COMISIA EUROPEANĂ

Bruxelles, 28.6.2023

COM(2023) 360 final

2023/0205(COD)

Propunere de

REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

privind un cadru pentru accesul la date financiare și de modificare a Regulamentelor (UE) nr. 1093/2010, (UE) nr. 1094/2010, (UE) nr. 1095/2010 și (UE) 2022/2554

(Text cu relevanță pentru SEE)

{SEC(2023) 255 final} - {SWD(2023) 224 final} - {SWD(2023) 230 final}

EXPUNERE DE MOTIVE

1.CONTEXTUL PROPUNERII

•Temeiurile și obiectivele propunerii

 Pentru a reuși într-o economie bazată pe date în serviciul cetățenilor și al întreprinderilor, Europa trebuie să echilibreze fluxul și utilizarea pe scară largă a datelor cu menținerea unor standarde înalte de confidențialitate, securitate, siguranță și etică. În comunicarea referitoare la Strategia europeană privind datele 1 , Comisia a prezentat modul în care UE ar trebui să creeze un mediu de politici atractiv, astfel încât, până în 2030, cota sa în economia bazată pe date să corespundă cel puțin ponderii sale economice. 

În domeniul finanțelor, Comisia a înscris promovarea finanțelor bazate pe date pe lista priorităților din Strategia privind finanțele digitale 2 din 2020 și a anunțat că intenționează să prezinte o propunere legislativă privind un cadru pentru accesul la date financiare. Prin comunicarea din 2021 referitoare la uniunea piețelor de capital 3 , Comisia a confirmat obiectivul ambițios de a-și intensifica activitatea de promovare a serviciilor financiare bazate pe date. Comisia a anunțat înființarea Grupului de experți privind spațiul european al datelor financiare, care are sarcina de a furniza informații cu privire la un prim set de cazuri de utilizare. Nu cu mult timp în urmă, președinta Comisiei, Ursula von der Leyen, a confirmat, în scrisoarea sa de intenție din 2022 privind starea Uniunii, că accesul la date în domeniul serviciilor financiare se numără printre principalele noi inițiative pentru 2023.

În prezent, clienții din sectorul financiar al UE nu pot controla în mod eficient accesul și partajarea datelor lor în afara celor referitoare la conturile de plăți. Utilizatorii de date, și anume întreprinderile care vor să acceseze datele clienților pentru a furniza servicii inovatoare, întâmpină dificultăți în accesarea datelor deținute de deținătorii de date, și anume de instituțiile financiare care colectează, stochează și prelucrează respectivele date ale clienților. Prin urmare, chiar și atunci când vor acest lucru, clienții nu au acces pe scară largă la servicii financiare și produse financiare bazate pe date. Accesul limitat la date se explică printr-o serie de probleme interconectate. În primul rând, în absența unor norme și instrumente de gestionare a permisiunilor de partajare a datelor, clienții nu au încredere că se ține seama de riscurile potențiale ale partajării de date. Prin urmare, aceștia ezită deseori să își partajeze datele. În al doilea rând, chiar dacă vor să partajeze date, fie nu există norme care să reglementeze o astfel de partajare, fie normele existente sunt neclare. Drept urmare, deținătorii de date, cum ar fi instituțiile de credit, asigurătorii și alte instituții financiare care dețin date ale clienților, nu sunt întotdeauna obligați să ofere acces la datele lor utilizatorilor de date, cum ar fi societățile de tehnologie financiară, adică societățile care utilizează tehnologie pentru sprijinirea sau prestarea de servicii financiare, sau instituțiile financiare care prestează servicii financiare și dezvoltă produse financiare pe baza partajării de date. În al treilea rând, partajarea de date devine mai costisitoare prin faptul că nici datele în sine, nici infrastructura tehnică nu sunt standardizate, între ele existând deci diferențe semnificative.

Prin prezenta propunere se urmărește rezolvarea acestor probleme prin crearea, pentru consumatori și întreprinderi, a posibilității de a controla mai bine accesul la datele lor financiare. Consumatorii și întreprinderile ar putea astfel să beneficieze de produse și servicii financiare adaptate la nevoile lor, pe baza datelor care au relevanță pentru ei, evitând în același timp riscurile inerente.

Obiectivul general al prezentei propuneri este îmbunătățirea rezultatelor economice pentru clienții serviciilor financiare (consumatori și întreprinderi) și întreprinderile din sectorul financiar prin promovarea transformării digitale și adoptarea mai rapidă a unor modele de afaceri bazate pe date în sectorul financiar al UE. După atingerea acestui obiectiv, consumatorii care vor acest lucru vor putea avea acces la produse și servicii personalizate și bazate pe date, care ar putea corespunde mai bine nevoilor lor specifice. Întreprinderile, în special IMM-urile, s-ar bucura de un acces mai larg la produse și servicii financiare. Instituțiile financiare ar putea profita pe deplin de tendințele în materie de transformare digitală, în timp ce prestatorii terți de servicii s-ar putea bucura de noi oportunități de afaceri în domeniul inovării bazate pe date. Consumatorii și întreprinderile vor primi acces la datele lor financiare pentru a le permite utilizatorilor de date să furnizeze produse și servicii financiare adaptate nevoilor clienților și ale întreprinderilor.

Propunerea nu implică economii de costuri administrative, fiind un act legislativ nou care nu modifică norme anterioare ale UE. Din același motiv, propunerea nu este nici o inițiativă inclusă în Programul Comisiei privind o reglementare adecvată și funcțională (REFIT), prin care se urmărește să se asigure că obiectivele din actele legislative ale UE sunt îndeplinite la costuri minime în beneficiul cetățenilor și al întreprinderilor.

