Diritti interna

Doveri interna

ricerca avanzata

Rigetto dell'istanza di autorizzazione formulata da Iter Audit s.r.l. in ordine al trattamento dei dati giudiziari previsti dal Sarbanes-Oxley Act...

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1738372
Data:
03/06/10
Argomenti:
Dati giudiziari , Imprese , Trasferimento dati all'estero
Tipologia:
Autorizzazione

[doc. web n. 1738372]

Rigetto dell´istanza di autorizzazione formulata da Iter Audit s.r.l. in ordine al trattamento dei dati giudiziari previsti dal Sarbanes-Oxley Act (e dalla relativa disciplina di attuazione) nell´ambito della procedura di registrazione presso il Public Company Accounting Oversight Board - 3 giugno 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato, componente, e del dott. Daniele De Paoli, segretario generale;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali;

VISTO, in particolare, l´art. 4, comma 1, lett. e), del Codice, che definisce dati giudiziari "i dati personali idonei a rivelare provvedimenti di cui all´articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale";

CONSIDERATO che, ai sensi dell´art. 27 del Codice, i soggetti privati e gli enti pubblici economici possono trattare tali dati soltanto se autorizzati da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili;

VISTA l´autorizzazione del Garante n. 7/2009 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici (Del. 16 dicembre 2009, n. 43, in G.U. n. 13 del 18 gennaio 2010 - suppl. ord. n. 12 e doc. web n. 1683046);

VISTA la richiesta presentata ai sensi dell´art. 41 del Codice in data 28 gennaio 2010 da Iter Audit s.r.l. –società operante nel settore della revisione contabile (di seguito, la società)– volta a ottenere l´autorizzazione al trattamento dei dati giudiziari relativi, in particolare, ai propri clienti, soci e dirigenti;

CONSIDERATO che tale richiesta di autorizzazione viene giustificata dalla società in base al quadro normativo statunitense (Sarbanes-Oxley Act del 2002, di seguito SOA), nell´ambito del quale le società di revisione contabile che svolgono prestazioni professionali in favore di società emittenti azioni o prodotti finanziari soggetti al controllo della U.S. Securities and Exchange Commission (SEC) devono registrarsi, pena l´impossibilità di svolgere la propria attività, presso un apposito elenco detenuto dal Public Company Accounting Oversight Board (PCAOB), organismo istituito con finalità di monitoraggio delle predette società;

CONSIDERATO che, alla luce delle dichiarazioni rese dalla società, il SOA rivestirebbe "efficacia dichiaratamente extranazionale" (cfr. nota del 28 gennaio 2010, p. 1), con conseguente applicabilità dello stesso anche nei confronti di società non statunitensi che svolgono attività di revisione su società emittenti operanti nel mercato USA;

CONSIDERATO che, ai fini dell´anzidetta registrazione, le società di revisione sono tenute a comunicare al PCAOB (mediante la compilazione di appositi moduli: "form 1", "form 2" e "form 3") alcune informazioni relative a eventuali procedimenti penali concernenti, in particolare, i soggetti sopra citati (cfr. "form 1", part V, item 5.1, nonché "form 3", part. II e part. IV, item 4.1-4.2; cfr., altresì, all. n. 1 al modello di "Richiesta di consenso per il trattamento di dati giudiziari" prodotto in atti dalla società);

CONSIDERATO che le informazioni richieste ai fini della registrazione potrebbero essere rese disponibili al pubblico da parte del PCAOB (Section 102 (e) del SOA; Rule 2300 del PCAOB), anche per il tramite del relativo sito Internet (cfr. all. 2 "Informativa ai sensi dell´art. 13 del d.lgs. 196/2003" alla nota del 28 gennaio 2010);

RILEVATO che, in base ad una specifica disposizione del SOA, le società di revisione non statunitensi possono essere esonerate dall´applicazione della legge in virtù di appositi provvedimenti adottati dalla stessa SEC o dal PCAOB (con l´assenso della SEC) (Section 106 (c) del SOA);

VISTE le Rules 2105 e 2207 con cui il PCAOB, nell´individuare le condizioni volte a disciplinare il procedimento di registrazione, ha previsto per le società di revisione la possibilità di omettere determinate informazioni nella relativa richiesta qualora il loro conferimento costituisca violazione di una legge nazionale non statunitense;

