna statelor membre sa asigure instituirea de masuri de securitate si garantii adecvate, in special pentru protectia impotriva riscurilor legate de utilizarea motoarelor externe de cautare [27].
2.6.4. Concluzie
51. AEPD este de parere ca dispozitia referitoare la publicarea obligatorie a sanctiunilor – in forma sa actuala – nu respecta drepturile fundamentale la viata privata si protectia datelor. Legiuitorul ar trebui sa evalueze cu atentie necesitatea sistemului propus si sa verifice daca obligatia de publicare depaseste ceea ce este necesar pentru atingerea obiectivului de interes public urmarit si daca nu exista metode mai putin restrictive de a indeplini acelasi obiectiv. Sub rezerva rezultatului acestui test de proportionalitate, obligatia de publicare ar trebui, in orice caz, sa fie insotita de garantii adecvate care sa asigure respectarea prezumtiei de nevinovatie, dreptul de opozitie al persoanelor vizate, securitatea/exactitatea datelor si stergerea acestora dupa o perioada de timp adecvata.
2.7. Raportarea incalcarilor
52. Articolul 29 din propunerea de regulament obliga statele membre sa instituie mecanisme eficace de raportare a incalcarilor, cunoscute si sub denumirea de “scheme de informare”. Desi pot reprezenta un instrument eficient de asigurare a conformitatii, aceste sisteme ridica importante preocupari din perspectiva protectiei datelor [28].
53. AEPD saluta prezenta in propunerea de regulament a unor garantii specifice, care urmeaza sa fie dezvoltate ulterior la nivel national, privind protectia persoanelor care raporteaza suspiciuni de incalcari si, la nivel mai general, protectia datelor cu caracter personal. AEPD intelege ca propunerea de regulament stabileste doar elementele principale ale schemei care urmeaza sa fie aplicata de statele membre. Cu toate acestea, doreste sa atraga atentia asupra urmatoarelor aspecte suplimentare.
54. Ca in cazul altor avize [29], AEPD evidentiaza necesitatea introducerii unei referiri specifice la nevoia de a respecta confidentialitatea referitoare la identitatea denuntatorilor si informatorilor. AEPD subliniaza ca informatorii se afla intr-o pozitie delicata. Persoanele care furnizeaza astfel de informatii trebuie sa primeasca garantii ca identitatea lor va fi pastrata confidentiala, in special fata de persoana cu privire la care este raportata o presupusa ilegalitate [30]. Confidentialitatea identitatii informatorilor ar trebui sa fie garantata in toate etapele procedurii, in masura in care acest lucru nu contravine reglementarilor nationale privind procedurile judiciare. In special, ar putea fi necesar ca identitatea sa fie divulgata in contextul extinderii anchetelor sau al declansarii de proceduri juridice ulterioare, initiate in urma anchetei (inclusiv in cazul in care se constata ca au fost prezentate declaratii false cu rea intentie) [31]. Avand in vedere cele de mai sus, AEPD recomanda adaugarea la articolul 29 alineatul (1) litera (b) a urmatoarei dispozitii: “identitatea acestor persoane ar trebui garantata in toate etapele procedurii, cu exceptia cazului in care divulgarea este impusa de legislatia interna, in contextul extinderii anchetelor sau initierii de proceduri juridice ulterioare”.
