Parere del Garante europeo della protezione dei dati sulla proposta di regolamento del Parlamento europeo e del Consiglio che fissa i requisiti tecnici per i bonifici e gli addebiti diretti in euro e che modifica il regolamento (CE) n. 924/2009

(Pubblicato sulla GUUE n. C 284 del 28.9.2011)

 

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ( 1 ),

vista la richiesta di parere ai sensi dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ( 2 ),

HA ADOTTATO IL SEGUENTE PARERE:

 

1. INTRODUZIONE

1. Il 16 dicembre 2010 la Commissione ha adottato una proposta di regolamento del Parlamento europeo e del Consiglio che fissa i requisiti tecnici per i bonifici e gli addebiti diretti in euro e che modifica il regolamento (CE) n. 924/2009 (in appresso «la proposta»).

1.1. Consultazione del GEPD

2. La proposta è stata inviata dalla Commissione al GEPD il 3 gennaio 2011. Il GEPD considera questa comunicazione un richiesta di informazione delle istituzioni e degli organismi comunitari, secondo quanto previsto dall'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 del 18 dicembre 2000 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati [in appresso «regolamento (CE) n. 45/2001»]. In precedenza ( 3 ), prima dell'adozione della proposta, la Commissione aveva dato al GEPD la possibilità di esprimere osservazioni informali. Il GEPD accoglie con favore l'apertura del processo, che ha contribuito a migliorare il testo dal punto di vista della protezione dei dati in una fase iniziale. Alcune di tali osservazioni sono state prese in considerazione nella proposta. Il GEPD sarebbe favorevole a un riferimento esplicito alla presente consultazione nel preambolo della proposta.

1.2. La SEPA e il quadro giuridico

3. Dall'istituzione della Comunità economica europea si è registrato un movimento progressivo verso un mercato finanziario europeo più integrato. Nel campo dei pagamenti, le fasi più evidenti sono state l'introduzione dell'euro come valuta comune nel 1999 e l'entrata in circolazione di banconote e monete in euro nel 2002.

4. Tuttavia, finora i pagamenti in euro in contanti di basso valore (fino a 50 000 EUR) vengono ancora gestiti in molti modi diversi nell'Unione europea. Ne consegue che le commissioni per i pagamenti transfrontalieri nell'Unione europea sono in media più elevate rispetto a quelle per i pagamenti nazionali. Un regolamento europeo relativo ai

( 1 ) GU L 281 del 23.11.1995, pag. 31 (in appresso «direttiva 95/46/CE»).

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) Nel settembre 2010.

pagamenti transfrontalieri in euro [regolamento (CE) n. 2560/2001] ha stabilito, tra gli altri, che le commissioni non possono più essere maggiori per i pagamenti transfrontalieri in euro nell'Unione europea rispetto ai corrispondenti pagamenti nazionali in euro. In risposta a questo regolamento, nel 2002 il settore bancario europeo ha creato il Consiglio europeo per i pagamenti («EPC»), che costituiva l'organismo decisionale e di coordinamento in materia di pagamenti, e ha avviato il progetto dell'area unica dei pagamenti in euro («SEPA»). Nel 2009 il regolamento (CE) n. 924/2009 ha sostituito il regolamento (CE) n. 2560/2001 e ha esteso il principio della parità delle commissioni agli addebiti diretti, che sono diventati possibili a livello transfrontaliero a partire da novembre 2009.

5. Inoltre, la direttiva 2007/64/CE (la «direttiva sui servizi di pagamento») ha lo scopo di armonizzare le normative nazionali relative ai pagamenti nell'Unione europea. L'obiettivo è stabilire condizioni e diritti standardizzati per i servizi di pagamento e rendere i pagamenti transfrontalieri facili, efficienti e sicuri come quelli nazionali effettuati negli Stati membri. La direttiva sui servizi di pagamento si propone inoltre di stimolare la concorrenza aprendo i mercati dei pagamenti a nuovi operatori.

