Sintesidel parere del Garante europeo della protezione dei dati su una proposta didirettiva del Parlamento europeo e del Consiglio relativa ai servizi dipagamento nel mercato interno, recante modifica delle direttive 2002/65/CE,2006/48/CE e 2009/110/CE e che abroga la direttiva 2007/64/CE, e su unaproposta di regolamento del Parlamento europeo e del Consiglio relativo allecommissioni interbancarie sulle operazioni di pagamento tramite carta (Pubblicatosulla GUUE n. C 38/ del 8/2/2014)
1. Introduzione 1.1. Consultazionedel GEPD 1. Il 27 luglio2013 la Commissione ha adottato una proposta di direttiva del Parlamentoeuropeo e del Consiglio relativa ai servizi di pagamento nel mercato interno,recante modifica delle direttive 2002/65/CE, 2006/48/CE e 2009/110/CE e cheabroga la direttiva 2007/64/CE (la proposta di direttiva) nonché una propostadi regolamento del Parlamento europeo e del Consiglio relativo alle commissioniinterbancarie sulle operazioni di pagamento tramite carta ( 2. Il GEPD sicompiace di essere stato consultato dalla Commissione ed è lieto che sia statoinserito un riferimento al presente parere nei preamboli degli strumenti. 3. Primadell'adozione della proposta di regolamento, il GEPD aveva avuto la possibilitàdi formulare osservazioni informali alla Commissione, alcune delle quali sonostate prese in considerazione. Di conseguenza, le garanzie per la protezionedei dati contenute nella proposta di regolamento sono state consolidate. 4. Poiché laproposta di regolamento non presenta criticità dal punto di vista dellaprotezione dei dati, il GEPD concentrerà le sue osservazioni sulla proposta didirettiva. 1.2. Obiettivie ambito di applicazione della proposta di direttiva 5. L'obiettivodella proposta di direttiva è contribuire a un ulteriore sviluppo del mercatoUE per i pagamenti elettronici, in cui consumatori, dettaglianti e altrioperatori di mercato potranno godere appieno dei vantaggi offerti dal mercatointerno dell'UE, in linea con la strategia Europa 2020 e con l'agenda digitale.A tal fine e nell'ottica di promuovere una maggiore concorrenza, efficienza einnovazione nel settore dei pagamenti elettronici, la Commissione dichiara cheè opportuno creare chiarezza giuridica e condizioni di parità, che si traducanoin una convergenza verso il basso dei costi e dei prezzi a carico degli utentidi servizi di pagamento, che creino una maggiore scelta e trasparenza deiservizi di pagamento, che agevolino la prestazione di servizi di pagamentoinnovativi, sicuri e trasparenti e che garantiscano la sicurezza e latrasparenza dei servizi di pagamento. 6. LaCommissione afferma che questi obiettivi saranno conseguiti grazieall'aggiornamento e all'integrazione del vigente quadro in materia di servizidi pagamento, all'introduzione di norme che rafforzino la trasparenza,l'innovazione e la sicurezza nel settore dei pagamenti al dettaglio e a unamaggiore uniformità tra le norme nazionali, con un occhio di riguardo per lelegittime esigenze dei consumatori. 3. Conclusioni Il GEPDaccoglie con favore l'introduzione all'articolo 84 di una disposizionesostanziale indicante che qualsiasi trattamento di dati di caratterepersonale svolto nell'ambito della proposta di direttiva deve essere effettuatonel pieno rispetto delle norme nazionali di attuazione della direttiva95/46/CE, della direttiva 2002/58/CE e del regolamento (CE) n. 45/2001. Il GEPDraccomanda quanto segue: — iriferimenti alla legislazione applicabile in materia di protezione dei datidevono essere specificati in garanzie concrete che si applicheranno a tutte lesituazioni in cui si preveda il trattamento di dati personali; — nellaproposta di direttiva occorre chiarire che la prestazione di servizi dipagamento potrebbe comportare il trattamento di dati personali; — nellaproposta di direttiva occorre precisare espressamente che il trattamento deidati personali può essere effettuato nella misura in cui sia necessario per laprestazione di servizi di pagamento; — deveessere aggiunta una disposizione sostanziale indicante l'obbligo di integrare iprincipi della «privacy by design» (tutela della vita privata fin dallaprogettazione) e della «privacy by default» (impostazioni automatiche di tuteladella vita privata) in tutti i sistemi di trattamento dei dati sviluppati eutilizzati nel quadro della proposta di direttiva; — perquanto riguarda gli scambi d'informazioni: (i) indicare le finalità per lequali i dati personali possono essere trattati dalle autorità nazionalicompetenti, dalla Banca centrale europea, dalle banche centrali nazionali edalle altre autorità di cui all'articolo 25, (ii) specificare il genere diinformazioni personali che possono essere trattate ai sensi della proposta didirettiva e (iii) fissare un periodo di conservazione dei dati proporzionatoper il trattamento o almeno introdurre criteri precisi per la sua definizione; —all'articolo 22 deve essere introdotto l'obbligo per le autorità competenti dirichiedere i documenti e le informazioni mediante decisione formale,specificando la base giuridica, lo scopo della richiesta e le informazioninecessarie, indicando altresì il termine entro il quale devono essere fornitele informazioni; —all'articolo 31 occorre precisare che le modalità previste per la fornitura diinformazioni agli utenti si applicano anche alla fornitura di informazioni sultrattamento dei dati personali ai sensi degli articoli 10 e 11 della direttiva95/46/CE; — perquanto riguarda l'espressione «disponibilità di fondi sufficienti» di cui agliarticoli 58 e 59, occorre specificare che le informazioni trasmesse a terzidevono consistere in un semplice «sì» o «no» in risposta alla domanda sulladisponibilità di fondi sufficienti anziché, per esempio, in un estratto conto; — perquanto riguarda l'espressione «dati sensibili relativi ai pagamenti» di cuiall'articolo 58, l'aggettivo «sensibili» deve essere eliminato e al suo postodeve essere invece utilizzata la formulazione «dati relativi ai pagamenti»; — occorrechiarire in un considerando che gli obblighi di notifica degli incidentirelativi alla sicurezza non pregiudicano altri obblighi di notifica degliincidenti enunciati in altri atti legislativi, in particolare i requisiti inmateria di violazione dei dati personali sanciti dalla legislazione sullaprotezione dei dati (nella direttiva 2002/58/CE e nella proposta di regolamentogenerale sulla protezione dei dati) e gli obblighi di notifica degli incidentirelativi alla sicurezza previsti nell'ambito della proposta di direttiva sullasicurezza delle reti e dell'informazione; — ènecessario garantire che il trattamento dei dati personali e il loro passaggioattraverso i vari intermediari avvengano nel rispetto dei principi diriservatezza e di sicurezza, conformemente agli articoli 16 e 17 delladirettiva 95/46/CE; — occorreintrodurre nella proposta di direttiva una disposizione sostanziale che prevedal'obbligo di elaborare norme sulla base, e dopo lo svolgimento, di valutazionid'impatto della tutela della vita privata; — ènecessario includere nella proposta di direttiva un riferimento alla necessitàdi consultare il GEPD nella misura in cui gli orientamenti dell'ABE riguardantile tecniche più avanzate di autenticazione del cliente e le eventuali derogheall'uso dell'autenticazione a due fattori del cliente riguardino il trattamentodei dati personali. Fatto aBruxelles, il 5 dicembre 2013 GiovanniBUTTARELLI
(
|