Opzioni di ricerca
Home Media Facciamo chiarezza Studi e pubblicazioni Statistiche Politica monetaria L’euro Pagamenti e mercati Lavorare in BCE
Suggerimenti
Ordina per

Informativa sulla privacy per il trattamento dei dati personali nel contesto della vigilanza prudenziale nell’ambito del Meccanismo di vigilanza unico

La BCE tratta dati personali nel contesto delle funzioni, delle competenze e dei poteri a essa conferiti in materia di vigilanza prudenziale. La presente informativa sulla privacy spiega come la BCE tratta i dati personali nel quadro generale delle attività di vigilanza prudenziale.

Questa pagina fornisce inoltre dettagli sui dati personali trattati dalla BCE nell’ambito delle procedure di autorizzazione. Tali informazioni possono essere consultate cliccando sulla procedura pertinente (rilascio dell’autorizzazione, partecipazioni qualificate, verifiche dei requisiti di idoneità, diritto di stabilimento o revoca dell’autorizzazione) negli elenchi che seguono.

Qual è il quadro normativo applicabile?

Il Regolamento (UE) n. 1024/2013 del Consiglio attribuisce alla BCE compiti specifici in merito alle politiche di vigilanza prudenziale degli enti creditizi sulla base dell’articolo 127, paragrafo 6, del Trattato sul funzionamento dell’Unione europea (TFUE).

A fini di vigilanza prudenziale, alla BCE sono stati conferiti i compiti specifici di cui all’articolo 4 del regolamento sull’MVU, nel quadro dell’articolo 6 di tale regolamento, per gli enti creditizi stabiliti in 1) Stati membri dell’UE la cui moneta è l’euro e 2) Stati membri dell’UE la cui moneta non è l’euro ma che hanno instaurato una cooperazione stretta con la BCE conformemente all’articolo 7 del regolamento sull’MVU (Stati membri partecipanti). Il Regolamento (UE) n. 468/2014 (regolamento quadro sull’MVU) definisce le norme e le procedure alla base della cooperazione tra la BCE e le autorità nazionali competenti (ANC) degli Stati membri partecipanti.

Nell’assolvimento delle proprie funzioni di vigilanza ai sensi del regolamento sull’MVU, la BCE può acquisire dati personali e sottoporli a ulteriore trattamento ed è pertanto soggetta alla normativa dell’UE in materia di protezione dei dati, ossia al Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il Regolamento (CE) n. 45/2001 e la Decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pagg. 39-98).

Perché trattiamo dati personali?

La BCE raccoglie dati personali e li sottopone a ulteriore trattamento ai fini dell’esecuzione e dell’esercizio delle funzioni, delle competenze e dei poteri di vigilanza prudenziale a essa conferiti dal regolamento sull’MVU (in particolare gli articoli 4, 5, 6, 7, 8 e 18). Vi rientra un ampio ventaglio di attività, tra cui:

  • le procedure di autorizzazione
    Autorizzazione all’esercizio dell’attività bancaria

    Ai sensi dell’articolo 4, paragrafo 1, lettera a), del regolamento sull’MVU, la BCE ha competenza esclusiva in materia di rilascio dell’autorizzazione all’esercizio dell’attività bancaria in uno Stato membro partecipante, fatto salvo l’articolo 14 di tale regolamento. In questo contesto, la BCE ha il compito di appurare che i richiedenti siano soggetti solidi e rispettino i requisiti normativi nazionali e dell’Unione. La BCE esamina, in particolare, i livelli di capitale delle banche istanti, il loro programma di attività, la struttura organizzativa e l’idoneità dei dirigenti e dei maggiori azionisti. I dati personali richiesti sono pertanto necessari per la verifica dei criteri per il rilascio dell’autorizzazione all’esercizio dell’attività bancaria.

    Partecipazioni qualificate

    Ai sensi dell’articolo 4, paragrafo 1, lettera c), del regolamento sull’MVU, la BCE è competente in via esclusiva per la valutazione delle notifiche di acquisizione di partecipazioni qualificate in enti creditizi in Stati membri partecipanti, fatto salvo l’articolo 15 di tale regolamento. La BCE decide se vietare l’acquisizione sulla base dei criteri di valutazione stabiliti dal pertinente diritto dell’Unione e/o nazionale in conformità della procedura nonché entro i termini per la valutazione ivi stabiliti. I dati personali richiesti sono pertanto necessari per valutare i criteri per l’approvazione dell’acquisizione di partecipazioni qualificate in enti creditizi. Ai sensi dell’articolo 23, paragrafo 1, lettere da a) a e), della Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, devono essere valutati i seguenti criteri per determinare l’idoneità del candidato acquirente e la solidità finanziaria del progetto di acquisizione:

    • l’onorabilità e la solidità finanziaria del candidato acquirente;
    • l’idoneità allo svolgimento dell’incarico di ciascun componente dell’organo di amministrazione e di ciascun esponente dell’alta dirigenza a cui spetterà determinare l’orientamento dell’attività dell’impresa target a seguito dell’acquisizione proposta;
    • se l’ente creditizio oggetto dell’operazione continuerà a soddisfare i suoi requisiti prudenziali;
    • se vi sono motivi ragionevoli per sospettare che, in relazione al progetto di acquisizione, sia in corso o abbia avuto luogo un’operazione o un tentativo di riciclaggio di denaro o finanziamento del terrorismo o che il progetto di acquisizione possa aumentarne il rischio.
    Verifica dei requisiti di idoneità