6. La SEPA ha lo scopo di istituire un mercato unico per i pagamenti al dettaglio in euro superando gli ostacoli tecnici, giuridici e di mercato derivanti dal periodo che ha preceduto l'introduzione della moneta unica. Quando la SEPA sarà completata, non esisterà alcuna differenza tra i pagamenti in euro nazionali e quelli transfrontalieri, in quanto saranno tutti nazionali. La SEPA include non soltanto la zona dell'euro, ma tutta l'Unione europea (UE) e Islanda, Liechtenstein, Monaco, Norvegia e Svizzera. Le comunità che si trovano al di fuori della zona dell'euro possono pertanto adottare le norme e le prassi della SEPA per i loro pagamenti in euro.

7. La proposta si applica a bonifici e addebiti diretti. Un bonifico è un pagamento disposto dal pagatore, che invia un'istruzione alla propria banca. La banca trasferisce quindi i fondi alla banca del beneficiario. Questo processo può avvenire tramite vari intermediari. Nel caso degli addebiti diretti, il pagatore preautorizza il beneficiario a prelevare fondi dal suo conto bancario. Il pagatore affida quindi alla propria banca il «mandato» di trasferire fondi sul conto del beneficiario. Gli addebiti diretti sono spesso utilizzati per i pagamenti ricorrenti, come le bollette, ma possono essere utilizzati anche per pagamenti una tantum. In questo caso, il pagatore autorizza un singolo pagamento.

1.3. La SEPA e il regime di protezione dei dati dell'UE

8. L'introduzione e lo sviluppo della SEPA comportano varie operazioni di trattamento di dati: nomi, numeri di conti bancari, contenuto dei contratti devono essere scambiati direttamente tra pagatori e beneficiari e indirettamente attraverso i rispettivi prestatori dei servizi di pagamento per garantire la corretta esecuzione dei trasferimenti. A questo scopo, la proposta include anche un articolo relativo «all'interoperabilità» che sostiene la creazione di norme standard per le operazioni nazionali e transfrontaliere, e dichiara esplicitamente che il trattamento dei bonifici e degli addebiti diretti non deve essere frenato da ostacoli tecnici. I vari operatori economici coinvolti nelle attività oggetto della proposta sono assoggettati alle diverse normative nazionali di recepimento della direttiva 95/46/CE.

9. Il GEPD sottolinea che lo scambio e il trattamento dei dati personali relativi ai pagatori e ai beneficiari e con i vari prestatori di servizi di pagamento devono rispettare i principi di necessità, proporzionalità e limitazione delle finalità. Il passaggio di dati attraverso i vari intermediari deve anche rispettare i principi di riservatezza e di sicurezza del trattamento, ai sensi degli articoli 16 e 17 della direttiva 95/46/CE.

10. La proposta introduce anche un nuovo ruolo per le autorità nazionali competenti stabilendo che devono controllare il rispetto del regolamento e adottare tutte le misure necessarie per assicurare detto rispetto. Pur essendo fondamentale per garantire un'efficace attuazione della SEPA, questo ruolo potrebbe anche comportare l'attribuzione di poteri più ampi per un ulteriore trattamento di dati personali da parte delle autorità. Anche in questo ambito, l'accesso ai dati personali da parte delle autorità nazionali competenti deve rispettare i principi di necessità, proporzionalità e limitazione delle finalità.

11. Anche se la proposta non dovrebbe introdurre disposizioni troppo dettagliate sul rispetto dei principi di protezione dei dati, che è garantito dall'applicabilità alle operazioni di trattamento delle normative nazionali di recepimento della direttiva 95/46/CE, il GEPD suggerisce alcuni miglioramenti del testo allo scopo di chiarirlo.

