Parere del Garante europeo della protezione dei dati sulla proposta di direttiva del Parlamento europeo e del Consiglio relativa ai sistemi di garanzia dei depositi

(rifusione)

(Pubblicato sulla GUUE n. C 323 del 30.11.2010)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16,

vista la Carta dei diritti fondamentali dell’Unione europea, in particolare l’articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ^{( 1 )},

vista la richiesta di parere a norma dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ^{( 2 )},

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. Il 12 luglio 2010, la Commissione ha adottato la proposta di direttiva del Parlamento europeo e del Consiglio relativa ai sistemi di garanzia dei depositi (rifusione) ^{( 3 ).}

2. Conformemente all’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, la proposta è stata inviata al GEPD il medesimo giorno in cui è stata adottata. Prima dell’adozione della proposta, il GEPD è stato consultato in modo informale. Esso valuta positivamente tale consultazione e constata con soddisfazione che la proposta definitiva tiene conto di tutte le sue osservazioni.

3. Nel presente parere il GEPD chiarisce e analizza brevemente gli aspetti della proposta relativi alla protezione dei dati.

II. GLI ASPETTI DELLA PROPOSTA RELATIVI ALLA PROTEZIONE DEI DATI

4. I sistemi di garanzia dei depositi (DGS) rimborsano i depositanti fino a una certa somma in caso di liquidazione coatta di un ente creditizio. Il 30 maggio 1994, il Parlamento europeo e il Consiglio hanno adottato la direttiva 94/19/CE, che impone agli Stati membri di istituire uno o più DGS nei propri territori. Poco dopo l’insorgere della crisi finanziaria nel 2008, il Consiglio ha esortato la Commissione a presentare una proposta adeguata per promuovere la convergenza dei DGS in modo da contribuire a ristabilire la fiducia nei confronti del settore finanziario. L’11 marzo 2009, come misura di emergenza, la direttiva 94/19/CE è stata modificata dalla direttiva 2009/14/CE. L’intervento più evidente riguarda l’aumento del livello di copertura garantito ai depositanti in caso di liquidazione coatta di una banca, passato da 20 000 EUR a 100 000 EUR. Alla pagina 5 della relazione dell’attuale proposta, la Commissione evidenzia che, non essendo ancora completata l’attuazione della direttiva 2009/14/CE, occorre codificare e modificare tramite rifusione le direttive 94/19/CE e 2009/14/CE.

5. La proposta mira a semplificare e armonizzare le normative nazionali pertinenti, in particolare per quanto concerne l’ambito di copertura e le modalità di rimborso. Le disposizioni vengono modificate per ridurre ulteriormente il termine per il rimborso dei depositanti e garantire ai DGS migliore accesso alle informazioni relative ai loro membri (gli enti creditizi, come le banche). Inoltre, alcune modifiche mirano a garantire la creazione di DGS solidi e credibili, finanziati in misura sufficiente ^{( 4 )}.

6. Il miglioramento della procedura relativa al rimborso dei depositanti implica un maggiore trattamento dei dati personali dei depositanti all’interno di uno Stato membro, ma anche fra diversi Stati membri. L’articolo 3, paragrafo 7, stabilisce che «gli Stati membri assicurano che i sistemi di garanzia dei depositi; in qualunque momento e su loro richiesta, ricevano dai loro membri tutte le informazioni necessarie per preparare il rimborso di depositanti». Come si evince dall’articolo 12, paragrafo 4, della proposta, è anche possibile che tali informazioni siano scambiate fra i DGS dei diversi Stati membri.

7. Ai sensi dell’articolo 2, lettera a), della direttiva 95/46/CE, nel caso in cui il depositante sia una persona fisica, le informazioni sul suo conto rappresentano dati personali. A norma dell’articolo 2, lettera b), della direttiva, il trasferimento di tali informazioni fra enti creditizi e DGS o fra DGS costituisce un trattamento di dati personali. Pertanto, le disposizioni della direttiva 95/46/CE, così come recepite nella legislazione nazionale pertinente, sono applicabili a queste operazioni di trattamento dei dati. Il GEPD si compiace di constatare che tale aspetto sia confermato e messo in rilievo al ventinovesimo considerando della proposta.