•Coerența cu dispozițiile deja existente în domeniul de politică vizat

Prezenta propunere se bazează pe Directiva revizuită privind serviciile de plată (DSP2), prin care s-a creat posibilitatea de partajare a datelor privind conturile de plăți („servicii bancare deschise”). Prin prezenta propunere se creează posibilitatea de partajare a unui set mai larg de date privind serviciile financiare și se stabilesc normele pentru realizarea partajării de date. Se stabilesc, de asemenea, normele aplicabile participanților pe piață care vor desfășura această activitate.

•Coerența cu alte politici ale Uniunii

Prezenta propunere respectă Regulamentul general privind protecția datelor (RGPD), în care sunt stabilite normele generale privind prelucrarea datelor cu caracter personal referitoare la o persoană vizată și prin care se asigură protecția datelor cu caracter personal, precum și libera circulație a datelor cu caracter personal.

De asemenea, prezenta propunere constituie un modul de bază sectorial al mai amplei Strategii europene privind datele și creează posibilitatea de partajare de date în cadrul sectorului financiar și cu alte sectoare. Propunerea se bazează pe principiile-cheie stabilite pentru accesul la date și prelucrarea acestora în inițiativele intersectoriale ale Comisiei. Regulamentul privind guvernanța datelor se axează pe sporirea încrederii în partajarea de date și pe îmbunătățirea interconectării continue (a „interoperabilității”) spațiilor de date și pe crearea unui cadru pentru prestatorii de servicii de intermediere de date. O altă inițiativă intersectorială este Regulamentul privind piețele digitale, prin care sunt stabilite o serie de obligații legate de date pentru abordarea puterii de controlor de acces pe care o au platformele și pentru asigurarea contestabilității pe piețele digitale, permițând, de exemplu, instituțiilor financiare să acceseze date deținute de controlori de acces când o fac în numele clienților sau când utilizează servicii de platformă esențiale ale controlorilor de acces. Tot o inițiativă intersectorială este și propunerea de lege privind datele 4 , prin care ar fi stabilite noi drepturi de acces la date pentru datele din internetul obiectelor (IoT) – și anume datele obținute, generate sau colectate de produse cu privire la performanța, utilizarea sau mediul lor – atât pentru utilizatorii de produse, cât și pentru prestatorii de servicii conexe. Sunt stabilite, de asemenea, obligații general aplicabile pentru deținătorii de date, care trebuie să pună date la dispoziția destinatarilor datelor în temeiul dreptului UE sau al legislației naționale adoptate în conformitate cu dreptul UE.

Prezenta propunere completează, de asemenea, strategia UE privind investițiile de retail 5 . Prima o va sprijini pe ultima în obiectivul de îmbunătățire a funcționării cadrului de protecție a investitorilor de retail prin prevederea de garanții la utilizarea datelor investitorilor de retail în serviciile financiare. În plus, prezenta propunere asigură conformitatea cu normele privind securitatea cibernetică și reziliența operațională în sectorul financiar, astfel cum sunt prevăzute în Regulamentul privind reziliența operațională digitală, care a intrat în vigoare la 16 ianuarie 2023.

2.TEMEI JURIDIC, SUBSIDIARITATE ȘI PROPORȚIONALITATE

•Temeiul juridic

Tratatul privind funcționarea Uniunii Europene (TFUE) conferă instituțiilor UE competența de a stabili norme privind apropierea actelor cu putere de lege și a actelor administrative ale statelor membre care au ca obiectiv instituirea și funcționarea pieței interne (articolul 114 din TFUE). Este inclusă și competența de a adopta acte legislative ale UE pentru apropierea cerințelor privind utilizarea tot mai importantă a datelor pentru instituțiile financiare, deoarece, în caz contrar, instituțiile financiare care își desfășoară activitatea la nivel transfrontalier s-ar confrunta cu cerințe naționale divergente, ceea ce ar scumpi activitatea transfrontalieră. Crearea de norme comune pentru partajarea de date în sectorul financiar va contribui la funcționarea pieței interne. Normele comune vor asigura un cadru de reglementare armonizat privind guvernanța datelor financiare, în conformitate cu Strategia europeană privind datele. Modul optim de obținere a acestor rezultate este să se adopte un regulament, act direct aplicabil în statele membre.

•Subsidiaritatea (în cazul competențelor neexclusive)

Economia datelor face parte integrantă din piața internă. Fluxurile de date constituie o parte esențială a activităților digitale și reflectă lanțurile de aprovizionare existente și colaborările dintre întreprinderi și consumatori. Orice inițiativă prin care se urmărește organizarea unor astfel de fluxuri de date trebuie să se aplice pieței interne în ansamblu. Întrucât deținătorii de date sunt, în general, instituții financiare autorizate care sunt supuse unui set amplu și detaliat de norme stabilite în mare parte în regulamente direct aplicabile și mecanisme de supraveghere a căror convergență este asigurată la nivelul UE, este necesară o acțiune la nivelul UE pentru stabilirea unor condiții comune și menținerea unor condiții de concurență echitabile între instituțiile financiare, astfel încât să se garanteze integritatea pieței, protecția consumatorilor și stabilitatea financiară. Un alt motiv de acțiune la nivelul UE este nivelul ridicat de integrare din sectorul financiar. Instituțiile financiare desfășoară, de asemenea, activități transfrontaliere semnificative.

Problemele descrise în evaluarea impactului care însoțește prezenta propunere sunt comune tuturor statelor membre ale UE. Reglementarea serviciilor financiare este o competență partajată între UE și statele sale membre. Aceste probleme nu pot fi rezolvate de statele membre prin acțiuni individuale, dat fiind că deținătorii și potențialii utilizatori de date ale clienților în domeniul finanțelor își desfășoară adesea activitatea în mai multe state membre. Prin urmare, se poate ca datele unui client să fie deținute de instituții financiare din diferite state membre. Pentru a se spori încrederea și a se permite utilizarea integrată a respectivelor date, ar fi necesar ca toate aceste instituții financiare să fie reglementate de același cadru juridic și de aceleași standarde tehnice. Existența unor norme naționale separate ar duce la suprapunerea cerințelor și la costuri de conformare disproporționat de mari pentru întreprinderi, fără ca normele respective să fie cele mai benefice pentru întreprinderi și consumatori.

