|
8.2.2014 |
IT |
Gazzetta ufficiale dell'Unione europea |
C 38/14 |
Sintesi del parere del Garante europeo della protezione dei dati su una proposta di direttiva del Parlamento europeo e del Consiglio relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 2002/65/CE, 2006/48/CE e 2009/110/CE e che abroga la direttiva 2007/64/CE, e su una proposta di regolamento del Parlamento europeo e del Consiglio relativo alle commissioni interbancarie sulle operazioni di pagamento tramite carta
(Il testo completo del presente parere è reperibile in EN, FR e DE sul sito web del GEPD http://www.edps.europa.eu)
(2014/C 38/07)
1. Introduzione
1.1. Consultazione del GEPD
|
1. |
Il 27 luglio 2013 la Commissione ha adottato una proposta di direttiva del Parlamento europeo e del Consiglio relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 2002/65/CE, 2006/48/CE e 2009/110/CE e che abroga la direttiva 2007/64/CE (la proposta di direttiva) nonché una proposta di regolamento del Parlamento europeo e del Consiglio relativo alle commissioni interbancarie sulle operazioni di pagamento tramite carta (1). Le proposte sono state trasmesse al GEPD per consultazione il 28 luglio 2013. |
|
2. |
Il GEPD si compiace di essere stato consultato dalla Commissione ed è lieto che sia stato inserito un riferimento al presente parere nei preamboli degli strumenti. |
|
3. |
Prima dell’adozione della proposta di regolamento, il GEPD aveva avuto la possibilità di formulare osservazioni informali alla Commissione, alcune delle quali sono state prese in considerazione. Di conseguenza, le garanzie per la protezione dei dati contenute nella proposta di regolamento sono state consolidate. |
|
4. |
Poiché la proposta di regolamento non presenta criticità dal punto di vista della protezione dei dati, il GEPD concentrerà le sue osservazioni sulla proposta di direttiva. |
1.2. Obiettivi e ambito di applicazione della proposta di direttiva
|
5. |
L’obiettivo della proposta di direttiva è contribuire a un ulteriore sviluppo del mercato UE per i pagamenti elettronici, in cui consumatori, dettaglianti e altri operatori di mercato potranno godere appieno dei vantaggi offerti dal mercato interno dell’UE, in linea con la strategia Europa 2020 e con l’agenda digitale. A tal fine e nell’ottica di promuovere una maggiore concorrenza, efficienza e innovazione nel settore dei pagamenti elettronici, la Commissione dichiara che è opportuno creare chiarezza giuridica e condizioni di parità, che si traducano in una convergenza verso il basso dei costi e dei prezzi a carico degli utenti di servizi di pagamento, che creino una maggiore scelta e trasparenza dei servizi di pagamento, che agevolino la prestazione di servizi di pagamento innovativi, sicuri e trasparenti e che garantiscano la sicurezza e la trasparenza dei servizi di pagamento. |
|
6. |
La Commissione afferma che questi obiettivi saranno conseguiti grazie all’aggiornamento e all’integrazione del vigente quadro in materia di servizi di pagamento, all’introduzione di norme che rafforzino la trasparenza, l’innovazione e la sicurezza nel settore dei pagamenti al dettaglio e a una maggiore uniformità tra le norme nazionali, con un occhio di riguardo per le legittime esigenze dei consumatori. |
3. Conclusioni
Il GEPD accoglie con favore l’introduzione all’articolo 84 di una disposizione sostanziale indicante che qualsiasi trattamento di dati di carattere personale svolto nell’ambito della proposta di direttiva deve essere effettuato nel pieno rispetto delle norme nazionali di attuazione della direttiva 95/46/CE, della direttiva 2002/58/CE e del regolamento (CE) n. 45/2001.
