Sintesi del parere del Garante europeo della protezione dei dati sulla proposta di regolamento relativo ai mercati delle cripto-attività e che modifica la direttiva (UE) 2019/1937

(Il testo integrale del presente parere è disponibile in inglese, francese e tedesco sul sito web del GEPD www.edps.europa.eu)

(2021/C 337/03)

Il 24 settembre 2020 la Commissione europea ha adottato una proposta di regolamento relativo ai mercati delle cripto-attività e che modifica la direttiva (UE) 2019/1937 (in appresso «la proposta»). La proposta stabilisce obblighi di trasparenza e informativa per l’emissione e l’ammissione alla negoziazione delle cripto-attività, contiene norme sull’autorizzazione e la vigilanza dei fornitori di servizi di cripto-attività nonché degli emittenti di token collegati ad attività e degli emittenti di token di moneta elettronica, disciplina il funzionamento, l’organizzazione e la governance degli emittenti di token collegati ad attività, degli emittenti di token di moneta elettronica e dei fornitori di servizi di cripto-attività e definisce norme a tutela dei consumatori per l’emissione, la negoziazione, lo scambio e la custodia di cripto-attività, nonché misure volte a prevenire gli abusi di mercato per garantire l’integrità dei mercati di cripto-attività.

IL GEPD rammenta la necessità di una riflessione più ampia sulle modalità con cui garantire meglio che la tecnologia sottostante alle cripto-attività, ossia la catena di blocchi e i registri distribuiti, sia conforme alle norme e ai principi in materia di protezione dei dati; a tale riguardo il GEPD rimanda alle osservazioni generali formulate nel proprio parere sulla proposta di un regime pilota per le infrastrutture di mercato basate sulla tecnologia di registro distribuito (DLT) e ribadisce la necessità che tale discussione abbia luogo prima dell’entrata in vigore della o delle pertinenti proposte.

Il GEPD sottolinea al contempo la responsabilità del legislatore dell’UE di garantire che il trattamento di cui alla proposta possa essere attuato secondo modalità rispettose della protezione dei dati, nonché la responsabilità dei responsabili del trattamento di garantire la conformità in base al principio di rendicontabilità.

Il GEPD ritiene che gli emittenti di cripto-attività dovrebbero essere, di norma, responsabili del trattamento ai sensi dell’RGPD, tenendo conto del progetto degli emittenti e nella misura in cui esso comporta il trattamento di dati personali. Per contribuire alla certezza del diritto, il GEPD invita il legislatore a designare esplicitamente gli emittenti come responsabili del trattamento nella proposta. Inoltre, il trattamento di dati personali potrebbe corrispondere a due o più dei criteri che stabiliscono che il trattamento è tale da comportare un rischio elevato ai sensi della normativa sulla protezione dei dati. Di conseguenza, l’emittente di cripto-attività potrebbe essere assoggettato all’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) prima del previsto trattamento di dati personali, come stabilito dall’articolo 35 dell’RGPD.

Il GEPD valuta positivamente l’obiettivo della proposta di rafforzare la tutela dei consumatori in quanto acquirenti di cripto-attività (investitori). Nel contempo il GEPD ritiene che la proposta dovrebbe includere anche l’obbligo a carico degli emittenti di mettere chiaramente in evidenza talune garanzie concernenti la protezione dei dati, al fine di tutelare meglio gli interessati. Il GEPD raccomanda di includere nella proposta, nel contesto delle informazioni da fornire come contenuto del libro bianco sulle cripto-attività, informazioni concernenti le operazioni di trattamento previste che interessano dati personali, nonché i principali rischi previsti e le strategie di attenuazione in relazione alla protezione dei dati.

Per quanto riguarda la pubblicazione di sanzioni amministrative, il GEPD raccomanda di includere, tra i criteri di cui deve tenere conto l’autorità competente, l’impatto sulla protezione dei dati personali delle persone fisiche. Inoltre, il GEPD rammenta che, in base al principio di limitazione della conservazione, i dati personali possono essere conservati per un periodo di tempo non superiore a quello necessario per il conseguimento delle finalità per cui i dati personali sono trattati, e raccomanda di stabilire un periodo massimo, e non minimo, per la conservazione dei dati nell’articolo 95, paragrafo 4, della proposta.

1. Contesto di riferimento

Il 24 settembre 2020 la Commissione europea ha adottato una proposta di regolamento relativo ai mercati delle cripto-attività e che modifica la direttiva (UE) 2019/1937 (in appresso «la proposta») (1). La proposta costituisce un quadro regolamentare elaborato al fine di disciplinare le cripto-attività attualmente non incluse nell’ambito di applicazione delle norme e i loro fornitori di servizi nell’UE, nonché di istituire un regime di licenze unico in tutti gli Stati membri entro il 2024. La proposta mira ad armonizzare il quadro europeo per l’emissione e la negoziazione di vari tipi di cripto-token nel contesto della strategia in materia di finanza digitale per l’UE.

