Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52023XX01019

    Sintesi del parere del Garante europeo della protezione dei dati sulla proposta di regolamento relativo ai servizi di pagamento nel mercato interno e sulla proposta di direttiva relativa ai servizi di pagamento e ai servizi di moneta elettronica nel mercato interno (Il testo integrale del presente parere è disponibile in inglese, francese e tedesco sul sito web del GEPD https://edps.europa.eu)

    GU C, C/2023/1019, 16.11.2023, ELI: http://data.europa.eu/eli/C/2023/1019/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    ELI: http://data.europa.eu/eli/C/2023/1019/oj

    European flag

    Gazzetta ufficiale
    dell'Unione europea

    IT

    Serie C

    C/2023/1019

    16.11.2023

    Sintesi del parere del Garante europeo della protezione dei dati sulla proposta di regolamento relativo ai servizi di pagamento nel mercato interno e sulla proposta di direttiva relativa ai servizi di pagamento e ai servizi di moneta elettronica nel mercato interno

    (C/2023/1019)

    (Il testo integrale del presente parere è disponibile in inglese, francese e tedesco sul sito web del GEPD https://edps.europa.eu)

    Il 28 giugno 2023 la Commissione europea ha emanato una proposta di regolamento del Parlamento europeo e del Consiglio relativo ai servizi di pagamento nel mercato interno e che modifica il regolamento (UE) n. 1093/2010 (la «proposta PSR») e una proposta di direttiva del Parlamento europeo e del Consiglio relativa ai servizi di pagamento e ai servizi di moneta elettronica nel mercato interno, che modifica la direttiva 98/26/CE e abroga le direttive (UE) 2015/2366 e 2009/110/CE (la «proposta PSD3»), congiuntamente «le proposte».

    I servizi di pagamento spesso comportano il trattamento di dati personali che possono rivelare informazioni sensibili su un singolo interessato. Il Garante europeo della protezione dei dati (GEPD) accoglie pertanto con favore gli sforzi compiuti per garantire la coerenza con il regolamento generale sulla protezione dei dati (1) («RGPD»). Evidenzia inoltre la necessità di differenziare chiaramente le «autorizzazioni» di cui alla proposta e la base giuridica per il trattamento dei dati personali ai sensi del RGPD.

    Uno degli obiettivi della proposta è consentire ai sistemi di pagamento e ai prestatori di servizi di pagamento di trattare categorie particolari di dati personali nell’interesse pubblico del buon funzionamento del mercato interno dei servizi di pagamento. Poiché il trattamento di tali dati può costituire una grave interferenza con i diritti al rispetto della vita privata e alla protezione dei dati personali, è importante che la legislazione sia sufficientemente precisa da mostrare il collegamento oggettivo tra ciascuna categoria di dati in uno specifico contesto di pagamento e l’obiettivo di interesse pubblico da raggiungere.

    Il GEPD accoglie con favore il fatto che la proposta richieda ai prestatori di servizi di pagamento di radicamento del conto di fornire all’utente un pannello di gestione per monitorare e gestire l’autorizzazione concessa. Al fine di ridurre ulteriormente il rischio di condivisione illecita dei dati personali da parte dei prestatori di servizi di pagamento di radicamento del conto, il GEPD raccomanda quanto segue:

    garantire che il pannello di gestione faccia riferimento allo specifico servizio/agli specifici servizi di pagamento designati per il quali ha concesso l’autorizzazione;

    garantire che le richieste di accesso siano limitate a quanto necessario per l’erogazione del servizio richiesto;

    garantire chiarezza in merito alla base giuridica delle richieste di accesso;

    consentire ai prestatori di servizi di pagamento di radicamento del conto di verificare l’autorizzazione concessa dall’utente dei servizi di pagamento o introdurre nella proposta PSR adeguate garanzie alternative.

