LA COMMISSIONE NAZIONALE
PER LE SOCIETA' E LA BORSA
Vista la legge 7 giugno 1974, n. 216, di conversione in legge, con
modificazioni, del decreto-legge 8 aprile 1974, n. 95, recante
disposizioni relative al mercato mobiliare ed al trattamento fiscale
dei titoli azionari;
Visto il decreto legislativo 24 febbraio 1998, n. 58, e successive
modificazioni, con il quale e' stato emanato il testo unico delle
disposizioni in materia di intermediazione finanziaria, ai sensi
degli articoli 8 e 21 della legge 6 febbraio 1996, n. 52;
Visto il decreto legislativo 30 giugno 2003, n. 196, e successive
modificazioni, recante il Codice in materia di protezione dei dati
personali («Codice della Privacy»);
Visto il decreto legislativo 8 ottobre 2007, n. 179, recante
l'istituzione di procedure di conciliazione e di arbitrato, sistema
di indennizzo e fondo di garanzia per i risparmiatori e gli
investitori in attuazione dell'art. 27, commi 1 e 2, della legge 28
dicembre 2005, n. 262, come modificato dal decreto legislativo 6
agosto 2015, n. 130, di attuazione della direttiva 2013/11/UE sulla
risoluzione alternativa delle controversie dei consumatori;
Visto l'art. 45, comma 1, lettera d), del decreto-legge 9 febbraio
2012, n. 5, recante «Disposizioni urgenti in materia di
semplificazione e di sviluppo», convertito, con modificazioni, dalla
legge 4 aprile 2012, n. 35;
Visto il regolamento di organizzazione e funzionamento della
CONSOB, adottato con delibera n. 8674 del 17 novembre 1994, resa
esecutiva con decreto del Presidente del Consiglio dei ministri del
25 novembre 1994, e successive modificazioni;
Visto il regolamento del personale della CONSOB, approvato con
delibera n. 13859 del 4 dicembre 2002, resa esecutiva con decreto del
Presidente del Consiglio dei ministri del 30 dicembre 2002, e
successive modificazioni;
Visto il provvedimento del Garante per la protezione dei dati
personali 30 giugno 2005, relativo al trattamento dei dati sensibili
nella pubblica amministrazione, pubblicato nella Gazzetta Ufficiale
n. 170 del 23 luglio 2005;
Visto il provvedimento del Garante per la protezione dei dati
personali n. 7/2014 dell'11 dicembre 2014, pubblicato nella Gazzetta
Ufficiale n. 301 del 30 dicembre 2014, recante l'autorizzazione
generale al trattamento dei dati a carattere giudiziario da parte di
privati, enti pubblici economici e soggetti pubblici;
Vista la propria delibera n. 15318 dell'8 febbraio 2006, e
successive modificazioni, con la quale e' stato approvato il
regolamento recante l'individuazione dei tipi di dati sensibili e
giudiziari e di operazioni eseguibili ai sensi degli articoli 20,
comma 2, e 21, comma 2, del Codice della Privacy;
Vista la propria delibera n. 15374 del 9 marzo 2006, recante
l'adozione del documento programmatico sulla sicurezza;
Vista la propria delibera n. 19602 del 4 maggio 2016 con la quale
e' stato istituito l'Arbitro per le controversie finanziarie (ACF) ed
e' stato adottato il regolamento di attuazione dell'art. 2, commi
5-bis e 5-ter, del decreto legislativo 8 ottobre 2007, n. 179, con il
quale sono stabiliti i criteri di svolgimento delle procedure di
risoluzione extragiudiziale delle controversie presso l'Arbitro e
individuati i criteri di composizione del relativo organo decidente;
Considerato, in particolare, che gli articoli 20, comma 2, e 21,
comma 2, del Codice della Privacy, per i quali, nei casi in cui una
disposizione di legge specifichi la finalita' di rilevante interesse
pubblico ma non i tipi di dati sensibili e giudiziari e di operazioni
eseguibili, il loro trattamento e' consentito solo in riferimento ai
tipi di dati e di operazioni identificati e resi pubblici, nel
rispetto dei principi indicati dal successivo art. 22, con atto di
natura regolamentare;
Considerato che, ai sensi del medesimo art. 20, comma 2, tale atto
di natura regolamentare e' adottato in conformita' al parere espresso
dal Garante per la protezione dei dati personali («Garante»), ai
sensi del successivo art. 154, comma 1, lettera g) del Codice della
Privacy;
Considerato, inoltre, che negli articoli 65, comma 2, 67, 68, commi
1 e 2, lettera g), 71, 73, comma 2, lettera g), 95, 112, del medesimo
Codice, sono indicate le finalita' di rilevante interesse pubblico
che, a seconda dei casi, rendono ammissibile il trattamento di dati
sensibili e giudiziari da parte della CONSOB;
Considerate le competenze e i poteri attribuiti alla CONSOB dal
citato testo unico, nel quadro del Sistema europeo di vigilanza
finanziaria, ai sensi delle disposizioni specificate negli atti
dell'Unione europea di cui all'art. 1, paragrafo 2, del regolamento
(UE) n. 1095/2010, che istituisce l'Autorita' europea di vigilanza
(Autorita' europea degli strumenti finanziari e dei mercati), nonche'
ai sensi delle ulteriori disposizioni contenute negli atti normativi
di derivazione europea che regolano il settore di riferimento;
Considerato che e' necessario provvedere all'aggiornamento dei tipi
di dati sensibili e giudiziari e di operazioni eseguibili nell'ambito
dei trattamenti dei dati personali effettuati per le finalita' di
interesse pubblico assegnate alla CONSOB dall'ordinamento nazionale
ed europeo, per effetto delle modifiche normative ed organizzative
sopravvenute alla precedente delibera n. 15318 dell'8 febbraio 2006;
Considerato che ai sensi dell'art. 1, comma 47, della legge 28
dicembre 2015, n. 208, recante: «Disposizioni per la formazione del
bilancio annuale e pluriennale dello Stato (legge di stabilita'
2016)», gli articoli 2, commi da 1 a 5, 3, 4, 5 e 6 del decreto
legislativo 8 ottobre 2007, n. 179, sono abrogati dalla data in cui
diviene operativo l'organo decidente di cui al comma 5-ter dell'art.