    Ai sensi dell’articolo 4, paragrafo 1, lettera e), del regolamento sull’MVU, la BCE ha il compito di assicurare la conformità al pertinente diritto dell’Unione secondo cui gli enti creditizi devono dotarsi di solidi dispositivi di governance, fra cui rientrano anche i requisiti di idoneità applicabili ai responsabili della loro amministrazione. Pertanto, i dati personali sono raccolti e trattati al fine di valutare se i responsabili dell’amministrazione di enti creditizi significativi soddisfano tali requisiti di idoneità. I cinque criteri valutati in tale ambito riguardano: 1) l’esperienza del soggetto responsabile, 2) la sua onorabilità, 3) i conflitti di interesse e l’indipendenza di giudizio, 4) la disponibilità di tempo nei confronti dell’ente in questione e 5) l’idoneità complessiva dell’organo di amministrazione.

    Revoca dell’autorizzazione

    Ai sensi dell’articolo 4, paragrafo 1, lettera a), e dell’articolo 6, paragrafo 4, del regolamento sull’MVU, la BCE ha competenza esclusiva per la revoca dell’autorizzazione all’esercizio dell’attività bancaria in uno Stato membro partecipante, fatto salvo l’articolo 14 di tale regolamento, al fine di garantire che esercitino l’attività bancaria soltanto gli enti creditizi dotati di 1) una base economica solida, 2) assetti organizzativi atti ad affrontare i rischi specifici insiti nella raccolta di depositi e nell’erogazione di crediti e 3) amministratori idonei. I dati personali richiesti sono pertanto necessari per valutare se i criteri per l’autorizzazione all’esercizio dell’attività bancaria continuino a essere soddisfatti.

    Diritto di stabilimento in un altro Stato membro partecipante

    Gli enti creditizi stabiliti in Stati membri partecipanti possono esercitare il diritto di stabilimento nel territorio di un altro Stato membro partecipante. Le ANC sono tenute a mettere a conoscenza la BCE (tramite le procedure stabilite nel regolamento quadro sull’MVU) circa tutte le informazioni che gli enti creditizi significativi forniscono loro ai sensi dell’articolo 35, paragrafo 2, della Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, (comprese, tra l’altro, le informazioni sui responsabili dell’amministrazione della succursale proposta e delle sue funzioni chiave). Tutti i dati personali richiesti, indicati nei formati standard di cui al Regolamento di esecuzione (UE) n. 926/2014 della Commissione, del 27 agosto 2014, che stabilisce norme tecniche di attuazione per quanto riguarda formati standard, modelli e procedure per le notifiche relative all’esercizio del diritto di stabilimento e della libera prestazione di servizi ai sensi della Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, sono necessari affinché la BCE possa valutare l’idoneità dei responsabili dell’amministrazione o delle funzioni chiave della succursale proposta. Inoltre, le ANC comunicano alla BCE anche le informazioni (che possono includere dati personali) ricevute da 1) enti meno significativi che esercitano il diritto di stabilimento nel territorio di un altro Stato membro partecipante e 2) enti creditizi con sede in Stati membri non partecipanti che esercitano il diritto di stabilimento in uno Stato membro partecipante.

    Diritto di stabilimento in uno Stato membro non partecipante

    Gli enti creditizi significativi situati in Stati membri partecipanti possono esercitare il diritto di stabilimento nel territorio di uno Stato membro non partecipante (definito “passaporto in uscita”). In tali situazioni, la BCE è tenuta a esercitare i poteri spettanti all’autorità competente dello Stato membro di origine conformemente alle procedure di cui all’articolo 17, paragrafo 1, del regolamento quadro sull’MVU. I poteri dello Stato membro di origine in materia di diritto di stabilimento degli enti creditizi sono definiti all’articolo 35 della Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, e comprendono una valutazione dell’adeguatezza della struttura amministrativa dell’ente creditizio. A tal fine, l’ente creditizio deve fornire informazioni sui responsabili dell’amministrazione della succursale proposta e delle sue funzioni chiave. Tutti i dati personali richiesti, indicati nei formati standard di cui al Regolamento di esecuzione (UE) n. 926/2014 della Commissione, del 27 agosto 2014, che stabilisce norme tecniche di attuazione per quanto riguarda formati standard, modelli e procedure per le notifiche relative all’esercizio del diritto di stabilimento e della libera prestazione di servizi ai sensi della Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, sono necessari per valutare l’idoneità dei responsabili dell’amministrazione o delle funzioni chiave della succursale proposta. Inoltre, le ANC comunicano alla BCE anche le informazioni ricevute da enti meno significativi in merito all’esercizio del diritto di stabilimento nel territorio di uno Stato membro non partecipante, che possono includere dati personali.