    Infine, il GEPD raccomanda di garantire una stretta cooperazione tra le autorità competenti ai sensi della proposta e le autorità di controllo competenti per la protezione dei dati, al fine di assicurare la coerenza tra l’applicazione e l’esecuzione della proposta e la normativa dell’UE in materia di protezione dei dati. Il GEPD raccomanda pertanto di fare esplicito riferimento alle autorità di controllo responsabili del monitoraggio e dell’esecuzione della normativa in materia di protezione dei dati nell’articolo 93, paragrafo 3, della proposta PSR.

    1.   Introduzione

    1.

    Il 28 giugno 2023 la Commissione europea ha emanato una proposta di regolamento del Parlamento europeo e del Consiglio relativo ai servizi di pagamento nel mercato interno e che modifica il regolamento (UE) n. 1093/2010 (la «proposta di regolamento relativo ai servizi di pagamento» o «proposta PSR») (2) e una proposta di direttiva del Parlamento europeo e del Consiglio relativa ai servizi di pagamento e ai servizi di moneta elettronica nel mercato interno, che modifica la direttiva 98/26/CE e abroga le direttive (UE) 2015/2366 e 2009/110/CE (la «proposta di direttiva relativa ai servizi di pagamento 3» o «proposta PSD3») (3), di seguito denominate congiuntamente «le proposte».

    2.

    La proposta PSR e la proposta PSD3 hanno ciascuna tre allegati (sei allegati in totale), che delineano i tipi di servizi di pagamento (allegato I) e il tipo di servizi di moneta elettronica (allegato II) rientranti nell’ambito di applicazione dei progetti di proposte. Infine, l’allegato III presenta una tavola di concordanza tra le disposizioni delle direttive (UE) 2015/2366 e 2009/110/CE e le disposizioni contenute nelle proposte.

    3.

    Il GEPD osserva che i tipi di servizi oggetto delle proposte sembrano sostanzialmente identici a quelli contemplati dalla direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE («PSD2») (4).

    4.

    Gli obiettivi specifici della proposta PSR (5) sono:

    a.

    rafforzare la protezione degli utenti e la loro fiducia nei pagamenti, in particolare migliorando l’applicazione dell’autenticazione forte del cliente, creando una base giuridica che preveda lo scambio di informazioni in materia di frodi, estendendo la verifica del numero di conto bancario internazionale («IBAN») a tutti i bonifici e migliorando i diritti dell’utente e le informazioni fornitegli;

    b.

    migliorare la competitività dei servizi bancari aperti i) richiedendo ai prestatori di servizi di pagamento di radicamento del conto di predisporre un’interfaccia dedicata per l’accesso ai dati e «pannelli di gestione delle autorizzazioni» volti a consentire agli utenti di gestire le autorizzazioni di accesso ai servizi bancari aperti concesse; e ii) definendo specifiche maggiormente dettagliate dei requisiti minimi per le interfacce di dati per i servizi bancari aperti;

    c.

    migliorare l’esecuzione e l’attuazione del quadro giuridico per i servizi di pagamento negli Stati membri, in particolare sostituendo la PSD2 con un regolamento direttamente applicabile («proposta PSR»), chiarendo gli aspetti della PSD2 che sono poco chiari e migliorando la cooperazione tra le autorità competenti e altre autorità; e

    d.

    migliorare l’accesso (diretto o indiretto) dei prestatori di servizi di pagamento non bancari ai sistemi di pagamento e ai conti bancari, compresi i prestatori di servizi di disposizione di ordine di pagamento e i prestatori di servizi di informazione sui conti.

    5.

    Le proposte sono presentate congiuntamente alla proposta di regolamento in materia di accesso ai dati finanziari (la «proposta FIDA») (6), relativa tra l’altro all’accesso a dati finanziari diversi dai dati sui conti di pagamento, che rientra nell’ambito di applicazione delle proposte formanti oggetto del presente parere (7).

    6.