 

2. OSSERVAZIONI SPECIFICHE

2.1. Considerando 26

12. Il GEPD accoglie con favore il fatto che nel considerando 26 della proposta si faccia menzione della direttiva 95/46/CE. Tuttavia, per tener conto del fatto che le varie normative nazionali di recepimento della direttiva sono i riferimenti adeguati e per sottolineare che le operazioni di trattamento dei dati devono essere effettuate conformemente alle normative di recepimento, il testo del considerando potrebbe essere modificato nel seguente modo: «I trattamenti di dati personali effettuati ai sensi del presente regolamento devono essere conformi alle pertinenti normative nazionali di recepimento della direttiva 95/46/CE».

2.2. Articoli 6, 8, 9 e 10: poteri delle autorità nazionali competenti

13. L'articolo 6 della proposta introduce un divieto di applicazione alle operazioni di addebito diretto di commissioni interbancarie multilaterali ( 1 ) o di altra forma di remunerazione avente oggetto o effetto equivalente. Inoltre, per le operazioni di addebito diretto che non possono essere eseguite correttamente da un prestatore di servizi di pagamento perché rigettate (rejected), rifiutate (refused), restituite (returned) o rinviate (reversed) (operazioni R), può essere applicata una commissione interbancaria multilaterale purché siano rispettate alcune condizioni.

14. L'articolo 8 della proposta introduce obblighi per il pagatore che utilizza il bonifico e per il beneficiario che utilizza gli addebiti diretti. Il pagatore non può rifiutare di effettuare bonifici verso conti di pagamento in essere presso prestatori di servizi di pagamento situati in un altro Stato membro e raggiungibili ( 2 ) conformemente all'articolo 3. Il beneficiario che riceve fondi sul suo conto di pagamento da altri conti di pagamento in essere presso prestatori di servizi di pagamento situati nello stesso Stato membro non può rifiutare di ricevere addebiti diretti da conti di pagamento in essere presso prestatori di servizi di pagamento situati in un altro Stato membro.

15. L'articolo 9 della proposta prevede che gli Stati membri designino le autorità competenti responsabili di assicurare il rispetto del regolamento. Tali autorità devono essere dotate di tutti i poteri necessari all'adempimento delle loro funzioni, controllare il rispetto del regolamento e adottare tutte le misure necessarie per assicurare detto rispetto. Inoltre, l'articolo 9, paragrafo 3, prevede che gli Stati membri che abbiano sul loro territorio più autorità competenti per le questioni di cui al regolamento assicurino che tali autorità cooperino strettamente tra loro in maniera tale da svolgere efficacemente le loro funzioni. L'articolo 10 introduce l'obbligo per gli Stati membri di stabilire norme riguardanti le sanzioni applicabili alle violazioni del regolamento e di garantirne l'applicazione. Le sanzioni devono essere efficaci, proporzionate e dissuasive.

16. Sulla base di tali articoli, le autorità nazionali avranno il potere di controllare possibili violazioni degli obblighi previsti dalla proposta e di applicare sanzioni, fra cui sanzioni legate all'obbligo di cui agli articoli 6 e 8. Tale potere ha ripercussioni potenzialmente ampie sulla vita privata delle persone fisiche dal punto di vista della protezione dei dati: le autorità potrebbero avere un accesso generalizzato alle informazioni su qualsiasi trasferimento di fondi (sia esso tramite bonifico o addebito diretto) tra persone fisiche per verificare se vengono applicate illecitamente commissioni interbancarie multilaterali o se viene opposto un rifiuto, in contrasto con gli obblighi di cui agli articoli 6 e 8. Tale potere comporta il trattamento di dati personali (nomi delle persone fisiche interessate, numero di conto bancario e importi dei fondi da ricevere o da trasferire).