  • la vigilanza sull’osservanza da parte degli enti creditizi del pertinente diritto dell’Unione in materia di requisiti prudenziali (ad esempio requisiti di fondi propri, norme sul credito a parti correlate e norme che disciplinano le politiche e le prassi di remunerazione)
  • le valutazioni prudenziali (comprese le prove di stress) e la loro pubblicazione
  • l’applicazione dei requisiti relativi alle riserve di capitale e ad altre misure per fronteggiare i rischi sistemici o macroprudenziali
  • il trasferimento di dati personali ad altre istituzioni o altri organi o organismi dell’Unione, ad autorità di vigilanza, organizzazioni internazionali e amministrazioni di paesi terzi
  • al fine di condurre ricerche e analisi quantitative ed elaborare statistiche aggregate (nel qual caso, i dati personali saranno aggregati e resi sufficientemente anonimi, in modo che i singoli individui non siano identificabili a livello aggregato)
  • con l’ausilio della tecnologia (compresi il trattamento automatizzato e standardizzato delle informazioni, nonché alcune operazioni automatizzate nei processi decisionali) per assolvere meglio le funzioni di vigilanza. In tal caso, gli interessati non saranno soggetti a decisioni basate esclusivamente sul trattamento automatizzato che abbiano su di essi effetti giuridici (o altri effetti altrettanto significativi). Saranno adottate tutte le misure tecniche e organizzative adeguate per garantire il rispetto del Regolamento (UE) 2018/1725.

Le conseguenze della mancata presentazione delle informazioni richieste saranno definite caso per caso. In caso di informazioni mancanti, la BCE ne valuterà la rilevanza e, qualora non sia in grado di concludere la propria valutazione in assenza di tali informazioni, potrebbe risultare impossibile l’adozione di una decisione positiva.

Qual è la base giuridica per il trattamento dei dati personali?

Il trattamento dei dati personali per le finalità di cui sopra è necessario ai sensi dell’articolo 5, paragrafo 1, lettere a) e b), del Regolamento (UE) 2018/1725, in combinato disposto con il regolamento sull’MVU.

Dettagli specifici relativi alle procedure di autorizzazione:

Autorizzazione all’esercizio dell’attività bancaria

Ai sensi dell’articolo 4, paragrafo 1, lettera a), e dell’articolo 6, paragrafo 4, del regolamento sull’MVU, la BCE ha competenza esclusiva in materia di rilascio dell’autorizzazione all’esercizio dell’attività bancaria, fatto salvo l’articolo 14 di tale regolamento. L’articolo 14 del regolamento sull’MVU prevede che un’istanza di autorizzazione all’esercizio dell’attività bancaria debba essere presentata all’ANC dello Stato membro in cui l’ente creditizio sarà stabilito, conformemente ai requisiti pertinenti del diritto nazionale. L’ANC deve valutare l’istanza e fornire alla BCE un progetto di decisione se sono soddisfatti tutti i criteri stabiliti dal diritto nazionale. La BCE può sollevare obiezioni al progetto di decisione solo se le condizioni di autorizzazione sancite nel diritto dell’Unione non sono soddisfatte. Le condizioni per il rilascio dell’autorizzazione sono valutate conformemente agli articoli da 8 a 14 della Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, e/o al diritto nazionale applicabile. Gli articoli da 73 a 79 del regolamento quadro sull’MVU stabiliscono le norme per la cooperazione tra le ANC e la BCE nell’ambito della procedura di rilascio dell’autorizzazione all’esercizio dell’attività bancaria.

Partecipazioni qualificate

Ai sensi dell’articolo 4, paragrafo 1, lettera c), dell’articolo 6, paragrafo 4, e dell’articolo 15 del regolamento sull’MVU, la BCE 1) ha competenza in via esclusiva per la valutazione delle notifiche di acquisizione di partecipazioni qualificate in enti creditizi e 2) deve decidere se vietare tali acquisizioni sulla base dei criteri di valutazione stabiliti dal pertinente diritto dell’Unione (articolo 23, paragrafo 1, lettere da a) a e), della Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013) e/o dal diritto nazionale applicabile, in conformità delle procedure nonché entro i termini per la valutazione ivi stabiliti. Gli articoli da 85 a 87 del regolamento quadro sull’MVU stabiliscono le norme per la cooperazione tra le ANC e la BCE in materia di acquisizione di partecipazioni qualificate.

Verifica dei requisiti di idoneità

Ai sensi dell’articolo 4, paragrafo 1, lettera e), del regolamento sull’MVU, ai fini dell’assolvimento delle proprie funzioni la BCE deve assicurare la conformità al pertinente diritto dell’Unione e/o nazionale in base al quale gli enti creditizi devono dotarsi di solidi dispositivi di governance, fra cui rientrano anche i requisiti di idoneità applicabili ai responsabili della loro amministrazione. Ai sensi dell’articolo 16, paragrafo 2, lettera m), del regolamento sull’MVU, la BCE ha il potere di rimuovere, in qualsiasi momento, i componenti degli organi di amministrazione degli enti creditizi che non soddisfino i requisiti stabiliti dal pertinente diritto dell’Unione. Inoltre, l’articolo 91, paragrafo 1, della Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, stabilisce che i componenti dell’organo di amministrazione di un ente creditizio debbano sempre soddisfare i requisiti di onorabilità e possedere le conoscenze, le competenze e l’esperienza necessarie all’esercizio delle proprie funzioni. Gli articoli 93 e 94 del regolamento quadro sull’MVU fissano le norme per la verifica da parte della BCE dei requisiti di idoneità dei responsabili dell’amministrazione degli enti creditizi. Al fine di garantire che i requisiti di idoneità siano sempre soddisfatti, la BCE può avviare una nuova verifica basata su fatti nuovi o problemi qualora venga a conoscenza di fatti nuovi che possano incidere sulla valutazione precedente di un esponente di un organo di amministrazione.