•Proporționalitatea

În concordanță cu principiul proporționalității, propunerea nu depășește ceea ce este necesar pentru atingerea obiectivelor sale. Aceasta acoperă numai aspectele în care sarcina administrativă și costurile sunt proporționale cu obiectivele de atins. De exemplu, proporționalitatea este concepută cu atenție în ceea ce privește domeniul de aplicare și rigoarea. La baza sa se află criterii de evaluare calitativă și cantitativă, pentru a se asigura că noile norme vor avea un efect larg. În anexa 5 la evaluarea impactului care însoțește prezenta propunere se explică în ce mod a ghidat proporționalitatea selectarea seturilor de date. În anexa 8 la evaluarea impactului care însoțește prezenta propunere sunt explicate măsurile luate pentru asigurarea unui impact proporțional asupra IMM-urilor.

•Alegerea instrumentului

Prezenta propunere ar trebui să ia forma unui regulament, act direct aplicabil în toate statele membre. Scopul este să se asigure că în toate statele membre se aplică norme comune privind condițiile de acces la date ale clienților serviciilor financiare și condițiile de gestionare a acestor date.

3.REZULTATELE EVALUĂRILOR EX POST, ALE CONSULTĂRILOR CU PĂRȚILE INTERESATE ȘI ALE EVALUĂRILOR IMPACTULUI

•Evaluările ex post/verificarea adecvării legislației existente

Prezenta propunere nu se bazează pe nicio legislație existentă. Aceasta pornește de la regimul bancar deschis instituit prin Directiva (UE) 2015/2366, dar creează un nou drept de acces la date pentru seturi de date care nu erau acoperite anterior de niciun alt cadru legislativ al UE.

•Consultările cu părțile interesate

La 10 mai 2022, Comisia Europeană a lansat o cerere de contribuții cu privire la accesul la date financiare. Cererea de contribuții s-a încheiat la 2 august 2022, primindu-se 79 de răspunsuri. Persoanele care au răspuns în nume propriu au exprimat îngrijorări cu privire la partajarea de date în absența unui cadru prin care să se adopte garanții clare, cum ar fi tablourile de bord privind confidențialitatea, delimitarea clară a domeniului de aplicare al partajării de date și condițiile de concurență echitabile între participanții pe piață. Întreprinderile s-au arătat mai degrabă în favoarea accesului, atât timp cât s-ar institui garanții adecvate. Din cererea de contribuții a rezultat că, dacă este conceput în mod corespunzător, accesul la date financiare ar putea avea un impact pozitiv.

La 10 mai 2022, Comisia Europeană a lansat și o consultare publică comună privind reexaminarea Directivei revizuite privind serviciile de plată (DSP2) și accesul la date financiare. Consultarea publică s-a încheiat la 2 august 2022. Răspunsurile referitoare la accesul la date financiare au confirmat punctele de vedere exprimate în cadrul cererii de contribuții. Deși majoritatea respondenților din cadrul publicului larg ar dori să își partajeze datele pe baza unui consimțământ/acord solid în calitate de consumatori, au fost exprimate anumite îngrijorări cu privire la partajarea de date financiare. Aceste îngrijorări au denotat o lipsă de încredere a respondenților în aspecte precum confidențialitatea, protecția datelor și securitatea digitală și un sentiment general de lipsă de control asupra modului în care le sunt utilizate datele.

Părțile interesate profesioniste (utilizatori profesioniști, întreprinderi de tehnologie financiară, asociații de consumatori, precum și autorități publice relevante și autorități naționale de reglementare) au înclinat mai mult spre partajarea de date și au menționat beneficiile pentru parcursul clienților în ceea ce privește sporirea concurenței și a inovării la nivel de produse și servicii financiare. O minoritate semnificativă de respondenți profesioniști s-a arătat, de asemenea, îngrijorată de aspecte precum concurența, securitatea și posibilitatea de utilizare abuzivă a datelor.

La 10 mai 2022, Comisia a lansat, de asemenea, o consultare specifică privind accesul la date financiare și partajarea de date în sectorul financiar. Consultarea specifică s-a încheiat la 5 iulie 2022, primindu-se 94 de răspunsuri de la părți interesate profesioniste.

Scopul consultării specifice a fost să se afle ce cred acestea în calitate de experți în partajarea de date în domeniul finanțelor. Printre părțile interesate profesioniste vizate s-au numărat instituții financiare, vânzători de date, firme de tehnologie financiară, utilizatori profesioniști, asociații de protecție a consumatorilor, precum și autorități publice relevante și autorități naționale de reglementare. În general, răspunsurile au evidențiat faptul că majoritatea respondenților profesioniști văd beneficiile potențiale ale unui cadru juridic pentru accesul la date financiare și, prin urmare, sprijină intervenția normativă în anumite domenii. Cu toate acestea, din răspunsurile la consultarea specifică pare să reiasă că punctele de vedere ale părților interesate diferă substanțial și că sprijinul din partea consumatorilor și a deținătorilor de date este condiționat de modul în care vor fi accesate și partajate respectivele date.

•Obținerea și utilizarea cunoștințelor de specialitate

La 24 octombrie 2022, Comisia a primit un raport privind finanțele deschise din partea Grupului de experți privind spațiul european al datelor financiare. Grupul de experți reunește experți din mediul universitar, din partea consumatorilor și din sector (inclusiv bănci, asigurări, pensii, investiții, precum și prestatori terți și întreprinderi de tehnologie financiară). Raportul conține o descriere a componentelor pe care grupul de experți le-a considerat esențiale pentru un ecosistem de finanțe deschise (accesibilitatea datelor, protecția datelor, standardizarea datelor, răspunderea, condițiile de concurență echitabile și actorii-cheie), considerații pentru fiecare element și, în același timp, o prezentarea a opiniilor divergente din cadrul grupului. Pentru a ilustra provocările și oportunitățile finanțelor deschise, grupul de experți a evaluat mai multe cazuri specifice de utilizare, care sunt detaliate în raport. Cazurile de utilizare și constatările raportului au fost utilizate la elaborarea prezentei propuneri, în special pentru a se determina datele care intră în domeniul de aplicare al propunerii.