55. AEPD observa cu satisfactie ca articolul 29 alineatul (1) litera (c) impune statelor membre sa asigure protectia datelor cu caracter personal apartinand atat persoanei incriminate, cat si celei care incrimineaza, in conformitate cu principiile stabilite in Directiva 95/46/CE. Totusi, AEPD sugereaza eliminarea sintagmei “principiile stabilite in”, pentru a face referirea mai cuprinzatoare si obligatorie. In ceea ce priveste necesitatea de a respecta legislatia in materie de protectie a datelor in cursul punerii in aplicare practice a schemelor, AEPD doreste sa sublinieze in special recomandarile Grupului de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal in avizul sau din 2006 referitor la schemele de informare. In cursul punerii in aplicare a schemelor nationale, entitatile competente ar trebui sa aiba in vedere, printre altele, necesitatea de a respecta proportionalitatea prin limitarea, intr-o masura cat mai mare, a categoriilor de persoane indreptatite sa raporteze, a categoriilor de persoane care pot fi incriminate si a incalcarilor pentru care pot fi incriminate; necesitatea de a favoriza rapoartele identificate si confidentiale in detrimentul rapoartelor anonime; necesitatea de a dispune divulgarea identitatii informatorilor atunci cand acestia au prezentat declaratii rauvoitoare si necesitatea de a respecta perioade stricte de pastrare a datelor.
3. CONCLUZII
56. AEPD saluta atentia acordata in special protectiei datelor in propunerea de regulament.
57. AEPD adreseaza urmatoarele recomandari:
– specificarea in articolul 13 a scopului listelor cu persoanele care au acces la informatii privilegiate;
– introducerea in articolul 17 alineatul (2) litera (e), referitor la competenta de a intra in sedii private, a conditiei generale de autorizare judiciara prealabila;
– introducerea in articolul 17 alineatul (2) litera (f), referitor la competenta de a solicita datele privind convorbirile telefonice si schimburile de date, a cerintei generale de autorizare judiciara prealabila si a cerintei privind o decizie oficiala care sa specifice: (i) temeiul juridic; (ii) scopul cererii; (iii) informatiile solicitate; (iv) termenul in care trebuie furnizate informatiile; si (v) dreptul destinatarului cererii de a se adresa Curtii de Justitie pentru analizarea deciziei;
– specificarea categoriilor de inregistrari ale convorbirilor telefonice si ale schimburilor de date detinute de operatorii de telecomunicatii si de societatile de investitii pe care le pot solicita autoritatile competente, precum si limitarea sferei articolului 17 alineatul (2) litera (f) la datele prelucrate (“detinute”) in mod normal de operatorii de telecomunicatii in cadrul Directivei 2002/58/CE;
– adaugarea la articolul 29 alineatul (1) litera (b) a unei dispozitii cu urmatorul continut: “identitatea acestor persoane ar trebui garantata in toate etapele procedurii, cu exceptia cazului in care divulgarea este impusa de legislatia interna, in contextul extinderii anchetelor sau initierii de proceduri juridice ulterioare”;
– avand in vedere indoielile exprimate in prezentul aviz, evaluarea necesitatii si proportionalitatii sistemului propus de publicare obligatorie a sanctiunilor. Sub rezerva rezultatului testului de necesitate si proportionalitate, asigurarea, in orice caz, de garantii adecvate care sa asigure respectarea prezumtiei de nevinovatie, a dreptului de opozitie al persoanelor vizate, securitatea/exactitatea datelor si stergerea acestora dupa o perioada de timp adecvata.
Adoptat la Bruxelles, 10 februarie 2012.
Giovanni Buttarelli
Adjunctul Autoritatii Europene pentru Protectia Datelor
[1] JO L 281, 23.11.1995, p. 31.
[2] JO L 8, 12.1.2001, p. 1.
[3] Avizele AEPD din 10 februarie 2012 privind pachetul legislativ referitor la revizuirea legislatiei din domeniul bancar, agentiile de rating de credit, pietele de instrumente financiare (MiFID/MiDIR) si abuzurile de piata.
[4] Directiva 2003/6/CE a Parlamentului European si a Consiliului din 28 ianuarie 2003 privind utilizarile abuzive ale informatiilor confidentiale si manipularile pietei (abuzul de piata), JO L 96, 12.4.2003, p. 16.
[5] A se vedea considerentele 33, 35, 39 si 40 din propunerea de regulament.
