Ottava direttiva sulle revisioni legali dei conti

Parere 10/2007 - WP 143

adottato il 23 novembre 2007

 

I. Introduzione

Il 15 febbraio 2007 il gruppo di lavoro "articolo 29" ha esaminato un documento di lavoro presentato dalla Direzione generale del Mercato interno sui trasferimenti alle autorità pubbliche di regolamentazione dei paesi terzi di carte di lavoro dei revisori contabili contenenti dati personali. Il documento spiega il quadro giuridico e normativo istituito dalla direttiva 2006/43/CE¹ relativa alle revisioni legali dei conti annuali e dei conti consolidati (8° direttiva). L’Ottava direttiva fissa le condizioni di svolgimento dell'attività di revisione legale dei conti e prevede la supervisione pubblica indipendente per i revisori legali dei conti da parte degli Stati membri.

La direttiva contiene inoltre disposizioni specifiche relative alla cooperazione tra gli organismi di supervisione degli Stati membri e le autorità competenti dei paesi terzi. In tale cooperazione dovrà rientrare lo scambio, con le autorità dei paesi terzi, delle carte di lavoro del revisore contabile e di altri documenti detenuti dalle imprese europee di revisione contabile.

Il gruppo di lavoro è lieto di presentare le sue osservazioni sul quadro normativo che si applica a tali scambi di informazioni sulla base del documento di lavoro sopra menzionato e dei commenti trasmessi a tale riguardo dagli Stati membri.

 

II. Il quadro giuridico per gli scambi di informazioni tra gli organismi pubblici di supervisione dell’UE e le autorità dei paesi terzi

L’articolo 47 dell’Ottava direttiva istituisce due regimi per la trasmissione di informazioni e dati all’autorità pubblica di supervisione di un paese terzo: un “regime generale” per i trasferimenti internazionali tra le autorità competenti (art. 47, paragrafi da 1 a 3), e un “regime speciale” (art. 47, paragrafi 4 e 5).

L’articolo 47, paragrafo 4 prevede che in casi eccezionali e in deroga al “regime generale” di cui al paragrafo 1 dello stesso articolo gli Stati membri possano autorizzare i revisori legali e le imprese di revisione contabile a trasmettere carte di lavoro ed altri documenti direttamente alle autorità competenti di un paese esterno all’UE.

A norma dell’articolo 47, paragrafo 1, gli Stati membri possono autorizzare la trasmissione da un organismo unico di supervisione di uno Stato membro alle autorità competenti di un paese terzo di carte di lavoro o altri documenti detenuti da revisori legali o da imprese di revisione contabile, a condizione che siano soddisfatte certe condizioni. La lettera b) dello stesso articolo specifica le condizioni richieste per consentire un tale scambio di informazioni. Le condizioni principali sono le seguenti:

•   le carte di lavoro da trasmettere riguardino la revisione dei conti di società che hanno emesso valori mobiliari in tale paese terzo o che fanno parte di un gruppo che redige i conti consolidati nel paese terzo in questione;

•  la trasmissione abbia luogo tramite le autorità competenti dello Stato membro del SEE alle autorità competenti di tale paese terzo;

•   siano stati convenuti accordi di cooperazione basati sulla reciprocità tra le autorità competenti interessate: gli accordi in questione devono garantire che i motivi della richiesta di carte di lavoro e di altri documenti siano comunicati dalle autorità competenti; gli accordi potrebbero probabilmente assumere la forma di memorandum d'intesa fra le autorità nazionali di supervisione e le autorità competenti del paese terzo che espongano le condizioni e le forme della cooperazione;

•   i soggetti che prestino o abbiano prestato la loro attività in seno alle autorità competenti del paese terzo che ricevono l'informazione siano soggetti all'obbligo del segreto d'ufficio;

•   le autorità competenti del paese terzo possano utilizzare le carte di lavoro e gli altri documenti trasmessi solo ai fini dell’esercizio di funzioni di controllo pubblico, di controllo della qualità e di indagine;

•   la trasmissione sia conforme al capo IV della direttiva sulla protezione dei dati (trasferimenti internazionali di dati a carattere personale); nonché

•   le autorità competenti del paese terzo interessato soddisfino le condizioni fissate da un test di adeguatezza basato su una decisione di “comitatologia”. Tale test è diverso dalla valutazione dell’adeguatezza del livello di protezione di cui beneficiano i dati personali in tale paese terzo.