•Evaluarea impactului

Prezenta propunere este însoțită de o evaluare a impactului, care a fost prezentată Comitetului de control normativ (CCN) al Comisiei la 3 februarie 2023 și aprobată la 3 martie 2023. CCN a recomandat îmbunătățiri în anumite domenii, pentru a se consolida datele concrete pe care se întemeiază propunerea, pentru a se pune un accent mai mare pe încrederea clienților și pe protecția consumatorilor vulnerabili, precum și pentru a se defini mai bine limitările și incertitudinile analizei cost-beneficiu pentru prezenta propunere. Evaluarea impactului a fost modificată în consecință, ținându-se cont de observațiile mai detaliate ale CCN.

Opțiunile de politică au fost alese pe baza Grupului de experți al Comisiei privind spațiul european al datelor financiare și pe baza feedbackului de la părțile interesate.

Mai multe dintre opțiunile analizate vizau mărirea gradului de încredere a clienților în partajarea de date, clarificarea situației juridice, promovarea standardizării și oferirea de stimulente. În ceea ce privește încrederea clienților, printre opțiunile analizate s-au numărat utilizarea obligatorie a unor tablouri de bord ale permisiunilor de acces la date financiare, stabilirea de norme privind persoanele care pot accesa date ale clienților și completarea respectivelor norme cu alte garanții, inclusiv ghiduri pentru protejarea consumatorului împotriva tratamentului inechitabil sau a riscurilor de excludere.

În ceea ce privește asigurarea clarității juridice, o opțiune analizată a fost măsura în care deținătorii de date ar putea fi obligați să partajeze datele clienților lor cu utilizatorii de date. O astfel de partajare ar putea fi obligatorie, sub rezerva solicitării clientului. Au fost analizate și tipurile de întreprinderi care trebuie obligate să partajeze date (instituții de credit, prestatori de servicii de plată și alte tipuri de instituții financiare din întregul sector financiar).

Au fost analizate mai multe opțiuni de promovare a standardizării datelor clienților și a interfețelor. Una dintre opțiuni a fost ca participanții pe piață să elaboreze împreună standarde comune pentru datele clienților și interfețe, în cadrul unor sisteme de partajare a datelor financiare. S-a analizat dacă, pentru a avea acces la date, participanții pe piață ar trebui să facă parte voluntar sau obligatoriu dintr-un astfel de sistem. O altă opțiune a fost elaborarea unui astfel de sistem prin acte delegate sau acte de punere în aplicare (așa-numite acte legislative de nivel II care completează sau modifică anumite elemente neesențiale ale actelor de bază).

Au fost analizate o serie de opțiuni în vederea introducerii unor interfețe de înaltă calitate pentru partajarea de date ale clienților. O opțiune ar putea fi ca deținătorii de date să fie obligați să introducă interfețe de programare a aplicațiilor care să pună în aplicare standardele comune pentru date și interfețe și să le pună la dispoziția utilizatorilor de date fără contract și fără a putea primi vreo compensație din partea utilizatorilor de date pentru utilizarea acestor interfețe. O altă opțiune ar fi să se permită o compensație rezonabilă pentru instalarea și utilizarea interfețelor și să se convină asupra răspunderii contractuale.

Comisia a considerat că opțiunea preferată este un regulament al UE prin care să fie stabilit un cadru pentru accesul la date financiare și care să prezinte următoarele caracteristici:

·obligarea participanților pe piață să le ofere clienților tablouri de bord ale permisiunilor de acces la date financiare, stabilirea de norme de eligibilitate privind accesul la date ale clienților și împuternicirea autorităților europene de supraveghere (AES-uri) să emită ghiduri pentru protejarea consumatorilor împotriva tratamentului inechitabil sau a riscurilor de excludere;

·stabilirea obligativității accesului utilizatorilor de date la anumite seturi de date ale clienților în tot sectorul financiar, întotdeauna sub rezerva permisiunii din partea clienților la care se referă datele;

·obligarea participanților pe piață să elaboreze standarde comune pentru datele clienților și interfețele referitoare la date care fac obiectul accesului obligatoriu, în cadrul unor sisteme și

·obligarea deținătorilor de date să instituie interfețe de programare a aplicațiilor în schimbul unei compensații, care să pună în aplicare standardele comune pentru datele clienților și interfețele elaborate în cadrul sistemelor și obligarea membrilor sistemelor să convină asupra răspunderii contractuale.

Impactul economic general preconizat al prezentei propuneri ar fi sporirea accesului la servicii financiare de mai bună calitate, ceea ce ar îmbunătăți raportul general preț-calitate. Accesul la date financiare ar avea ca rezultat servicii centrate într-o mai mare măsură pe utilizator: consumatorii care solicită consultanță de investiții ar putea beneficia de servicii personalizate și se poate preconiza că evaluarea automată a bonității va contribui la facilitarea accesului IMM-urilor la finanțare. Impactul preconizat asupra economiei în sens larg este pozitiv, datorită eficientizării prestărilor de servicii ca urmare a unei concurențe mai ridicate. Pentru ca aceste efecte pozitive să se materializeze, este important să se asigure însă că reutilizarea datelor nu antrenează comportamente anticoncurențiale sau coluziuni, dată fiind în special cerința de respectare obligatorie a unor sisteme contractuale, și că deținătorii de date, în special, nu blochează accesul concurenților la date prin intermediul unor taxe ridicate de acces la date.