[6] A se vedea articolul 17 alineatul (4), articolele 22, 23 si articolul 29 alineatul (1) litera (c) din propunerea de regulament.
[7] A se vedea in special CEDO, 23 februarie 1993, Funcke/Franta, 10828/84.
[8] Directiva 2002/58/CE a Parlamentului European si a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale si protejarea confidentialitatii in sectorul comunicatiilor publice (JO L 201, 31.7.2002, p. 37).
[9] A se vedea articolul 6 alineatul (1) din Directiva 2002/58/CE (JO L 201, 31.7.2002, p. 37).
[10] Articolul 15 alineatul (1) din Directiva 2002/58/CE prevede ca astfel de restrangeri “constituie o masura necesara, corespunzatoare si proportionala in cadrul unei societati democratice pentru a proteja securitatea nationala (de exemplu, siguranta statului), apararea, siguranta publica sau pentru prevenirea, investigarea, detectarea si urmarirea penala a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicatii electronice, in conformitate cu articolul 13 alineatul (1) al Directivei 95/46/CE. In acest scop, statele membre pot adopta, inter alia, masuri legislative care sa permita retinerea de date, pe perioada limitata, pentru motivele aratate anterior in acest alineat […]”.
[11] A se vedea, de exemplu, cauzele conexate C-92/09 si C-93/09, Volker und Markus Schecke GbR (C-92/09), Hartmut Eifert (C-92/09)/Land Hessen, nepublicate inca in Culegere, punctul 74.
[12] A se vedea, de asemenea, p. 12 din expunerea de motive a propunerii de regulament.
[13] In aceasta privinta, a se vedea Avizul AEPD din 31 mai 2011 privind Raportul de evaluare al Comisiei catre Consiliu si Parlamentul European referitor la Directiva privind pastrarea datelor (Directiva 2006/24/CE), de exemplu, punctul 24.
[14] AEPD doreste sa reaminteasca problemele legate de lipsa unei definitii la nivel european a “infractiunilor grave”. AEPD a subliniat ca, intr-adevar, raportul de evaluare al Comisiei referitor la Directiva privind pastrarea datelor arata ca optiunea de a lasa definirea precisa a “infractiunilor grave” la latitudinea statelor membre a condus la aparitia unei varietati de scopuri de utilizare a datelor. Comisia a afirmat ca “majoritatea statelor membre care au transpus directiva, in conformitate cu legislatia nationala, permit accesul la datele pastrate si utilizarea acestora in scopuri care depasesc cadrul directivei, inclusiv prevenirea si combaterea criminalitatii, in general, si a riscurilor la adresa vietii si integritatii corporale”. A se vedea Avizul AEPD din 31 mai 2011 privind Raportul de evaluare al Comisiei catre Consiliu si Parlamentul European referitor la Directiva privind pastrarea datelor (Directiva 2006/24/CE), punctele 24, 71 si 72.
[15] Conform articolului 71 alineatul (2) litera (d), autoritatea competenta desemnata prin propunerea MiFID poate solicita inregistrari ale convorbirilor telefonice si ale schimburilor de date existente detinute de societatile de investitii atunci cand exista banuieli intemeiate de incalcare a propunerii MiFID.
[16] A se vedea Avizul AEPD din 10 februarie 2012 privind propunerea de directiva a Parlamentului European si a Consiliului privind pietele instrumentelor financiare, de abrogare a Directivei 2004/39/CE a Parlamentului European si a Consiliului, si propunerea de regulament al Parlamentului European si al Consiliului privind pietele instrumentelor financiare si de modificare a Regulamentului [EMIR] privind instrumentele derivate extrabursiere, contrapartile centrale si registrele de tranzactii.
[17] A se vedea Avizul AEPD din 14 ianuarie 2011 privind Comunicarea Comisiei catre Parlamentul European, Consiliu, Comitetul Economic si Social si Comitetul Regiunilor – “O abordare globala a protectiei datelor cu caracter personal in Uniunea Europeana” (JO C 181, 22.6.2011, p. 1), punctele 108-115.