Le condizioni di cui sopra sono di carattere cumulativo. Se non sono soddisfatte, in particolare se non è stato concluso un accordo di cooperazione, non sarà possibile alcuna cooperazione basata sul periodico scambio di documenti in caso di ispezioni.

 

III. Analisi in una prospettiva di protezione dei dati

Considerazioni sugli scenari applicabili agli scambi di informazioni con le autorità di supervisione dei paesi terzi

Il documento della DG MARKT presenta due diversi scenari possibili per quanto riguarda lo scambio di informazioni tra un’autorità pubblica di supervisione dell’UE e un’autorità pubblica competente di un paese terzo, a parte i “casi eccezionali” menzionati all’articolo 47, paragrafo 4, della direttiva:

- una soluzione a breve termine limitata ad indagini formali in caso di scandali societari,

- una soluzione a medio termine, che dovrebbe rendersi disponibile nel 2008-2009, nel quadro rappresentato da accordi bilaterali fra un paese terzo e gli Stati membri.

Per quanto riguarda la soluzione a medio termine, stando alle informazioni di cui dispone la DG MARKT l’impostazione prospettata consisterebbe nel lavorare a garantire che i paesi terzi, e specialmente gli USA, adottino la norma di riconoscimento del sistema di supervisione dell’UE. Gli organismi pubblici di supervisione dovrebbero basarsi in linea di massima sul lavoro della corrispondente autorità pubblica di supervisione dell’altro paese (controllo da parte del paese d’origine).

1. Soluzione a breve termine limitata ad indagini formali in caso di scandali societari

Una soluzione a breve termine sarebbe limitata ad indagini formali specifiche in caso di scandalo societario e in assenza di accordi bilaterali o memorandum d’intesa fra un’autorità di supervisione indipendente della UE e l’autorità competente di un paese terzo.

Qualora il paese terzo in questione non offrisse garanzie adeguate a norma della direttiva 95/46 la realizzazione del trasferimento potrebbe trovare una base giuridica nella legge nazionale dello Stato membro che recepisce le disposizioni contenute nell’articolo 26, paragrafo 1, lettera d) della medesima.

Il gruppo di lavoro ricorda però che l’articolo 26, paragrafo 1, lettera d), rientra fra le deroghe previste dalla direttiva per il regime di trasferimenti internazionali dei dati personali; di conseguenza il ricorso ad esso andrà limitato a casi eccezionali e come soluzione estrema, e dovrà essere interpretato secondo criteri restrittivi². Ai fini dell’applicazione dell’articolo 26, paragrafo 1, lettera d), e pertanto delle disposizioni di diritto interno che lo recepiscono, vanno soddisfatte le seguenti condizioni preliminari:

i. Deve sussistere un interesse pubblico “rilevante” alla comunicazione dei dati personali contenuti nelle carte/nei documenti di lavoro. A tale proposito il gruppo di lavoro ha già sottolineato che l’interesse pubblico “rilevante” deve risiedere o nello Stato membro in questione, o nella Comunità europea. A questo riguardo sono considerati validi soltanto gli interessi pubblici rilevanti e importanti individuati come tali dalla legislazione nazionale applicabile ai responsabili del trattamento dei dati stabiliti nell’UE. Qualsiasi altra interpretazione permetterebbe ad un’autorità straniera di eludere il requisito della tutela adeguata nel paese ricevente quale previsto dalla direttiva 95/46³. Spetta all’autorità nazionale di supervisione (competente per la revisione contabile) che attua il trasferimento decidere se sussista un interesse pubblico rilevante, affrontando il problema caso per caso alla luce della legislazione nazionale in materia e tenendo conto, ove opportuno, di un parere dell’autorità nazionale responsabile per la protezione dei dati. In particolare, tenendo conto delle relazioni di mercato, si potrebbe considerare soddisfatto il requisito dell’interesse pubblico “rilevante” anche in presenza di accordi tra le autorità responsabili della revisione contabile (ossia le autorità europee e quelle del paese terzo) sulla base della legislazione nazionale.