Revoca dell’autorizzazione

Ai sensi dell’articolo 4, paragrafo 1, lettera a), del regolamento sull’MVU, la BCE ha competenza esclusiva in materia di revoca dell’autorizzazione all’esercizio dell’attività bancaria, fatto salvo l’articolo 14 di tale regolamento. Tale procedura può essere avviata dall’ANC competente o dalla BCE e deve essere coinvolta anche l’autorità nazionale responsabile della risoluzione degli enti creditizi. Gli articoli da 80 a 84 del regolamento quadro sull’MVU stabiliscono le norme per la cooperazione tra le ANC e la BCE in materia di revoca dell’autorizzazione all’esercizio dell’attività bancaria.

Diritto di stabilimento in un altro Stato membro partecipante

L’articolo 17, paragrafo 1, del regolamento sull’MVU prevede che, tra gli Stati membri partecipanti, le procedure definite dal pertinente diritto dell’Unione per gli enti creditizi che intendono stabilire una succursale nel territorio di un altro Stato membro, e le relative competenze dello Stato membro di origine e dello Stato membro ospitante si applicano soltanto ai fini dei compiti non conferiti alla BCE dall’articolo 4 di tale regolamento. Le procedure per l’interazione tra le ANC e la BCE riguardo al diritto di stabilimento di enti creditizi significativi nel territorio di un altro Stato membro partecipante sono stabilite all’articolo 11, paragrafi 1 e 3, del regolamento quadro sull’MVU. Ai sensi di tali disposizioni, la BCE deve essere messa a conoscenza di tutte le informazioni che gli enti creditizi significativi forniscono alle ANC in conformità dell’articolo 35, paragrafo 2, della Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, (comprese le informazioni sui responsabili dell’amministrazione della succursale proposta e delle sue funzioni chiave). In conformità dell’articolo 11, paragrafo 4, e dell’articolo 13, paragrafo 1, del regolamento quadro sull’MVU, le ANC informano la BCE circa le notifiche ricevute da 1) enti meno significativi che esercitano il diritto di stabilimento nel territorio di un altro Stato membro partecipante e 2) enti creditizi con sede in Stati membri non partecipanti che esercitano il diritto di stabilimento in uno Stato membro partecipante. Quando una succursale significativa è stabilita nel territorio di uno Stato membro partecipante da un ente creditizio con sede in uno Stato membro non partecipante, la BCE esercita i poteri spettanti all’autorità competente dello Stato membro ospitante, ai sensi dell’articolo 14, paragrafo 1, del regolamento quadro sull’MVU.

Diritto di stabilimento in uno Stato membro non partecipante

In linea con l’articolo 4, paragrafo 1, lettera b), del regolamento sull’MVU, alla BCE spetta assolvere i compiti che incombono all’autorità competente dello Stato membro di origine in virtù del pertinente diritto dell’Unione, qualora un ente creditizio significativo con sede in uno Stato membro partecipante desideri stabilire una succursale nel territorio di uno Stato membro non partecipante. I poteri dello Stato membro di origine concernenti il diritto di stabilimento degli enti creditizi sono definiti all’articolo 35 della Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, e comprendono una valutazione dell’adeguatezza della struttura amministrativa dell’ente creditizio. A tal fine, l’ente creditizio deve fornire informazioni sui responsabili dell’amministrazione della succursale proposta e delle sue funzioni chiave. Le procedure per l’interazione tra le ANC e la BCE riguardanti il diritto di stabilimento di enti creditizi significativi nel territorio di uno Stato membro non partecipante sono stabilite all’articolo 17, paragrafo 1, del regolamento quadro sull’MVU. Conformemente all’articolo 4, paragrafo 1, lettera b), del regolamento sull’MVU e all’articolo 17, paragrafo 2, del regolamento quadro sull’MVU, le ANC informano la BCE circa le notifiche trasmesse da enti meno significativi in merito all’esercizio del diritto di stabilimento in uno Stato membro non partecipante.

A chi compete il trattamento dei dati personali?

Ai sensi dell’articolo 3, paragrafo 8, del Regolamento (UE) 2018/1725, la BCE è titolare del trattamento dei dati per vari tipi di procedure di vigilanza prudenziale degli enti significativi.

La BCE e le ANC sono contitolari del trattamento dei dati, nell’assolvimento dei compiti di vigilanza prudenziale loro conferiti dal regolamento sull’MVU e dal regolamento quadro sull’MVU, allorché stabiliscono congiuntamente la finalità e i mezzi del trattamento dei dati. In linea con l’articolo 28 del Regolamento (UE) 2018/1725 – e l’articolo 26 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, (regolamento generale sulla protezione dei dati), che si applica al trattamento dei dati personali da parte delle ANC – tra i contitolari del trattamento è concordato un accordo specifico che ne determina le responsabilità. I contenuti principali dell’accordo sono resi pubblici.