    In sostanza, la proposta PSR:

    a.

    stabilirebbe prescrizioni in materia di trasparenza delle condizioni e dei requisiti informativi per i servizi di pagamento (8);

    b.

    stabilirebbe diritti e obblighi in relazione alla prestazione e all’uso di servizi di pagamento, comprese norme sulle interfacce per l’accesso ai dati per i servizi di informazione sui conti e i servizi di disposizione di ordine di pagamento (9) e sulla gestione dell’accesso ai dati da parte degli utenti di servizi di pagamento (10); sulla protezione dei dati (11); sulla segnalazione delle frodi nonché sui meccanismi di monitoraggio delle operazioni e condivisione dei dati sulle frodi (12); sull’autenticazione forte del cliente (13); sulle procedure di esecuzione, sulle autorità competenti e sulle sanzioni (14); sui poteri di intervento dell’Autorità bancaria europea (ABE) (15).

    7.

    La proposta PSD3 si basa in gran parte sul titolo II dell’attuale PSD2, relativo ai «prestatori di servizi di pagamento», che si applica solo agli istituti di pagamento. Aggiorna e chiarisce le disposizioni relative agli istituti di pagamento e integra gli istituti di moneta elettronica come sottocategoria degli istituti di pagamento. Include anche disposizioni relative ai servizi di prelievo di contante forniti da dettaglianti o da gestori di ATM indipendenti (16).

    8.

    Il presente parere del GEPD è emesso in risposta a una consultazione della Commissione europea del 29 giugno 2023, ai sensi dell’articolo 42, paragrafo 1, del regolamento sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati (EUDPR). Il GEPD accoglie con favore il riferimento a tale consultazione nel considerando 147 della proposta PSR e nel considerando 77 della proposta PSD3. A tale riguardo, il GEPD rileva altresì con soddisfazione di essere già stato consultato informalmente in precedenza in merito alle proposte, a norma del considerando 60 dell’EUDPR.

    12.   Conclusioni

    52.

    		 Alla luce di quanto sopra, il GEPD formula le seguenti raccomandazioni:

    (1)

    distinguere chiaramente tra il termine «autorizzazione» e la base giuridica per il trattamento ai sensi del RGPD, chiarendo nel considerando 62 della proposta PSR che «l’autorizzazione non dovrebbe essere intesa come “consenso” o “consenso esplicito” o “necessità di esecuzione di un contratto” ai sensi del regolamento (UE) 2016/679»;

    (2)

    chiarire, mediante un considerando, che la concessione dell’autorizzazione da parte dell’utente di servizi di pagamento non pregiudica, in particolare, gli obblighi dei prestatori di servizi di disposizione di ordine di pagamento e dei prestatori di servizi di informazione sui conti ai sensi dell’articolo 6 e dell’articolo 9 del regolamento (UE) 2016/679;

    (3)

    riesaminare il divieto applicabile ai prestatori di servizi di pagamento di radicamento del conto di verificare l’autorizzazione di cui all’articolo 49, paragrafo 4, della proposta PSR o introdurre adeguate garanzie alternative nell’articolato della proposta PSR per tutelare gli utenti di servizi di pagamento dal rischio di una potenziale condivisione illecita di dati personali da parte dei prestatori di servizi di pagamento di radicamento del conto che tale divieto potrebbe comportare;

    (4)

    modificare l’articolo 46, paragrafo 2, lettera a), e l’articolo 47, paragrafo 2, lettera a), della proposta PSR per stabilire che i prestatori di servizi di disposizione di ordine di pagamento e i prestatori di servizi di informazione sui conti non hanno accesso alle credenziali di sicurezza personalizzate;

    (5)

    chiarire la definizione di «dati sensibili relativi ai pagamenti» di cui all’articolo 3, paragrafo 38, della proposta PSR, specificando in particolare i tipi di dati personali che rientrano in tale definizione;

    (6)

    specificare in relazione a quale tipo specifico/quali tipi specifici di servizio di pagamento designato/servizi di pagamento designati i sistemi di pagamento e il prestatore di servizi di pagamento sarebbero autorizzati a trattare determinate categorie particolari di dati personali nell’articolo 80 della proposta PSR;

    (7)

    fornire giustificazioni (in un considerando) sui motivi per i quali il trattamento delle categorie particolari di dati personali per il servizio di pagamento designato/i servizi di pagamento designati di cui all’articolo 80 della proposta PSR è necessario e proporzionato e non può essere evitato mediante mezzi tecnici alternativi;