ii. Si possono inoltre trasferire unicamente i dati personali necessari a realizzare la finalità di rilevante interesse pubblico di cui sopra. Anche in questo caso la valutazione è lasciata all’autorità che ordina il trasferimento delle carte/dei documenti di lavoro, in considerazione delle richieste inoltrate dall'autorità del paese terzo. Ciò significherebbe che i dati personali da trasferire dovranno limitarsi a quelli strettamente necessari e che presentano rilevanza per i fini dell'indagine ad hoc. A tale riguardo, ad esempio, non si possono trasferire integralmente i dati personali relativi ai dipendenti di un’impresa. Verrà poi prestata speciale attenzione nel caso dei dati sensibili e di quelli di carattere giudiziario. Di conseguenza i dati personali trasferiti non possono né venire utilizzati dall’autorità ricevente del paese terzo per scopi diversi, né essere ulteriormente comunicati per tali scopi.

Nei casi in cui l'autorità competente (nel caso delle revisioni legali) non richiede che il requisito di rilevante interesse pubblico di cui all’articolo 26, paragrafo 1, lettera d), della direttiva sia rispettato alla luce delle disposizioni del diritto interno, potrebbe tuttavia essere possibile procedere al trasferimento conformemente al disposto dell’articolo 26, paragrafo 2.

Le autorità competenti (per le revisioni legali) potrebbero avvalersi delle adeguate salvaguardie offerte dalle clausole contrattuali standard stipulate per questo tipo di trasferimento dei dati, procedura che non richiederebbe un’analisi caso per caso dei trasferimenti in questione. Sebbene siano utilizzate principalmente per i trasferimenti di dati nel settore aziendale, tali clausole risultano sufficientemente flessibili da consentire l'applicazione anche in questo settore.

È praticamente certo che, anche con il ricorso a clausole contrattuali tipo, resta comunque l'esigenza che l'autorità nazionale competente verifichi – alla luce del diritto interno – se sono rispettate le condizioni preliminari per la divulgazione dei dati all'autorità competente della parte terza. Come è stato ripetutamente sottolineato dal gruppo di lavoro "articolo 29", l'adozione di clausole contrattuali tipo non dovrà in alcun caso diventare un pretesto per sottrarsi a disposizioni del diritto interno che disciplinano la comunicazione dei dati trattati dall'autorità competente⁴.

2. Accordi a medio termine per le ispezioni da parte dell'autorità di regolamentazione

Gli accordi a medio termine per lo scambio dei verbali relativi ad ispezioni nel quadro di accordi bilaterali conclusi fra lo Stato membro e un paese terzo che non offre garanzie adeguate prevederebbero la comunicazione dei dati personali dei revisori contabili (principalmente i loro nominativi e quelli dei professionisti che svolgono un ruolo significativo nella gestione e nel controllo di qualità dell'impresa di revisione), e ciò unicamente a fini di supervisione pubblica, controllo della qualità e funzioni di accertamento da parte dell'autorità del paese.

L'articolo 47, paragrafo 1, della direttiva fissa le condizioni che tali accordi devono soddisfare: in particolare il trasferimento di dati personali dev'essere conforme alle disposizioni in materia di trasferimenti internazionali della direttiva 95/46/CE⁵. Nelle condizioni di cui sopra non si configurerebbero ostacoli specifici a norma dell'articolo 26, paragrafo 1, lettera d), della direttiva nella misura in cui risulti necessario il trasferimento dei dati in questione.