Se poate preconiza că propunerea va avea un impact social general pozitiv, cu condiția să se țină sub control riscurile asociate. Partajarea de date ale clienților ar fi controlată prin faptul că ar fi posibilă numai la cererea clientului – accesul obligatoriu ar fi declanșat numai după ce clientul a solicitat ca datele sale să fie partajate. Partajarea de date mai detaliate ar putea deschide accesul la finanțare pentru utilizatorii excluși anterior. Aceasta ar putea facilita economii și pensii specifice prin facilitarea unei imagini complete a drepturilor de pensie privată și ocupațională, precum și a altor economii pentru pensie. Pe de altă parte, dacă nu există garanții adecvate, utilizarea mai intensă a datelor ar putea conduce, în cazuri specifice, la riscul unor costuri mai mari sau chiar la excluderea în și mai mare măsură a clienților cu un profil de risc nefavorabil. Este necesar să se acorde o atenție deosebită serviciilor care prezintă o mutualizare inerentă a riscurilor, cum ar fi asigurările. Cu toate acestea, prin opțiunea preferată s-ar atenua orice astfel de impact, deoarece seturile de date care sunt direct relevante pentru serviciile financiare esențiale pentru consumatori ar fi excluse din domeniul său de aplicare, iar ghidurile ABE și EIOPA privind perimetrele aplicabile de utilizare a datelor cu caracter personal ar constitui o garanție suplimentară.

În general, este de așteptat ca accesul la date financiare să aibă un impact indirect neutru sau pozitiv asupra mediului, deoarece ar sprijini probabil adoptarea unor servicii de investiții inovatoare, inclusiv a unor servicii care direcționează investițiile către activități mai durabile. Chiar dacă utilizarea mai intensivă a centrelor de date, în paralel cu o reutilizare mai largă a datelor, ar putea avea unele implicații negative, este probabil ca acestea să fie limitate ca întindere, deoarece majoritatea datelor care fac obiectul prezentei propuneri există deja în format digital. Volumul suplimentar de prelucrare ar proveni în principal din accesarea acestor de date de către utilizatori de date.

Dată fiind disponibilitatea limitată a datelor și natura prezentei propuneri, este în mod inerent dificil să se facă previziuni cantitative cu privire la modul în care aceasta ar aduce beneficii economiei în ansamblu. La fel de dificil este, de asemenea, să se separe efectele fiecărei măsuri de politică de impactul potențial agregat. Dacă este deja dificil să se estimeze costurile fiecărei opțiuni de politică, beneficiile izolate sunt și mai dificil de evaluat. S-a încercat să se ofere o evaluare macroeconomică a beneficiilor potențiale, bazată pe un studiu la nivel macro, care nu viza însă cuantificarea explicită a beneficiilor prezentei propuneri. Astfel, gama de cifre prezentate mai jos ar trebui considerată mai degrabă o ilustrare a beneficiilor potențiale decât o estimare specifică. Conform acestei evaluări macroeconomice, beneficiile anuale totale pentru economia UE generate de sporirea accesului la date și a partajării de date în sectorul financiar al UE sunt cuprinse între 4,6 miliarde EUR și 12,4 miliarde EUR, inclusiv impactul direct asupra economiei UE bazate pe date financiare, care este cuprins între 663 de milioane EUR și 2 miliarde EUR pe an. Costul total estimat al propunerii s-ar putea situa într-un interval maxim de 2,2-2,4 miliarde EUR sub formă de costuri unice și între 147 de milioane EUR și 465 de milioane EUR sub formă de costuri anuale recurente.

Finanțele digitale au multe aspecte care pot îmbunătăți funcționarea economiilor și pot promova cauza dezvoltării durabile. Accesul la finanțare este una dintre provocările majore ale dezvoltării durabile. Deși nu reprezintă obiectivul direct al propunerii, finanțele digitale vor contribui în mod indirect la promovarea creșterii economice favorabile incluziunii și durabile și a ocupării forței de muncă. Acestea pot ajuta persoanele excluse din punct de vedere social să obțină un acces mai bun la finanțare. Prezenta propunere este compatibilă cu realizarea unei infrastructuri reziliente, cu industrializarea durabilă și cu inovarea. Aceasta poate declanșa în economie forțe ale concurenței, prin care se îmbunătățește conectivitatea în domeniul finanțelor. Propunerea va contribui, prin prevederea unei consultanțe de investiții specifice, și la combaterea schimbărilor climatice, investitorii fiind ajutați să ia decizii în cunoștință de cauză, ceea ce poate contribui la canalizarea fluxurilor de capital către investiții durabile.

•Adecvarea reglementărilor și simplificarea

•Drepturile fundamentale

4.IMPLICAȚIILE BUGETARE

Punerea în aplicare a prezentei propuneri nu ar urma să aibă impact asupra bugetului general al Uniunii Europene. Deși va fi necesar ca autoritățile europene de supraveghere (AES) să îndeplinească anumite sarcini, astfel încât actul legislativ să fie pus în aplicare în mod corespunzător, majoritatea acestor sarcini sunt prevăzute în mandatele existente ale AES-urilor, de exemplu elaborarea de proiecte de standarde de reglementare ori de punere în aplicare sau de ghiduri pentru o mai bună aplicare a prezentului regulament. În plus, deși Autoritatea Bancară Europeană (ABE) ar avea obligația să înființeze un registru cu informații privind, de exemplu, prestatorii de servicii de informare financiară, costul creării unui astfel de registru ar urma să fie limitat și ar trebui să fie acoperit prin economiile de costuri rezultate din sinergiile și eficiența pe care ar urma să le realizeze toate organele Uniunii. În schimb, actul legislativ nu ar conferi AES-urilor nicio nouă sarcină de supraveghere sau de monitorizare. Prin urmare, toate costurile rezultate din punerea în aplicare a actului legislativ propus ar trebui să fie acoperite din bugetul existent al AES-urilor.