[18] Cauzele conexate C-92/09 si C-93/09, Schecke, punctele 56-64.
[19] A se vedea, de asemenea, in aceasta privinta, Avizul AEPD din 15 aprilie 2011 privind normele financiare aplicabile bugetului anual al Uniunii (JO C 215, 21.7.2011, pp. 13-18).
[20] A se vedea evaluarea impactului, p. 166.
[21] Respectiv, in conformitate cu articolul 27 din propunerea de regulament privind criteriile de stabilire a sanctiunilor.
[22] A se vedea evaluarea impactului, p. 167.
[23] De exemplu, autoritatile nationale ar putea lua in considerare urmatoarele masuri: sa amane publicarea pana la respingerea recursului sau, potrivit sugestiei din raportul de evaluare a impactului, sa arate in mod clar ca decizia poate fi contestata si ca persoana beneficiaza de prezumtia de nevinovatie pana in momentul in care decizia devine definitiva si sa publice o rectificare atunci cand decizia este anulata de o instanta.
[24] A se vedea Avizul AEPD din 10 aprilie 2007 privind finantarea politicii agricole comune (JO C 134, 16.6.2007, pp. 1-3).
[25] A se vedea, in aceasta privinta, documentul publicat de autoritatea italiana pentru protectia datelor, cu titlul “Datele cu caracter personal continute in registrele si documentele organismelor administrative publice: Linii directoare privind prelucrarea acestora de catre organisme publice in vederea publicarii si difuzarii prin internet”, disponibil pe site-ul autoritatii italiene pentru protectia datelor: http://www.garanteprivacy.it/garante/doc.jsp?ID=1803707
[26] Aceste aspecte sunt legate, de asemenea, de dreptul general de “a fi uitat”, a carui includere in noul cadru legislativ de protectie a datelor cu caracter personal este inca in dezbatere.
[27] Aceste masuri si garantii pot consta, de exemplu, in excluderea indexarii datelor prin intermediul motoarelor externe de cautare.
[28] Grupul de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal a publicat un aviz privind aceste scheme in 2006, in care aborda aspecte legate de protectia datelor, caracteristice acestui fenomen: Avizul nr. 1/2006 privind aplicarea normelor UE privind protectia datelor in cazul schemelor de informare in domeniul contabilitatii, al controalelor contabile interne, al auditarii, al combaterii coruptiei si infractionalitatii bancare si financiare (Avizul Grupului de lucru privind informarea). Avizul este disponibil pe site-ul Grupului de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm
[29] A se vedea, de exemplu, Avizul privind normele financiare aplicabile bugetului anual al Uniunii din 15 aprilie 2011 si Avizul privind investigatiile efectuate de OLAF din 1 iunie 2011, ambele disponibile la: http://www.edps.europa.eu
[30] Importanta pastrarii confidentialitatii referitoare la identitatea informatorilor a fost deja amintita de AEPD intr-o scrisoare adresata Ombudsmanului European la 30 iulie 2010, in cazul 2010-0458, disponibila pe site-ul AEPD (http://www.edps.europa.eu). A se vedea, de asemenea, avizele AEPD privind verificarile prealabile din 3 februarie 2012, 23 iunie 2006, privind investigatiile interne ale OLAF (cazul 2005-0418), si din 4 octombrie 2007 privind investigatiile externe ale OLAF (cazurile 2007-47, 2007-48, 2007-49, 2007-50, 2007-72).
[31] A se vedea Avizul privind normele financiare aplicabile bugetului anual al Uniunii din 15 aprilie 2011, disponibil la: http://www.edps.europa.eu

Adauga comentariu

*

Acest site folosește cookie-uri. Continuarea navigării presupune că ești de acord cu utilizarea cookie-urilor. Informații suplimentare

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close