17. Sebbene il trattamento di dati personali in questo contesto debba essere conforme alle normative nazionali di recepimento della direttiva 95/46/CE, il GEPD desidera sottolineare che l'obbligo di controllo dovrebbe già essere valutato nella proposta alla luce del principio di proporzionalità e necessità sancito dall'articolo 6, paragrafo 1, lettera c), della direttiva 95/46/CE. A questo proposito, se si considerano in particolare gli articoli 6 e 8, il GEPD è del parere che sarebbe più proporzionato introdurre un sistema in base al quale il trattamento dei dati personali da parte delle autorità competenti si attiverebbe soltanto in casi specifici. Ciò significherebbe che l'intervento dell'autorità — e quindi il trattamento dei dati personali di un pagatore e/o un beneficiario — sarebbe effettuato principalmente quando esiste un motivo specifico, come nel caso in cui il pagatore o il beneficiario presenti un reclamo contro una violazione dell'articolo 6 o dell'articolo 8, o nel contesto di un'inchiesta di propria iniziativa mirata, eventualmente sulla base di informazioni fornite da una terza parte.

18. L'efficacia del controllo di conformità sarebbe garantita istituendo un meccanismo che consenta alla persona interessata di presentare un reclamo o a una terza parte di fornire informazioni e di ottenere rapidamente la risposta dell'autorità, eventualmente un'ingiunzione all'altra parte di ottemperare agli obblighi di cui agli articoli 6 e 8. In effetti, la proposta introduce già all'articolo 11 disposizioni relative a procedure extragiudiziali di reclamo e di ricorso adeguate ed efficaci per la composizione di controversie tra gli utenti dei servizi di pagamento e i prestatori di tali servizi (che riguardano il caso dell'articolo 6). Per incoraggiare il rispetto degli obblighi di cui all'articolo 8 senza introdurre un ampio accesso generalizzato ai dati personali da parte delle autorità nazionali, il GEPD suggerisce che le disposizioni dell'articolo 11 riguardino anche le controversie tra pagatori e beneficiari.

19. Il GEPD sottolinea inoltre che le attività di controllo possono comportare trasferimenti di dati personali tra autorità nazionali competenti di vari Stati membri nel contesto della «stretta cooperazione» di cui all'articolo 9, paragrafo 3. Tenuto conto degli ampi poteri attribuiti alle autorità nazionali ai fini del controllo del rispetto del regolamento (e anche nel caso in cui fossero introdotte le limitazioni relative agli articoli 6 e 8 suggerite in precedenza), il GEPD

( 1 ) La «commissione interbancaria multilaterale» è l'importo pagato dal prestatore di servizi di pagamento del beneficiario al prestatore di servizi di pagamento del pagatore nel contesto di un addebito diretto.

( 2 ) Questo requisito è inteso a garantire che un prestatore di servizi di pagamento raggiungibile per un'operazione di bonifico o di addebito diretto nazionale sia raggiungibile anche per le operazioni di bonifico e di addebito diretto disposte mediante un prestatore di servizi di pagamento situato in qualsiasi altro Stato membro (articolo 3 della proposta).

suggerisce che il testo indichi esplicitamente che il trasferimento di dati personali tra le autorità nazionali deve rispettare i principi di protezione dei dati pertinenti. In particolare, i trasferimenti non devono essere effettuati in blocco, ma soltanto in relazione a casi specifici in cui esiste già il sospetto apparente di una possibile violazione del regolamento. Pertanto, all'articolo 9, paragrafo 3, potrebbe essere aggiunta la seguente frase: «I trasferimenti di dati personali tra autorità competenti nel contesto di tale stretta cooperazione sono effettuati soltanto in casi specifici quando esiste il ragionevole sospetto di una violazione del regolamento e nel rispetto dei principi di necessità, proporzionalità e limitazione delle finalità».

2.3. Allegato

20. L'allegato della proposta stabilisce i requisiti tecnici da rispettare per i bonifici e gli addebiti diretti ai sensi dell'articolo 5 della proposta. Lo scopo dell'introduzione di tali requisiti è disporre di formati di identificazione e di comunicazione armonizzati per garantire l'interoperabilità delle operazioni di bonifico e di addebito diretto tra gli Stati membri.