Există anumite implicații în ceea ce privește costurile și sarcina administrativă a autorităților naționale competente (ANC). Amploarea și distribuția acestora vor depinde de cerința impusă prestatorilor de servicii de informare financiară de a depune o cerere de autorizare la un ANC și de sarcinile de supraveghere și monitorizare aferente. Aceste costuri pentru ANC ar fi parțial compensate prin taxele de supraveghere pe care aceste autorități ar urma să le perceapă de la prestatorii de servicii de informare financiară.

Instituțiile financiare reglementate care dețin deja o autorizație nu ar urma să fie afectate de noul regim de autorizare instituit prin prezenta propunere și nu ar urma să existe cerințe suplimentare de raportare în scopuri de reglementare, de autorizare sau de altă natură. Pentru întreprinderile care ar trebui să solicite o autorizație, costurile totale ale obținerii acesteia sunt estimate la aproximativ 18,5 milioane EUR, în ipoteza că numărul de întreprinderi care ar depune o cerere de autorizare în calitate de prestatori de servicii de informare financiară pentru a putea accesa date ale clienților ar fi de aproximativ 350. Aceste întreprinderi ar trebui, de asemenea, să respecte cerințele prevăzute în DORA și să introducă standardele de securitate cibernetică necesare.

5.ELEMENTE DIVERSE

•Planuri de punere în aplicare și măsurile de monitorizare, evaluare și raportare

Este necesar să se prevadă un mecanism de monitorizare și evaluare pentru a se asigura atingerea cu eficacitate a obiectivelor acțiunilor de reglementare întreprinse. Comisia va evalua impactul prezentului regulament și va fi însărcinată cu reexaminarea acestuia (articolul 31 din propunere).

•Explicarea detaliată a dispozițiilor specifice ale propunerii

Prin prezenta propunere se urmărește stabilirea unui cadru de reglementare a accesului la date ale clienților și a utilizării acestora în domeniul finanțelor (acces la date financiare). Accesul la date financiare se referă la accesarea și prelucrarea de date dintre întreprinderi și dintre întreprinderi și clienți (inclusiv consumatori), la cererea clientului, într-o gamă largă de servicii financiare. Propunerea este împărțită în nouă titluri.

Titlul I conține obiectul, domeniul de aplicare și definițiile. La articolul 1 se prevede că regulamentul stabilește normele în conformitate cu care pot fi accesate, partajate și utilizate anumite categorii de date ale clienților în domeniul finanțelor. Sunt stabilite, de asemenea, cerințele de accesare, partajare și utilizare a datelor în domeniul finanțelor, drepturile și obligațiile pe care le au utilizatorii de date și deținătorii de date, precum și drepturile și obligațiile pe care le au prestatorii de servicii de informare financiară în cadrul prestării de servicii de informare ca ocupație sau ca activitate comercială obișnuită. La articolul 2 este stabilit domeniul de aplicare al regulamentului, în care intră anumite seturi de date descrise exhaustiv, și sunt enumerate întreprinderile cărora li se aplică prezentul regulament. La articolul 3 sunt stabiliții termenii și definițiile care se utilizează în sensul prezentului regulament, cum ar fi termenii „deținător de date”, „utilizator de date”, „prestator de servicii de informare financiară” și alții.

Titlul II introduce o obligație legală pentru deținătorii de date și reglementează modul în care ar trebui exercitată această obligație. La articolul 4 se precizează că deținătorul de date trebuie să pună la dispoziția clienților, pe baza unei cereri, datele care intră în domeniul de aplicare al prezentului regulament. Prin articolul 5, clientul primește dreptul de a solicita ca deținătorul de date să partajeze aceste date cu un utilizator de date. Când datele în chestiune sunt date cu caracter personal, cererea trebuie să respecte un temei juridic valabil, astfel cum se menționează în Regulamentul general privind protecția datelor (RGPD), care permite prelucrarea datelor cu caracter personal. Articolul 6 conține anumite obligații pentru utilizatorii de date care primesc date la cererea clienților. Accesul ar trebui să privească numai datele clienților care sunt puse la dispoziție în temeiul articolului 5, iar aceste date ar trebui utilizate numai în scopurile și condițiile convenite cu clientul. Elementele de securitate personalizate ale clientului nu ar trebui să fie accesibile altor părți, iar datele nu ar trebui stocate pe o durată mai mare decât este necesară.

Titlul III stabilește cerințele de utilizare responsabilă a datelor și de securitate. Prin articolul 7 se oferă îndrumări referitoare la modul în care întreprinderile ar trebui să utilizeze datele pentru anumite cazuri de utilizare și se garantează că nu va exista nicio discriminare sau restricție în ceea ce privește accesul la servicii ca urmare a utilizării datelor. Acesta asigură că acelor clienți care refuză să acorde permisiunea de utilizare a unor seturi de date care le aparțin nu li se va refuza accesul la produse financiare doar pentru că au refuzat să acorde permisiunea. La articolul 8 sunt stabilite tablourile de bord ale permisiunilor de acces la date financiare, prin care li se asigură clienților posibilitatea de a-și monitoriza permisiunile de utilizare a datelor, clienții putând să acceseze o imagine de ansamblu a permisiunilor acordate pentru utilizarea datelor lor, să acorde permisiuni noi și să retragă permisiuni, dacă este necesar.