Dettagli specifici relativi alle procedure di autorizzazione:

Autorizzazione all’esercizio dell’attività bancaria

La BCE e le ANC sono contitolari delle operazioni di trattamento dei dati relative al rilascio dell’autorizzazione all’esercizio dell’attività bancaria (“rilascio dell’autorizzazione”) nel contesto della vigilanza prudenziale di enti significativi e meno significativi.

Partecipazioni qualificate

La BCE e le ANC sono contitolari delle operazioni di trattamento dei dati relative alle partecipazioni qualificate nel contesto della vigilanza prudenziale di enti significativi e meno significativi.

Verifica dei requisiti di idoneità

La BCE è titolare delle operazioni di trattamento dei dati relative alle verifiche dei requisiti di idoneità nel contesto della vigilanza prudenziale di enti significativi.

Revoca dell’autorizzazione

La BCE e le ANC sono contitolari delle operazioni di trattamento dei dati relative alla revoca dell’autorizzazione all’esercizio dell’attività bancaria nel contesto della vigilanza prudenziale di enti significativi e meno significativi.

Diritto di stabilimento in un altro Stato membro partecipante

La BCE è titolare delle operazioni di trattamento dei dati relative al diritto di stabilimento in un altro Stato membro partecipante nel contesto della vigilanza prudenziale di enti significativi. Inoltre, le ANC informano la BCE circa le notifiche ricevute da 1) enti meno significativi che esercitano il diritto di stabilimento nel territorio di un altro Stato membro partecipante e 2) enti creditizi con sede in Stati membri non partecipanti che esercitano il diritto di stabilimento in uno Stato membro partecipante.

Diritto di stabilimento in uno Stato membro non partecipante

La BCE è titolare delle operazioni di trattamento dei dati relative al diritto di stabilimento in uno Stato membro non partecipante nel contesto della vigilanza prudenziale di enti significativi. Inoltre, le ANC informano la BCE circa le notifiche ricevute da enti meno significativi che esercitano il diritto di stabilimento in uno Stato membro non partecipante.

Chi riceverà i dati personali?

Quando la BCE tratta i dati personali per le citate finalità, i seguenti soggetti hanno accesso ai dati personali esclusivamente sulla base delle esigenze operative:

  • un numero limitato di membri del personale della BCE (per l’assolvimento delle proprie funzioni, compresi i compiti relativi alla vigilanza prudenziale degli enti creditizi)
  • un numero limitato di membri del personale delle ANC (per l’esecuzione di compiti relativi alla vigilanza prudenziale degli enti creditizi)
  • membri del Consiglio di vigilanza e del Consiglio direttivo della BCE
  • esperti e fornitori esterni che per conto della BCE predispongono pareri, consulenze e assistenza nel contesto della vigilanza prudenziale di enti creditizi (ad esempio, consulenza legale)
  • un numero limitato di membri del personale di altre istituzioni o altri organi o organismi dell’Unione, autorità di vigilanza e autorità nazionali (ad esempio pubblici ministeri o autorità di contrasto al riciclaggio di denaro).

Quali sono le tipologie di dati personali trattati?

La BCE tratta varie tipologie di dati personali, a seconda dell’attività di trattamento in questione. Tali dati comprendono ad esempio:

  • informazioni relative all’onorabilità, alle conoscenze, alle competenze e all’esperienza dei componenti in carica e potenziali dell’organo di amministrazione di 1) enti creditizi vigilati e 2) società che intendono acquisire o cedere partecipazioni qualificate in enti creditizi vigilati. Dettagli specifici relativi alle procedure di autorizzazione:
Autorizzazione all’esercizio dell’attività bancaria

I dati personali trattati in relazione alle procedure di rilascio dell’autorizzazione all’esercizio dell’attività bancaria comprendono, tra l’altro, i dati relativi al programma di attività e ai dispositivi di governance dell’ente creditizio (che possono includere informazioni finanziarie personali, dati sull’idoneità degli azionisti qualificati o dei 20 maggiori azionisti, nonché informazioni sull’idoneità dei componenti degli organi di amministrazione). Il documento dell’ABE Draft Regulatory Technical Standards under Article 8(2) of Directive 2013/36/EU of the European Parliament and of the Council on the information to be provided for the authorisation of credit institutions, the requirements applicable to shareholders and members with qualifying holdings and obstacles which may prevent the effective exercise of supervisory powers (ABE/RTS/2017/08) contiene i dettagli completi delle informazioni che saranno richieste per le istanze di autorizzazione all’esercizio dell’attività bancaria quando le norme tecniche di regolamentazione entreranno in vigore. Alcuni esempi di dati personali relativi all’ente creditizio richiedente, ai suoi azionisti o soci esistenti o futuri, agli esponenti in carica o futuri dei suoi organi di amministrazione, al personale che riveste ruoli chiave o alle funzioni di controllo interno fondamentali, o a qualsiasi altra parte affiliata (a seguito di accordi di esternalizzazione, accordi di finanziamento ecc.) sono riportati nelle sezioni relative alle partecipazioni qualificate e alle verifiche dei requisiti di idoneità.