Il GEPD raccomanda quanto segue:
|
— |
i riferimenti alla legislazione applicabile in materia di protezione dei dati devono essere specificati in garanzie concrete che si applicheranno a tutte le situazioni in cui si preveda il trattamento di dati personali; |
|
— |
nella proposta di direttiva occorre chiarire che la prestazione di servizi di pagamento potrebbe comportare il trattamento di dati personali; |
|
— |
nella proposta di direttiva occorre precisare espressamente che il trattamento dei dati personali può essere effettuato nella misura in cui sia necessario per la prestazione di servizi di pagamento; |
|
— |
deve essere aggiunta una disposizione sostanziale indicante l’obbligo di integrare i principi della «privacy by design» (tutela della vita privata fin dalla progettazione) e della «privacy by default» (impostazioni automatiche di tutela della vita privata) in tutti i sistemi di trattamento dei dati sviluppati e utilizzati nel quadro della proposta di direttiva; |
|
— |
per quanto riguarda gli scambi d’informazioni: (i) indicare le finalità per le quali i dati personali possono essere trattati dalle autorità nazionali competenti, dalla Banca centrale europea, dalle banche centrali nazionali e dalle altre autorità di cui all’articolo 25, (ii) specificare il genere di informazioni personali che possono essere trattate ai sensi della proposta di direttiva e (iii) fissare un periodo di conservazione dei dati proporzionato per il trattamento o almeno introdurre criteri precisi per la sua definizione; |
|
— |
all’articolo 22 deve essere introdotto l’obbligo per le autorità competenti di richiedere i documenti e le informazioni mediante decisione formale, specificando la base giuridica, lo scopo della richiesta e le informazioni necessarie, indicando altresì il termine entro il quale devono essere fornite le informazioni; |
|
— |
all’articolo 31 occorre precisare che le modalità previste per la fornitura di informazioni agli utenti si applicano anche alla fornitura di informazioni sul trattamento dei dati personali ai sensi degli articoli 10 e 11 della direttiva 95/46/CE; |
|
— |
per quanto riguarda l’espressione «disponibilità di fondi sufficienti» di cui agli articoli 58 e 59, occorre specificare che le informazioni trasmesse a terzi devono consistere in un semplice «sì» o «no» in risposta alla domanda sulla disponibilità di fondi sufficienti anziché, per esempio, in un estratto conto; |
|
— |
per quanto riguarda l’espressione «dati sensibili relativi ai pagamenti» di cui all’articolo 58, l’aggettivo «sensibili» deve essere eliminato e al suo posto deve essere invece utilizzata la formulazione «dati relativi ai pagamenti»; |
|
— |
occorre chiarire in un considerando che gli obblighi di notifica degli incidenti relativi alla sicurezza non pregiudicano altri obblighi di notifica degli incidenti enunciati in altri atti legislativi, in particolare i requisiti in materia di violazione dei dati personali sanciti dalla legislazione sulla protezione dei dati (nella direttiva 2002/58/CE e nella proposta di regolamento generale sulla protezione dei dati) e gli obblighi di notifica degli incidenti relativi alla sicurezza previsti nell’ambito della proposta di direttiva sulla sicurezza delle reti e dell’informazione; |
|
— |
è necessario garantire che il trattamento dei dati personali e il loro passaggio attraverso i vari intermediari avvengano nel rispetto dei principi di riservatezza e di sicurezza, conformemente agli articoli 16 e 17 della direttiva 95/46/CE; |
|
— |
occorre introdurre nella proposta di direttiva una disposizione sostanziale che preveda l’obbligo di elaborare norme sulla base, e dopo lo svolgimento, di valutazioni d’impatto della tutela della vita privata; |
|
— |
è necessario includere nella proposta di direttiva un riferimento alla necessità di consultare il GEPD nella misura in cui gli orientamenti dell’ABE riguardanti le tecniche più avanzate di autenticazione del cliente e le eventuali deroghe all’uso dell’autenticazione a due fattori del cliente riguardino il trattamento dei dati personali. |
Fatto a Bruxelles, il 5 dicembre 2013
Giovanni BUTTARELLI
Garante europeo aggiunto della protezione dei dati
(1) COM(2013) 547 definitivo e COM(2013) 550 definitivo.