Il gruppo di lavoro "articolo 29" sottolinea però che per formulare una risposta più precisa su questo punto risultano necessarie informazioni più dettagliate sulle condizioni dell'accordo da concludere con il paese terzo e sulle condizioni del test di adeguatezza. In allegato al presente documento sono inclusi possibili orientamenti per la realizzazione di tale test, così da assicurare salvaguardie adeguate dal punto di vista della protezione dei dati personali.

 

IV. Conclusioni

Il gruppo di lavoro "articolo 29" è dell'avviso che l'articolo 26, paragrafo 1, lettera d), della direttiva 95/46/CE possa offrire una base giuridica per il trasferimento all'autorità di regolamentazione dei paesi terzi di carte di lavoro dei revisori contabili contenenti dati personali – nel quadro del "regime standard" prospettato dalla direttiva 2006/43 (articolo 47, paragrafi da 1 a 3).

Il gruppo di lavoro ricorda però che l'articolo 26, paragrafo 1, lettera d), costituisce una deroga al regime generale istituito dalla direttiva sulla protezione dei dati che si applica ai flussi di dati transfrontalieri; in quanto tale va interpretato restrittivamente, tenendo conto del rilevante interesse pubblico servito dal trasferimento (e conferito o al singolo Stato membro o all'UE nel suo insieme) e assicurando che, al fine di salvaguardare il medesimo, siano trasferiti unicamente dati personali necessari e pertinenti. Fra le condizioni da soddisfare nella prospettiva del trasferimento svolge un ruolo fondamentale il superamento del test di adeguatezza menzionato all'articolo 47, paragrafo 3, della direttiva 2006/43.

Il gruppo di lavoro "articolo 29" si riserva il diritto di fornire pareri più specifici al proposito non appena si renderanno disponibili informazioni più dettagliate sulle caratteristiche specifiche di tale test, e ribadisce la propria disponibilità a cooperare con tutte le parti interessate affinché il test di adeguatezza tenga nel dovuto conto i principi relativi alla protezione dei dati.

Per quanto riguarda il "regime speciale" prospettato dall'articolo 47, paragrafo 4, della direttiva 2006/43, in quanto regime da utilizzarsi in casi eccezionali e in deroga al "regime generale", in cui le carte e i documenti sono trasferiti direttamente dai revisori e dalle società di revisione contabile alle autorità competenti dei paesi terzi, il gruppo di lavoro "articolo 29" invita la Commissione a sollecitare il suo contributo in relazione all'attività che la Commissione è abilitata ad effettuare a norma dell'articolo 47, paragrafo 5, della direttiva, in una prospettiva volta a precisare i "casi eccezionali" di trasferimento e garantire così l'applicazione più uniforme di tali disposizioni.

Fatto a Bruxelles, 23 novembre 2007

Per il Gruppo di lavoro

Il presidente

Peter SCHAAR

 

NOTE                                     

1 GU L 157 del 9.6.2006, pag. 57.

2 Questa è la posizione costantemente adottata dal gruppo di lavoro per tutti i casi menzionati nel quadro dell’articolo 26, paragrafo 1), della direttiva. Vedasi a tale proposito il documento WP 29, trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati, 24 luglio 1998, WP 12, pag. 26: “Queste deroghe, che sono descritte dettagliatamente, riguardano soprattutto casi in cui i rischi per l’interessato sono ridotti o in cui altri interessi (interessi pubblici o quelli della persona stessa cui i dati si riferiscono) prevalgono sul diritto dell’interessato alla riservatezza. In quanto deroghe a un principio generale, devono essere interpretate in modo restrittivo”. Tale parere è stato successivamente confermato nel documento di lavoro su un’intepretazione comune dell’articolo 26, paragrafo 1 della direttiva 95/46/CE del 24 ottobre 1995 (WP 114), in cui al punto 1.2 si ribadisce che “l’interpretazione dell’articolo 26, paragrafo 1 deve necessariamente essere restrittiva.”