Partecipazioni qualificate

Fatto salvo il diritto nazionale, in relazione all’acquisizione di partecipazioni qualificate sono trattati i tipi di dati personali seguenti riguardanti 1) i candidati acquirenti diretti o indiretti (persone fisiche o, nel caso di persone giuridiche, esponenti dei loro organi di amministrazione) e 2) le persone collegate a tali candidati acquirenti:

  • dati personali (nome e cognome, numero del documento d’identità/passaporto, nazionalità ecc.)
  • recapiti (indirizzo postale, indirizzo e-mail, numero di telefono ecc.)
  • dettagli relativi a conoscenze, competenze ed esperienza (ad esempio, informazioni riguardanti l’esperienza professionale pregressa e le conoscenze e competenze tecniche acquisite tramite l’istruzione e la formazione)
  • informazioni sull’onorabilità, come ad esempio
    • dettagli relativi a eventuali precedenti penali, indagini e procedimenti penali pertinenti, procedimenti civili e amministrativi pertinenti o azioni disciplinari (comprese l’interdizione dalla funzione di amministratore di una società, o procedure di fallimento, insolvenza o analoghe)
    • un certificato dei carichi pendenti, dal quale risulti se sono in corso procedimenti penali o se il soggetto o le organizzazioni amministrate da quest’ultimo abbiano avuto un coinvolgimento sotto il profilo debitorio in procedure di insolvenza o comparabili
    • informazioni dettagliate su eventuali indagini, procedimenti esecutivi o sanzioni posti in essere o emessi da un’autorità di vigilanza
    • informazioni su eventuali dinieghi di registrazione, autorizzazione, iscrizione o licenza per svolgere un’attività commerciale, imprenditoriale o professionale
    • informazioni su eventuali revoche, ritiri o cancellazioni di registrazione, autorizzazione, iscrizione o licenza
    • informazioni su eventuali espulsioni da parte di un organismo di regolamentazione o pubblico
    • informazioni su eventuali rimozioni da un impiego, da una posizione di fiducia o rapporto fiduciario (o analoga posizione) oppure inviti a rassegnare le proprie dimissioni da una di tali posizioni
  • dati finanziari, come ad esempio
    • informazioni relative alla posizione e solidità finanziaria della persona, fonti di reddito, attività e passività, garanzie reali e personali
    • merito di credito e rapporti pubblici relativi a società controllate o amministrate dalla persona in questione
    • merito di credito e rapporti pubblici relativi alla persona stessa
  • informazioni circa la possibilità che una verifica dell’onorabilità della persona in qualità di acquirente o di amministratore di un’istituzione finanziaria sia già stata effettuata da un’altra autorità di vigilanza competente del settore finanziario (comprese informazioni sull’identità di tale autorità ed evidenze dell’esito di tale verifica)
  • informazioni circa la possibilità che una verifica dell’onorabilità della persona sia già stata effettuata da un’altra autorità competente del settore non finanziario (comprese informazioni sull’identità di tale autorità ed evidenze dell’esito di tale verifica)
  • informazioni dettagliate su eventuali relazioni finanziarie (che comportino operazioni di credito, garanzie personali e reali ecc.) o relazioni non finanziarie (ad esempio una stretta relazione familiare o convivenza) con
    • qualsiasi azionista esistente dell’impresa target
    • qualsiasi persona abilitata a esercitare i diritti di voto nell’impresa target
    • l’impresa target o il suo gruppo
  • dettagli su qualsiasi altro interesse o attività in conflitto con l’impresa target e possibili soluzioni a tali conflitti di interesse.

Per quanto riguarda la valutazione dell’acquisizione di una partecipazione qualificata, si rimanda anche all’elenco delle informazioni raccomandate negli Orientamenti comuni per la valutazione prudenziale di acquisizioni e incrementi di partecipazioni qualificate nel settore finanziario (JC/GL/2016/01).

Inoltre, nell’ambito della valutazione della partecipazione qualificata possono essere trattati anche i dati personali di cui alla sezione pertinente necessari per una verifica dei requisiti di idoneità di nuovi componenti nominati dell’organo di amministrazione dell’impresa target.

Verifica dei requisiti di idoneità

L’allegato III del documento comune dell’ESMA e dell’ABE Orientamenti sulla valutazione dell’idoneità dei membri dell’organo di gestione e del personale che riveste ruoli chiave (ABE/GL/2017/12) contiene un elenco di informazioni da fornire alle autorità competenti per ogni valutazione di idoneità.