2 del citato decreto legislativo n. 179 del 2007;
Considerato che, ai sensi dell'art. 2, commi 2 e 3, della citata
delibera n. 19602 del 4 maggio 2016, la Camera di conciliazione e di
arbitrato istituita presso la CONSOB resta in carica per
l'amministrazione delle procedure di conciliazione e di arbitrato non
ancora concluse alla data di avvio dell'operativita' dell'ACF;
Considerato che e' opportuno indicare sinteticamente le operazioni
ordinarie (raccolta, registrazione, organizzazione, conservazione,
consultazione, elaborazione, modificazione, selezione, estrazione,
utilizzo, blocco, cancellazione e distruzione) che la CONSOB deve
necessariamente svolgere per perseguire le finalita' di rilevante
interesse pubblico individuate dalla legge;
Considerata la necessita' di indicare le operazioni effettuate
dalla CONSOB che possono spiegare effetti maggiormente significativi
per gli interessati, con particolare riguardo alla comunicazione a
terzi, all'interconnessione e al raffronto, alla diffusione ed al
trasferimento di dati giudiziari all'estero, ai sensi dell'art. 43
del Codice della Privacy;
Considerata, altresi', l'opportunita' di descrivere sinteticamente
anche la complessiva attivita' svolta, con particolare riguardo agli
aspetti piu' incisivi per i diritti dei cittadini;
Considerato che, per effetto dell'art. 45, comma 1, lettera d), del
citato decreto-legge 9 febbraio 2012, n. 5, e' stato abrogato
l'obbligo, ai sensi del previgente art. 34, comma 1, lettera g), del
Codice della Privacy, di tenuta di un aggiornato documento
programmatico sulla sicurezza, adottato dalla CONSOB con la sopra
richiamata delibera n. 15374 del 9 marzo 2006;
Considerato che, ai sensi dell'art. 23 della legge 28 dicembre
2005, n. 262, recante disposizioni per la tutela del risparmio e la
disciplina dei mercati finanziari, i provvedimenti della CONSOB
aventi natura regolamentare o di contenuto generale, esclusi quelli
attinenti all'organizzazione interna, devono essere motivati con
riferimento alle scelte di regolazione e di vigilanza del settore
ovvero della materia su cui vertono;
Considerato che, secondo quanto previsto dall'art. 1, comma 2, del
regolamento concernente i procedimenti per l'adozione di atti di
regolazione generale ai sensi del citato art. 23 della legge n.
262/2005, adottato dalla CONSOB con delibera n. 19654 del 5 luglio
2016, non occorre che le modificazioni apportate dalla presente
delibera siano precedute da una consultazione in forma pubblica;
Visto il provvedimento n. 137, del 16 marzo 2017, con il quale il
Garante per la protezione dei dati personali ha espresso il parere
favorevole ai sensi degli articoli 20, comma 2, 21, comma 2, e 154,
comma 1, lettera g), del citato decreto legislativo n. 196;
Delibera:
Art. 1
Aggiornamento del regolamento recante l'individuazione dei tipi di
dati sensibili e giudiziari e di operazioni eseguibili ai sensi
degli articoli 20, comma 2, e 21, comma 2, del decreto legislativo
30 giugno 2003, n. 196, Codice in materia di protezione dei dati
personali
1. Al regolamento recante l'individuazione dei tipi di dati
sensibili e giudiziari e di operazioni eseguibili ai sensi degli
articoli 20, comma 2, e 21, comma 2, del Codice della Privacy,
adottato dalla CONSOB con delibera n. 15318 dell'8 febbraio 2006, e
successive modificazioni, sono apportate le seguenti modificazioni:
a) all'art. 1:
i) nella rubrica dell'articolo, dopo le parole «Ambito
applicativo» sono inserite le seguenti «e definizioni»;
ii) dopo il comma 1, e' aggiunto il seguente:
«1-bis. Ai fini di quanto previsto nel presente regolamento si
applicano le definizioni contenute nell'art. 4 del decreto
legislativo 30 giugno 2003, n. 196, e successive modificazioni.»;
b) all'art. 2:
i) al comma 1, le parole «da 1 a 10» sono sostituite dalle
seguenti: «da 1 a 12»;
ii) dopo il comma 1, e' aggiunto il seguente:
«1-bis. I trattamenti operati dalla CONSOB sui dati indicati dal
comma 1 possono essere eseguiti in modalita' manuale, ovvero in
modalita' automatizzata per il tramite di strumenti informatici.»;
c) all'art. 3, il comma 2 e' abrogato.
2. Le tabelle indicate dall'art. 2, comma 1, del regolamento di cui
al comma 1, sono sostituite dalla tabelle allegate alla presente
delibera.