CONSIDERATO che le società che intendono registrarsi avvalendosi dell´esenzione di cui alla Section 106 (c) del SOA sono tenute, in particolare, a identificare le informazioni che, ove comunicate al PCAOB, comporterebbero una violazione della disciplina nazionale applicabile, indicando altresì (e, ove richiesto, allegando): la normativa rilevante; una "legal opinion" che attesti che la trasmissione di dette informazioni comporterebbe tale violazione; i tentativi già effettuati per acquisire un "consenso" o un "esonero" al fine di ovviare al conflitto di leggi; la rappresentazione dell´impossibilità di ottenere tale "consenso" o "esonero" (cfr., al riguardo, anche le dichiarazioni rese dalla società nella nota del 28 gennaio 2010, p. 3);

VISTA la Comunicazione al Consiglio e al Parlamento europeo del 21 maggio 2003 (COM (2003) 286 "Rafforzare la revisione legale dei conti nella UE"), con la quale la Commissione ha manifestato la propria contrarietà alla registrazione delle società di revisione comunitarie presso il PCAOB, in particolare in ragione del fatto che: esistono già "sistemi equivalenti di registrazione e di controllo […] negli stati membri UE"; possono derivarne "importanti conflitti di legge, sia con la legislazione comunitaria che con le leggi nazionali in materia di tutela dei dati e segreto professionale" (pp. 16-17);

CONSIDERATO che la Commissione ha invitato la SEC "ad esentare le società europee dall´obbligo di registrazione" presso il PCAOB, sostenendo, al contempo, soluzioni basate su "una vigilanza efficace delle società europee fondata sul mutuo riconoscimento del controllo esercitato nel paese d´origine" (cfr. citata comunicazione, p. 17);

VISTA la direttiva 2006/43/Ce del 17 maggio 2006 relativa alle revisioni legali dei conti annuali e dei conti consolidati (c.d. "nuova" ottava direttiva), che fissa le condizioni per lo svolgimento dell´attività di revisione legale dei conti da parte delle società di revisione "comunitarie";

CONSIDERATO che la direttiva, che prevede una supervisione pubblica e indipendente da parte degli Stati membri, stabilisce alcuni principi di riferimento nel settore della revisione legale dei conti, e segnatamente:

- il controllo pubblico del paese di origine (considerando n. 20; art. 32);

- il mutuo riconoscimento degli accordi tra gli Stati membri (art. 34);

- la cooperazione internazionale, basata sul principio di reciprocità e su una valutazione di equivalenza effettuata dalla Commissione tra gli organismi di supervisione degli Stati membri e le Autorità competenti dei Paesi terzi (capo XI; considerando 27);

RILEVATO che la direttiva, nel prevedere l´obbligo di iscrizione dei revisori legali e delle imprese di revisione contabile in un apposito albo, non individua tra le informazioni che devono essere rilasciate ai fini della registrazione dati inerenti a procedimenti giudiziari (artt. 15, 16 e 17);

VISTO il d.lg. 27 gennaio 2010, n. 39, che ha recepito all´interno dell´ordinamento nazionale i predetti principi;

CONSIDERATO che il trattamento di dati giudiziari, limitatamente a quelli indicati dalla società nella propria istanza, non risulta disciplinato nell´ordinamento italiano;

CONSIDERATO che il trattamento dei dati giudiziari oggetto della predetta richiesta di autorizzazione non è riconducibile tra quelli individuati nella citata autorizzazione generale n. 7/2009;

RILEVATO che il trattamento dei dati in esame determina un conflitto tra la disciplina nazionale e comunitaria e la normativa statunitense, come evidenziato dalla stessa Commissione europea nella menzionata Comunicazione;

RILEVATO che lo stesso SOA prevede l´esplicita possibilità di esentare le società non statunitensi dall´applicazione della normativa ivi contenuta (Section 106 (c)), alle condizioni previste dalle Rules 2105 "Conflicting non-u.s. laws" e 2207 "Assertions of conflicts with non-u.s. laws" del PCAOB;

RITENUTO quindi, alla luce del quadro complessivamente descritto, che non sussistono allo stato i presupposti per l´adozione di una autorizzazione specifica al trattamento dei dati giudiziari oggetto della richiesta formulata dalla società;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

TUTTO CIÒ PREMESSO IL GARANTE

rigetta l´istanza di autorizzazione formulata da Iter Audit s.r.l. in ordine al trattamento dei dati giudiziari previsti dal Sarbanes-Oxley Act (e dalla relativa disciplina di attuazione) nell´ambito della procedura di registrazione presso il Public Company Accounting Oversight Board.

Roma, 3 giugno 2010

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
De Paoli