In relazione alle verifiche dei requisiti di idoneità, sono trattati i seguenti dati personali:

  1. dati personali forniti dagli esponenti nominati (per iscritto in risposta al questionario per la verifica dei requisiti di idoneità o in forma orale durante i colloqui), come ad esempio
    • dati personali (nome e cognome, numero del documento d’identità/passaporto, nazionalità ecc.)
    • recapiti (indirizzo postale, indirizzo e-mail, numero di telefono ecc.)
    • dettagli relativi a conoscenze, competenze ed esperienza (ad esempio, informazioni riguardanti l’esperienza professionale pregressa e le conoscenze e competenze tecniche acquisite tramite l’istruzione e la formazione)
    • informazioni sull’onorabilità, tra cui dettagli relativi a eventuali precedenti penali, indagini e procedimenti penali pertinenti, procedimenti civili e amministrativi pertinenti o azioni disciplinari (comprese l’interdizione dalla funzione di amministratore di una società, o procedure di fallimento, insolvenza o analoghe)
    • informazioni su eventuali conflitti di interesse (ad esempio stretti legami personali con un esponente di un organo di amministrazione, un’operazione commerciale privata significativa con l’ente creditizio in questione o una posizione di notevole influenza politica)
    • informazioni sulla disponibilità di tempo dell’esponente di nuova nomina nei confronti dell’ente creditizio in questione (comprese, se del caso, informazioni sul tempo dedicato ad altre attività professionali o personali)
    • informazioni sull’idoneità complessiva dell’organo di amministrazione (ad esempio in relazione al valore aggiunto dall’esponente nominato in termini di composizione complessiva dell’organo)
  2. dati personali portati a conoscenza dell’autorità competente in altro modo (ad esempio attraverso i mezzi di comunicazione)
  3. dati personali relativi a terzi (diversi dall’esponente nominato)
  4. commenti da parte di membri del personale della BCE o delle ANC in merito all’esito della verifica dei requisiti di idoneità dell’esponente (ad esempio, commenti che riflettono il parere o la valutazione dell’autorità di vigilanza dell’esponente nominato, in particolare per quanto riguarda le conoscenze e competenze nel settore di pertinenza)
  5. informazioni sulla possibilità che una verifica dei requisiti di idoneità sia già stata condotta da un’altra autorità di vigilanza competente (comprese informazioni sull’identità di tale autorità ed evidenze dell’esito di tale verifica).
Revoca dell’autorizzazione

I seguenti tipi di dati personali (tra gli altri) possono essere trattati per decidere se revocare l’autorizzazione all’esercizio dell’attività bancaria:

  • i dati personali forniti nel contesto di una valutazione di partecipazione qualificata, del rilascio dell’autorizzazione o di una verifica dei requisiti di idoneità (si vedano le sezioni pertinenti sopra) che sono necessari per valutare la potenziale revoca dell’autorizzazione
  • i dati personali contenuti in informazioni sulle attività dell’ente, dichiarazioni dell’ente relative al suo status e altri documenti forniti ai sensi della legislazione nazionale applicabile e dello statuto dell’ente
  • i dati personali contenuti nelle informazioni sulle ispezioni in loco, nel processo di revisione e valutazione prudenziale (SREP), nelle segnalazioni whistleblowing, nei rilievi e nelle relative misure di vigilanza, nelle comunicazioni con l’ente creditizio, nelle ordinanze e decisioni di tribunali.
Diritto di stabilimento

I dati personali trattati in relazione al diritto di stabilimento sono indicati nei formati standard di cui al Regolamento di esecuzione (UE) n. 926/2014 della Commissione, del 27 agosto 2014, che stabilisce norme tecniche di attuazione per quanto riguarda formati standard, modelli e procedure per le notifiche relative all’esercizio del diritto di stabilimento e della libera prestazione di servizi ai sensi della Direttiva 2013/36/UE del Parlamento europeo e del Consiglio.

  • informazioni relative alle persone fisiche associate a enti creditizi vigilati (ad esempio come membri del personale o clienti) nel contesto della vigilanza ispettiva e cartolare.

Il presente elenco non è tuttavia esaustivo. Per maggiori dettagli si invita a contattare la BCE utilizzando il modulo per la richiesta di informazioni.

Dove sono trasferiti, trattati e archiviati i dati?

Nel contesto della cooperazione in materia di vigilanza, alcuni dati personali possono essere trasmessi al di fuori dello Spazio economico europeo (SEE) alle organizzazioni internazionali, alle autorità di vigilanza e alle amministrazioni di paesi terzi.

Tali trasferimenti possono essere effettuati sulla base di una decisione di adeguatezza della Commissione europea ai sensi dell’articolo 47 del Regolamento (UE) 2018/1725.

In mancanza di una decisione di adeguatezza della Commissione europea, i dati personali possono, ai sensi dell’articolo 48, paragrafo 1, del Regolamento (UE) 2018/1725, essere trasferiti a un paese terzo o a un’organizzazione internazionale soltanto se sono fornite garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

In assenza di una decisione di adeguatezza o di garanzie adeguate, il trasferimento di dati personali a paesi terzi può avvenire soltanto in via eccezionale sulla base di deroghe specifiche previste all’articolo 50 del Regolamento (UE) 2018/1725 (in particolare l’articolo 50, paragrafo 1, lettera d)).

I dati personali sono archiviati in un sistema informatico sicuro protetto da funzionalità di crittografia e autenticazione.

Per quanto tempo la BCE conserva i dati personali?

La BCE conserva i dati personali per tutto il tempo necessario alla specifica finalità di vigilanza in questione, come indicato nelle regole per la conservazione dei dati della BCE.