8. Inoltre, il GEPD constata con piacere che, nella proposta, taluni aspetti relativi alla protezione dei dati sono stati affrontati sotto il profilo sostanziale. L’articolo 3, paragrafo 7, stabilisce che le informazioni ottenute per la preparazione di rimborsi possono essere utilizzate solo a tal fine e che non sono conservate più a lungo di quanto sia necessario per il raggiungimento dello scopo. In tal modo si specifica ulteriormente il principio di limitazione della finalità di cui all’articolo 6, paragrafo 1, lettera b, della direttiva 95/46/CE, nonché l’obbligo di conservare i dati per un arco di tempo non superiore a quello necessario al conseguimento della finalità per la quale sono rilevati o sono successivamente trattati, come si evince dall’articolo 6, paragrafo 1, lettera e), della direttiva 95/46/CE

9. L’articolo 3, paragrafo 7, sottolinea esplicitamente che le informazioni ottenute per la preparazione di rimborsi riguardano anche i contrassegni di cui all’articolo 4, paragrafo 2. Ai sensi di quest’ultimo articolo, gli enti creditizi sono obbligati a contrassegnare i depositi qualora, per qualche motivo, essi non siano suscettibili di rimborso perché, ad esempio, derivano da transazioni in relazione alle quali ci sia stata una condanna per un reato di riciclaggio dei proventi di attività illecite di cui all’articolo 1, terzo trattino, della direttiva 91/308/CEE del Consiglio (v. articolo 4, paragrafo 1, della proposta). Poiché lo scopo dello scambio di informazioni consiste precisamente nel rimborso dei depositi, la comunicazione di un tale contrassegno può essere considerata come un provvedimento necessario. Pertanto, il GEPD ritiene che, relativamente ai dati personali, la comunicazione di un simile contrassegno, ove considerato un dato personale, avviene in conformità della normativa concernente la protezione dei dati, purché il contrassegno stesso non riveli più informazioni del dovuto. È possibile raggiungere lo scopo con un semplice contrassegno che attesti la non suscettibilità di rimborso del deposito. Pertanto, occorre applicare in tal senso l’obbligo di cui all’articolo 4, paragrafo 2, della proposta, al fine di ottemperare alle norme derivanti dalla direttiva 95/46/CE.

10. L’articolo 3, paragrafo 7, fa anche riferimento alla raccolta di informazioni da parte dei DGS, che risulta necessaria per eseguire con regolarità prove di stress dei loro meccanismi. Gli enti creditizi provvedono a presentare tali informazioni ai DGS su base continuativa. Durante la consultazione informale, il GEPD ha espresso le proprie preoccupazioni concernenti l’inserimento dei dati personali all’interno di tali informazioni. Il Garante ha rivelato i propri dubbi sulla reale necessità di sottoporre a trattamento i dati personali per l’esecuzione di prove di stress. La Commissione ha modificato questo punto della proposta, aggiungendo che tali informazioni sono rese anonime. In termini di protezione dei dati, ciò implica che, tenuto conto di tutti i mezzi utilizzabili, le informazioni non possono riferirsi a una persona fisica identificata ^{( 5 )}. Il GEPD è soddisfatto di tale garanzia.

11. Inoltre, in merito alle informazioni ricevute per eseguire prove di stress, l’articolo 3, paragrafo 7, stabilisce che tali informazioni possono essere utilizzate solo a tal fine e che non sono conservate più a lungo di quanto sia necessario per lo scopo previsto. Il GEPD desidera rilevare che, se rese anonime, le informazioni non rientrano più nella definizione di dati personali ai quali si applicano le norme contenute nella direttiva 95/46/CE. L’uso limitato di tali informazioni può essere giustificato da valide ragioni. Tuttavia, il GEPD intende chiarire che la normativa concernente la protezione dei dati non contempla tale aspetto.

12. Per favorire una cooperazione efficace fra DGS, tenuto conto anche dello scambio di informazioni di cui all’articolo 3, paragrafo 7, l’articolo 12, paragrafo 5, della proposta stabilisce che i DGS o, laddove appropriato, le autorità competenti, dispongono di accordi scritti di cooperazione. È proprio in tali accordi che occorre delineare più approfonditamente l’applicazione della normativa in materia di protezione dei dati personali. Pertanto, il GEPD si compiace di constatare l’aggiunta di una frase all’articolo 12, paragrafo 5, la quale sottolinea che «tali accordi tengono conto dei requisiti fissati dalla direttiva 95/46/CE».

III. CONCLUSIONE

13. Il GEPD è soddisfatto del modo in cui sono stati trattati gli aspetti relativi alla protezione dei dati nella direttiva proposta, e desidera soltanto richiamare le osservazioni formulate ai punti 9 e 11 del presente parere.

Fatto a Bruxelles, il 9 settembre 2010.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE                                    

( 1 ) GU L 281 del 23.11.1995, pag. 31.

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) V. COM(2010) 368 definitivo.

( 4 ) V. pagg. 2-3 della relazione della proposta.

( 5 ) Per quanto concerne la nozione di «anonimato», si leggano anche i punti 11-28 del parere del GEPD del 5 marzo 2009, concernente il trapianto di organi (GU C 192 del 15.8.2009, pag. 6). Il parere è consultabile anche sul sito Internet http://www.edps.europa.eu >> Consultation >> Opinions >> 2009.