3 Cfr. documento di lavoro su un'interpretazione comune dell'articolo 26, paragrafo 1, della direttiva 95/46/CE del 24 ottobre 1995, documento WP 114, punto 2.4, secondo il quale “l’intenzione degli estensori della direttiva era chiaramente far sì che, a questo riguardo, fossero considerati validi solo interessi pubblici rilevanti individuati come tali dalla legislazione nazionale applicabile ai responsabili del trattamento stabiliti nell’UE. Qualsiasi altra interpretazione permetterebbe a un’autorità straniera di eludere il requisito della tutela adeguata nel paese ricevente quale previsto dalla direttiva 95/46; parere 6/2002 relativo alla trasmissione da parte delle compagnie aeree di informazioni sugli elenchi dei paesseggeri e di altri dati agli Stati Uniti, documento WP 66, punto 2.5. Si veda inoltre, per la costruzione della disposizione sull’esistenza di un “obbligo di legge” secondo l’articolo 7, lettera c) della direttiva, il parere 1/2006 relativo all’applicazione della normativa UE sulla protezione dei dati alle procedure interne per la denuncia delle irregolarità riguardanti la tenuta della contabilità, i controlli contabili interni, la revisione contabile, la lotta contro la corruzione, la criminalità bancaria e finanziaria, documento WP 117, punto IV 1(i).

4 Questo punto risulta chiaramente dal parere 1/2001 sul progetto di decisione della Commissione ai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio relativa alle clausole contrattuali tipo per il trasferimento di dati a carattere personale verso paesi terzi in conformità all'articolo 26(4) della direttiva 95/46, 26 gennaio 2001, documento WP 38, punto 2; per quanto riguarda i flussi di dati transfrontalieri il gruppo di lavoro ha espresso il seguente parere: "La legittimità di tali trattamenti è interamente soggetta alle condizioni della legislazione nazionale che attua le disposizioni della direttiva 95/46/CE. Se un trasferimento a un paese terzo in virtù delle clausole contrattuali tipo approvate dalla Commissione non rispetta le condizioni previste dalla legislazione nazionale, detto trasferimento non può aver luogo. In particolare, se la divulgazione di dati a un terzo all'interno dello Stato membro del responsabile del trattamento non è legittima, la mera residenza del destinatario in un paese terzo non cambia tale valutazione giuridica".

5 Cfr. anche direttiva 2006/43/CE, considerando 29.

 

 

 

Allegato

Possibili orientamenti da rispettare al fine di assicurare l'adeguatezza della protezione dei dati negli accordi da concludere a norma della procedura di cui all'articolo 47, paragrafo 1, lettera c), della direttiva 2006/43/CE.

(a) Un elenco non esaustivo dei documenti che possono essere trasferiti potrebbe essere redatto nel quadro delle misure di "comitatologia". In esso potrebbero ad esempio rientrare: le carte di lavoro dei revisori contabili; i documenti relativi ad accertamenti realizzati da revisori di gruppo a norma dell'articolo 27; altri documenti provenienti da revisori (lettera di impegno, corrispondenza con l'autorità di regolamentazione, …); i verbali relativi ad un'ispezione/l'esito della medesima ad opera delle autorità competenti per la regolamentazione nel campo della revisione contabile o altre autorità di regolamentazione.

(b) Non possono essere trasferiti i documenti che la competente autorità pubblica di supervisione di uno Stato membro non considera necessari a fini di accertamento o ispezione.

I trasferimenti di documenti non devono essere sistematici e vanno effettuati soltanto in casi debitamente giustificati su richiesta individuale.

(c) Le autorità del paese esterno all'UE non potranno rendere pubblici i documenti trasmessi – né direttamente né indirettamente. In linea di principio, inoltre, non dovrebbe essere consentito l'utilizzo di tali documenti per finalità diverse o da parte di autorità diverse, come le autorità fiscali o i tribunali.

(d) Dovranno essere stabilite condizioni specifiche per quanto riguarda il periodo massimo di detenzione dei documenti trasferiti, affinché essi non siano tenuti per un periodo di tempo superiore a quello necessario ad eseguire il compito per il quale sono stati richiesti (in ogni caso, per un periodo di tempo non superiore al limite previsto dal diritto nazionale per l'esecuzione di compiti di supervisione).