21. In questo contesto, il trattamento di dati personali da parte degli intermediari (i prestatori di servizi di pagamento) viene effettuato in varie occasioni ( 1 ):

a) articolo 2, lettera b): per i bonifici, i dati che devono essere trasferiti dal pagatore al suo prestatore di servizi di pagamento e trasmessi lungo la catena di pagamento al beneficiario sono: il nome del pagatore e/o l'IBAN del conto del pagatore, l'importo del bonifico, il nome e l'IBAN del beneficiario ed eventuali informazioni sulla rimessa;

b) articolo 3, lettera b): per gli addebiti diretti, i dati che devono essere trasferiti dal beneficiario al suo prestatore di servizi di pagamento e quindi da quest'ultimo al prestatore di servizi di pagamento del pagatore ad ogni operazione sono le informazioni relative al mandato ( 2 );

c) articolo 3, lettera g): per gli addebiti diretti, i dati che devono essere trasferiti dal beneficiario al suo prestatore di servizi di pagamento e trasmessi lungo la catena di pagamento al pagatore sono: il nome del beneficiario e/o l'IBAN del conto del beneficiario, il nome del pagatore e l'IBAN del suo conto di pagamento.

22. Sebbene i trattamenti di dati personali debbano rispettare le pertinenti normative nazionali di recepimento della direttiva 95/46/CE, il progetto di proposta menziona soltanto che i trasferimenti in relazione alla precedente situazione a) devono essere effettuati «conformemente agli obblighi fissati nella normativa nazionale di recepimento della direttiva 95/46/CE». Per evitare ogni interpretazione errata, il GEPD suggerisce che tale riferimento alla direttiva sia incuso anche in relazione all'articolo 3, lettera b) e all'articolo 3, lettera g). In alternativa, qualora il testo del considerando 26 venga modificato secondo il suggerimento indicato in precedenza, la formulazione dell'articolo 2, lettera b) potrebbe escludere il riferimento alla direttiva 95/46/CE.

 

3. CONCLUSIONE

23. Il GEPD accoglie con favore il riferimento specifico alla direttiva 95/46/CE contenuto nella proposta. Il GEPD suggerisce tuttavia alcune lievi modifiche del testo per chiarire l'applicabilità dei principi di protezione dei dati alle operazioni di trattamento oggetto della proposta. In particolare:

— il considerando 26 dovrebbe tenere conto del fatto che la normativa nazionale di recepimento della direttiva 95/46/CE è il riferimento adeguato e tutte le operazioni di trattamento di dati devono essere effettuate conformemente a tale normativa di recepimento,

— il potere di controllo delle autorità nazionali competenti in relazione agli obblighi di cui agli articoli 6 e 8 deve essere limitato a casi specifici, quando esiste il ragionevole sospetto di una violazione del regolamento, mentre per incoraggiare il rispetto degli obblighi di cui all'articolo 8 il meccanismo di ricorso previsto dall'articolo 11 deve essere esteso alle controversie tra pagatore e beneficiario,

— i riferimenti alla direttiva 95/46/CE contenuti nell'allegato devono essere armonizzati per evitare ogni interpretazione errata.

Fatto a Bruxelles, il 23 giugno 2011

Giovanni BUTTARELLI

Garante europeo aggiunto della protezione dei dati

 

NOTE                                             

( 1 ) Il trasferimento del nome o del numero IBAN avviene direttamente dal beneficiario al pagatore in caso di bonifico e dal pagatore al beneficiario in caso di addebito diretto. In entrambi i casi, la legittimità del trattamento è insita nel fatto che è l'interessato che volontariamente trasmette i propri dati.

( 2 ) Tali informazioni possono includere il nome del pagatore, il suo indirizzo, il suo numero di telefono e qualsiasi altra informazione relativa al contratto che costituisce il motivo del trasferimento di fondi.