Titlul IV stabilește cerințele pentru crearea și guvernanța sistemelor de partajare a datelor financiare al căror scop este să reunească deținătorii de date, utilizatorii de date și asociațiile de consumatori. Astfel de sisteme ar trebui să elaboreze standarde privind datele și interfețele și să stabilească mecanismele de coordonare pentru funcționarea tablourilor de bord ale permisiunilor de acces la date financiare, precum și un cadru contractual standardizat comun care să reglementeze accesul la seturi de date specifice, normele privind guvernanța acestor sisteme, cerințele de transparență, normele de compensare, răspunderea și soluționarea litigiilor. La articolul 9 se prevede că datele care intră în domeniul de aplicare al prezentului regulament trebuie să fie puse la dispoziție numai membrilor unui sistem de partajare a datelor financiare, ceea ce înseamnă că existența unor astfel de sisteme și apartenența la acestea sunt obligatorii. La articolul 10 sunt stabilite procesele de guvernanță ale unui astfel de sistem, inclusiv normele privind răspunderea contractuală a membrilor săi și mecanismul de soluționare extrajudiciară a litigiilor. La articolul 10 sunt prevăzute, de asemenea, elaborarea unor standarde comune pentru partajarea de date și crearea de interfețe tehnice de utilizat pentru partajarea de date. Astfel de sisteme de partajare de date trebuie să fie notificate autorităților competente, să beneficieze de un pașaport pentru desfășurarea de operațiuni oriunde UE și, în scopul transparenței, să fie înscrise într-un registru ținut de ABE. Din dispozițiile minime ale unui sistem de partajare a datelor financiare ar trebui să facă parte și dispoziția potrivit căreia deținătorii de date au dreptul la compensații pentru punerea datelor la dispoziția utilizatorilor de date, în condițiile sistemului din care fac parte ambele părți. Compensația trebuie să fie, în toate cazurile, rezonabilă și să se bazeze pe o metodologie clară și transparentă convenită în prealabil de membrii sistemului și ar trebui să reflecte cel puțin costurile suportate pentru punerea la dispoziție a unei interfețe tehnice pentru partajarea datelor solicitate. La articolul 11 este prevăzută competența Comisiei de a adopta un act delegat în cazul în care pentru una sau mai multe categorii de date ale clienților nu a fost instituit un sistem de partajare a datelor financiare.

Titlul V conține dispozițiile referitoare la condițiile de autorizare și de funcționare a prestatorilor de servicii de informare financiară. Aceste cerințe evidențiază conținutul necesar al unei cereri (articolul 12), numirea unui reprezentant legal (articolul 13), domeniul de aplicare al autorizației, inclusiv pașaportul UE al prestatorilor de servicii de informare financiară (articolul 14) și dreptul pe care îl au autoritățile competente de a retrage o autorizație. La articolul 15 este prevăzută instituirea unui registru al prestatorilor de servicii de informare financiară și al sistemelor de partajare de date, care urmează să fie ținut de ABE. La articolul 16 sunt prevăzute cerințele organizatorice pe care trebuie să le îndeplinească prestatorii de servicii de informare financiară.

Titlul VI conține detalii cu privire la competențele autorităților competente. La articolul 17 este prevăzută obligația statelor membre de a desemna autorități competente. Articolul 18 conține dispoziții detaliate cu privire la competențele autorităților competente, iar la articolul 19 este prevăzută competența de a încheia acorduri de soluționare amiabilă și de a aplica proceduri accelerate de executare. La articolele 20 și 21 sunt detaliate sancțiunile administrative și alte măsuri administrative, precum și penalitățile cu titlu cominatoriu care pot fi impuse de autoritățile competente. La articolul 22 sunt prevăzute circumstanțele de care ar trebui să țină seama autoritățile competente când stabilesc sancțiuni administrative și alte măsuri administrative. Articolul 23 reglementează secretul profesional pentru schimburile de informații dintre autoritățile competente. Titlul VI conține norme referitoare la dreptul la o cale de atac (articolul 24), publicarea sancțiunilor administrative și a măsurilor administrative impuse (articolul 25), schimbul de informații dintre autoritățile competente (articolul 26) și soluționarea dezacordurilor dintre acestea (articolul 27).

În titlul VII sunt prevăzute procedura de notificare a autorităților competente de către întreprinderile care își exercită dreptul de stabilire și libertatea de a presta servicii (articolul 28), precum și obligația de informare pe care o au autoritățile competente când iau măsuri care implică restricții ale libertății de stabilire (articolul 29).

Titlul VIII conține dispoziții referitoare la exercitarea delegării în vederea adoptării de acte delegate ale Comisiei (articolul 30), dat fiind că propunerea în sine conține o împuternicire a Comisiei de a adopta un act delegat în temeiul articolului 11. În acest titlu este prevăzută și obligația Comisiei de a reexamina anumite aspecte ale regulamentului (articolul 31). Articolele 32-34 conțin modificările care trebuie aduse regulamentelor de instituire a AES­urilor, astfel încât prezentul regulament și prestatorii de servicii de informare financiară să fie incluși în domeniul de aplicare al regulamentelor respective. Articolul 35 conține o modificare adusă Regulamentului privind reziliența operațională digitală. La articolul 36 se prevede că prezentul regulament începe să se aplice la 24 de luni după intrarea sa în vigoare, cu excepția titlului IV (referitor la sisteme), care începe să se aplice la 18 luni după intrarea în vigoare a regulamentului.

2023/0205 (COD)

Propunere de

REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

privind un cadru pentru accesul la date financiare și de modificare a Regulamentelor (UE) nr. 1093/2010, (UE) nr. 1094/2010, (UE) nr. 1095/2010 și (UE) 2022/2554

(Text cu relevanță pentru SEE)

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 114,

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ către parlamentele naționale,

având în vedere avizul Comitetului Economic și Social European 6 ,

hotărând în conformitate cu procedura legislativă ordinară,

întrucât:

(1)O economie a datelor responsabilă, bazată pe generarea și utilizarea de date, reprezintă o parte integrantă din piața internă a Uniunii, care poate aduce beneficii atât cetățenilor Uniunii, cât și economiei. Tehnologiile digitale care se bazează pe date antrenează tot mai des schimbări pe piețele financiare, generând noi modele de afaceri, produse și moduri de interacțiune între întreprinderi și clienți.