    (8)

    inserire un riferimento alla registrazione del log-in (per verificare un eventuale accesso indebito) tra le garanzie di protezione dei dati di cui all’articolo 80 della proposta PSR;

    (9)

    aggiungere all’articolo 43, paragrafo 2, lettera a), un riferimento al servizio di pagamento designato/ai servizi di pagamento designati per i quali l’autorizzazione è concessa dall’utente di servizi di pagamento;

    (10)

    aggiungere all’articolo 47, paragrafo 2, relativo agli obblighi dei prestatori di servizi di informazione sui conti, la prescrizione di cui all’articolo 46, paragrafo 2, lettera b), secondo cui i prestatori di servizi di pagamento non chiedono all’utente di servizi di pagamento dati diversi da quelli necessari a prestare il servizio richiesto;

    (11)

    richiedere ai prestatori di servizi di pagamento e ai prestatori di servizi di informazione sui conti di cui all’articolo 43, paragrafo 4, lettera b), di informare i prestatori di servizi di pagamento di radicamento del conto in merito al conto cliente al quale si chiede l’accesso e in merito alla base giuridica di cui all’articolo 6, paragrafo 1, del RGPD e (se del caso) all’eccezione di cui all’articolo 9, paragrafo 2, del RGPD che utilizzerebbero per accedere ai dati personali dell’utente di servizi di pagamento;

    (12)

    specificare nell’articolo 43, lettera b), che il pannello di gestione non dovrebbe essere concepito in modo tale da incoraggiare o indurre indebitamente gli utenti di servizi di pagamento a concedere o revocare le autorizzazioni;

    (13)

    determinare chiaramente le categorie di dati personali che i prestatori di servizi di pagamento sarebbero autorizzati a trattare nel contesto dei meccanismi di monitoraggio delle operazioni (in particolare, fornendo una definizione di «informazioni sull’utente di servizi di pagamento» di cui all’articolo 83, paragrafo 2, lettera a));

    (14)

    definire adeguati periodi di conservazione dei dati per i dati personali raccolti ai sensi dell’articolo 83;

    (15)

    includere una definizione di «accordo di condivisione delle informazioni» nell’articolo 3 della proposta PSR;

    (16)

    indicare nella proposta PSR che qualsiasi trattamento di dati personali ai fini dell’osservanza degli obblighi legali in materia di prevenzione delle frodi di cui all’articolo 83 può avvenire solo per tale finalità specifica e non può comportare la cessazione del rapporto con il cliente da parte del prestatore di servizi di pagamento né incide sull’on-boarding dell’utente di servizi di pagamento da parte di un altro prestatore di servizi di pagamento;

    (17)

    menzionare esplicitamente le autorità di controllo responsabili del monitoraggio e dell’esecuzione della normativa in materia di protezione dei dati nell’articolo 93, paragrafo 3, della proposta PSR.

    Bruxelles, 22 agosto 2023

    Wojciech Rafał WIEWIÓROWSKI

    (1)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

    (2)  COM(2023) 367 final.

    (3)  COM(2023) 366 final.

    (4)  Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE (GU L 337 del 23.12.2015, pag. 35).

    (5)  COM(2023) 367 final, pagg. 5-6.

    (6)  COM(2023) 360 final.

    (7)  COM(2023) 367 final, pag. 4.

    (8)  Articoli 4-26 della proposta PSR.

    (9)  Articoli 35-38 della proposta PSR.

    (10)  Articolo 43 della proposta PSR.

    (11)  Articolo 80 della proposta PSR.

    (12)  Articoli 82-84 della proposta PSR.

    (13)  Articoli 85-86 della proposta PSR.

    (14)  Capo 8 della proposta PSR.

    (15)  Capo 9 della proposta PSR.

    (16)  COM(2023) 367 final, pag. 7.

    ELI: http://data.europa.eu/eli/C/2023/1019/oj

    ISSN 1977-0944 (electronic edition)

    Top