La proposta fa parte del pacchetto per la finanza digitale, ossia una serie di misure volte ad attuare e sostenere maggiormente il potenziale della finanza digitale in termini di innovazione e concorrenza, riducendo nel contempo i rischi. Il pacchetto per la finanza digitale comprende una nuova strategia in materia di finanza digitale per il settore finanziario dell’UE (2) al fine di garantire che l’UE metta i benefici della finanza digitale a disposizione dei consumatori e delle imprese europei. Oltre alla proposta qui considerata, il pacchetto comprende anche una proposta di un regime pilota per le infrastrutture di mercato basate sulla tecnologia di registro distribuito (DLT) (in appresso «la proposta di un regime pilota») (3), una proposta per la resilienza operativa digitale (in appresso «DORA») (4) e una proposta per chiarire o modificare talune norme correlate sui servizi finanziari dell’UE (5).

Il GEPD è stato consultato in merito alla proposta relativa al regime pilota e ha presentato il proprio parere il 23 aprile 2021 (6). Inoltre, il 29 aprile 2021 è stato consultato anche in merito alla proposta relativa alla resilienza operativa digitale e il 10 maggio 2021 ha presentato il proprio parere (7).

Il 29 aprile 2021 la Commissione europea ha chiesto al GEPD di emettere un parere sulla proposta, ai sensi dell’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725. Le presenti osservazioni sono limitate alle disposizioni della proposta che sono pertinenti dal punto di vista della protezione dei dati.

4. Conclusioni

Alla luce di quanto precede, il GEPD:

—

rammenta la necessità di una riflessione e una discussione più ampie non soltanto sulle cripto-attività, sulle modalità con cui garantire che la tecnologia sottostante alle cripto-attività, ossia la catena di blocchi e i registri distribuiti, sia conforme nella maniera più efficiente possibile alle norme e ai principi in materia di protezione dei dati, e ribadisce la necessità che tale discussione abbia luogo prima dell’entrata in vigore della o delle pertinenti proposte;

—	raccomanda di designare esplicitamente gli emittenti come responsabili del trattamento al fine di evitare ogni possibile problema di interpretazione nella valutazione del ruolo, con particolare attenzione per la complessità del tema oggetto della proposta e per i rapporti tra i soggetti rilevanti;

—

raccomanda di includere negli articoli 5, 17 e 46 della proposta, nel contesto delle informazioni da fornire come contenuto del libro bianco sulle cripto-attività, quanto segue: «laddove applicabile, l’elenco delle operazioni di trattamento previste che interessano dati personali, nonché i principali rischi previsti e le strategie di attenuazione in relazione alla protezione dei dati»;

—

per quanto riguarda la pubblicazione di sanzioni amministrative, il GEPD raccomanda di includere, tra i criteri di cui deve tenere conto l’autorità competente, i rischi per la protezione dei dati personali delle persone fisiche e di sostituire il periodo di conservazione minimo dei dati di cui all’articolo 95, paragrafo 4, «di almeno cinque anni» con un periodo di conservazione massimo specificato dei dati;

—

per quanto riguarda la cooperazione amministrativa tra le autorità competenti, l’ABE e l’ESMA, nonché la cooperazione con le autorità di vigilanza dei paesi terzi, il GEPD raccomanda di prendere in considerazione l’eliminazione del riferimento all’EUDPR nell’articolo 108, paragrafo 3, visto il riferimento «orizzontale» all’applicabilità di tale regolamento contenuto nell’articolo 88, paragrafo 2, della proposta.

Bruxelles, 24 giugno 2021.

Wojciech Rafał WIEWIÓROWSKI

(1) Proposta di regolamento del Parlamento europeo e del Consiglio relativo ai mercati delle cripto-attività e che modifica la direttiva (UE) 2019/1937 [2020/0265 (COD)], del 24 settembre 2020.

(2) Comunicazione della Commissione al Parlamento europeo, al Consiglio europeo, al Consiglio, alla Banca centrale europea, al Comitato economico e sociale europeo e al Comitato delle regioni relativa a una strategia in materia di finanza digitale per l’UE [COM(2020) 591 final], del 24 settembre 2020.

(3) Proposta di regolamento del Parlamento europeo e del Consiglio relativo ad un regime pilota per le infrastrutture di mercato basate sulla tecnologia di registro distribuito [COM(2020) 594 final].

(4) Proposta di regolamento del Parlamento europeo e del Consiglio relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014 (UE) e n. 909/2014 [COM(2020) 595 final].

(5) Proposta di direttiva del Parlamento europeo e del Consiglio che modifica le direttive 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 [COM(2020) 596 final].

(6) Parere 6/2021 sulla proposta di un regime pilota per le infrastrutture di mercato basate sulla tecnologia di registro distribuito, consultabile all’indirizzo https://edps.europa.eu/system/files/2021-06/2021-0219_d0912_opinion_on_pilot_regime_for_market_infrastructures_en.pdf.

(7) Parere 7/2021 sulla proposta di regolamento relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014 e (UE) n. 909/2014, consultabile all’indirizzo https://edps.europa.eu/system/files/2021-05/2021-0203_d0943_opinion_digital_operational_resilience_for_the_financial_sector_en.pdf