Periodi di conservazione per le procedure di autorizzazione

La BCE conserva i dati personali relativi alle procedure di autorizzazione per un massimo di:

  • 15 anni a decorrere dalla data dell’istanza o della notifica se un’istanza è ritirata prima che sia adottata una decisione formale
  • 15 anni a decorrere dalla data di una decisione negativa
  • in caso di decisione positiva, 15 anni a decorrere dalla data in cui l’interessato cessa di essere un esponente dell’organo di amministrazione, un membro del personale che riveste funzioni chiave, un azionista fondatore o un azionista qualificato dell’ente creditizio, o un dirigente o dipendente che riveste funzioni chiave per una succursale
  • 15 anni dalla data di adozione della decisione della BCE di revoca dell’autorizzazione all’esercizio dell’attività bancaria.

In caso di avvio di procedimenti amministrativi o giudiziari, detti periodi di conservazione possono essere prorogati, terminando un anno dopo la conclusione di tali procedimenti mediante decisione definitiva.

Periodi di conservazione dei dati personali forniti in relazione alle verifiche dei requisiti di idoneità

La BCE conserva i dati personali relativi alle verifiche dei requisiti di idoneità per un massimo di:

  • un periodo generale di conservazione di 7 anni a partire dalla data in cui la BCE comunica la propria decisione al Soggetto vigilato; tale durata si applica alla maggior parte delle verifiche dei requisiti di idoneità; in caso di ritiro dell’istanza anteriormente all’adozione di una decisione da parte della BCE, il periodo di conservazione decorre dalla data dell’istanza o della notifica alla BCE
  • in via eccezionale può applicarsi un periodo di conservazione più lungo qualora vi sia una giustificazione concreta: a) è in corso un’azione giudiziaria in materia, b) è in corso un riesame amministrativo, o c) laddove la normativa nazionale o lo Statuto del Soggetto vigilato consentano il rinnovo del mandato di esponenti sottoposti a verifica dei requisiti di idoneità e i dati inerenti alla verifica iniziale siano essenziali per la valutazione del rinnovo da parte della BCE; nei casi a) e b) il periodo di conservazione scade due anni dopo la decisione giudiziaria definitiva o la decisione amministrativa di riesame definitiva, rispettivamente, mentre nel caso c) scade sette anni dopo il rinnovo
  • un periodo di conservazione di 10 anni a partire dalla data in cui la BCE comunica la decisione al Soggetto vigilato si applicherebbe a casi molto specifici, quali decisioni negative e decisioni con condizioni non concordate in precedenza con il Soggetto vigilato interessato.

Informazioni sui periodi di conservazione di dati personali specifici possono essere rese disponibili su richiesta. Per ulteriori dettagli si invita a contattare la BCE all’indirizzo info@ecb.europa.eu.

Quali sono i diritti dell’interessato?

Si riconosce il diritto di accedere ai propri dati personali e di correggere qualsiasi informazione inesatta o incompleta. Si garantisce inoltre il diritto, a determinate condizioni, di richiedere la cancellazione dei propri dati personali o di limitarne il trattamento ai sensi del Regolamento (UE) 2018/1725.

Possono applicarsi eccezioni e restrizioni a tali diritti conformemente al Regolamento (UE) 2018/1725.

La BCE può limitare i diritti dell’interessato a salvaguardare gli interessi e gli obiettivi di cui all’articolo 25, paragrafo 1, del Regolamento (UE) 2018/1725.

Chi contattare in caso di domande o richieste?

Per esercitare i propri diritti è sufficiente contattare la BCE all’indirizzo info@ecb.europa.eu.

Contatti per procedure di autorizzazione specifiche

Gli interessati possono esercitare i propri diritti inviando un’e-mail alla Divisione Autorizzazioni o alla Divisione Verifica dei requisiti di idoneità degli esponenti.

Ai sensi dell’articolo 14, paragrafo 3, del Regolamento (UE) 2018/1725, la BCE, in qualità di titolare del trattamento, deve fornire all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta di quest’ultimo senza indebito ritardo e, comunque, entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero di richieste. La BCE deve informare l’interessato di tale proroga entro un mese dal ricevimento della richiesta, indicando i motivi del ritardo.

Ai sensi dell’articolo 14, paragrafo 4, del Regolamento (UE) 2018/1725, la BCE, qualora non ottemperi alla richiesta dell’interessato, è tenuta a informarlo senza indugio, e comunque entro un mese dal ricevimento della richiesta, riguardo alle relative motivazioni nonché alla possibilità di presentare reclamo al Garante europeo della protezione dei dati e di proporre ricorso giurisdizionale.

In caso di controversia, è inoltre possibile contattare direttamente il funzionario responsabile della protezione dei dati presso la BCE, all’indirizzo dpo@ecb.europa.eu, per qualsiasi domanda in merito ai dati personali.

Istanza al Garante europeo della protezione dei dati

Qualora si ravvisi una violazione dei propri diritti di interessato ai sensi del Regolamento (UE) 2018/1725 in seguito al trattamento dei dati personali, è riconosciuta la facoltà di presentare reclamo in qualsiasi momento al Garante europeo della protezione dei dati.

Ulteriori informazioni

Maggiori informazioni sono reperibili nel parere del Garante europeo della protezione dei dati, del 3 novembre 2014, in merito al trattamento dei dati personali nelle procedure di vigilanza prudenziale nell’ambito del Meccanismo di vigilanza unico.

Parere del GEPD
Segnalazioni whistleblowing