(2)Clienții instituțiilor financiare, consumatori și întreprinderi deopotrivă, ar trebui să aibă un control efectiv asupra datelor lor financiare și posibilitatea de a beneficia, în sectorul financiar, de o inovare bazată pe date care să fie deschisă, echitabilă și sigură. Clienții ar trebui să aibă capacitatea de a decide cum și cine le utilizează datele financiare și ar trebui să aibă opțiunea de a le acorda întreprinderilor acces la date în scopul obținerii de servicii financiare și de informare, dacă doresc.

(3)Uniunea are un interes de politică declarat în a crea pentru clienții instituțiilor financiare posibilitatea de a avea acces la datele financiare ale acestora. Comisia a confirmat, în Comunicarea referitoare la Strategia privind finanțele digitale și în comunicarea privind uniunea piețelor de capital, adoptată în 2021, că intenționează să instituie un cadru pentru accesul la date financiare, astfel încât clienții să valorifice beneficiile partajării de date în sectorul financiar. Printre astfel de beneficii se numără dezvoltarea și furnizarea de produse financiare și servicii financiare bazate pe date, care devin posibile prin partajarea de date ale clienților.

(4)În cadrul serviciilor financiare și ca urmare a revizuirii Directivei (UE) 2015/2366 a Parlamentului European și a Consiliului 7 , partajarea de date privind conturile de plăți în Uniune, bazată pe acordarea permisii în acest sens de către clienți, a început să transforme modul în care consumatorii și întreprinderile utilizează serviciile bancare. Pentru valorificarea măsurilor din directiva menționată, ar trebui instituit un cadru de reglementare pentru partajarea de date ale clienților în tot sectorul financiar, în plus față de datele referitoare la conturile de plăți. Acest cadru ar trebui să constituie, de asemenea, un modul de bază pentru integrarea deplină a sectorului financiar în strategia privind datele a Comisiei 8 , care promovează partajarea intersectorială de date.

(5)Pentru crearea unui cadru funcțional și eficace de partajare de date în sectorul financiar, este imperios să se asigure controlul și încrederea clienților. Un control efectiv al clienților asupra partajării de date contribuie la inovare, precum și la încrederea clienților în partajarea de date. Drept urmare, dacă au un control efectiv, clienții își pot depăși mai ușor ezitarea de a-și partaja datele. În actualul cadru al Uniunii, dreptul la portabilitatea datelor pe care îl are o persoană vizată în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului 9 se limitează la datele cu caracter personal și poate fi invocat numai în cazul în care portarea datelor este fezabilă din punct de vedere tehnic. Datele clienților și interfețele tehnice din sectorul financiar, în plus față de cele referitoare la conturile de plăți, nu sunt standardizate, ceea ce înseamnă că partajarea de date este mai costisitoare. În plus, instituțiile financiare sunt obligate din punct de vedere juridic să pună la dispoziție doar datele privind plățile clienților lor.

(6)Economia datelor financiare a Uniunii rămâne, așadar, fragmentată, fiind caracterizată de o partajare de date inegală, de bariere și de reticența ridicată a părților interesate de a se implica în partajarea de date în plus față de cele referitoare la conturile de plăți. În consecință, clienții nu beneficiază de produse și servicii bazate pe date și individualizate, care să le corespundă nevoilor specifice. Absența unor produse financiare personalizate limitează posibilitatea de inovare prin oferirea mai multor opțiuni și produse și servicii financiare consumatorilor interesați, care altfel ar putea beneficia de instrumente bazate pe date care îi pot ajuta să facă alegeri în cunoștință de cauză, să compare ofertele într-un mod ușor de utilizat și să treacă la produse mai avantajoase care corespund preferințelor lor pe baza datelor lor. Barierele existente în calea partajării de date între întreprinderi împiedică întreprinderile, în special IMM-urile, să beneficieze de servicii financiare mai bune, convenabile și automatizate.

(7)Punerea la dispoziție a datelor prin intermediul unor interfețe de programare a aplicațiilor de înaltă calitate este esențială pentru facilitarea accesului continuu și efectiv la date. Cu toate acestea, în afara domeniului conturilor de plăți, doar o mică parte a instituțiilor financiare care sunt deținători de date indică faptul că pun la dispoziție date prin intermediul interfețelor tehnice, cum ar fi interfețele de programare a aplicațiilor. Întrucât nu există stimulente pentru dezvoltarea unor astfel de servicii inovatoare, cererea de acces la date pe piață rămâne limitată.

(8)Prin urmare, este necesar un cadru specific și armonizat de acces la date financiare la nivelul Uniunii, prin care să se satisfacă nevoile economiei digitale și să se îndepărteze barierele din calea bunei funcționări a pieței interne a datelor. Sunt necesare norme specifice prin care să se îndepărteze aceste bariere, să se promoveze un acces mai bun la datele clienților și, prin urmare, să li se ofere consumatorilor și întreprinderilor posibilitatea de a realiza câștigurile aferente unor produse și servicii financiare mai bune. Finanțele bazate pe date ar facilita tranziția sectorului de la furnizarea tradițională de produse standardizate la soluții adaptate mai bine nevoilor specifice ale clienților, inclusiv îmbunătățirea interfețelor orientate spre clienți, prin care se sporește concurența, se îmbunătățește gradul de satisfacție al utilizatorilor și se asigură servicii financiare axate pe client în calitate de utilizator final.

(9)Datele incluse în domeniul de aplicare al prezentului regulament ar trebui să demonstreze o valoare adăugată ridicată pentru inovarea financiară, precum și un risc scăzut de excludere financiară pentru consumatori. Prin urmare, în domeniul de aplicare al prezentului regulament nu ar trebui să intre nici datele referitoare la asigurarea de sănătate a unui consumator în conformitate cu Directiva 2009/138/CE a Parlamentului European și a Consiliului 10 , nici datele privind produsele de asigurare de viață ale unui consumator în conformitate cu Directiva 2009/138/CE, altele decât contractele de asigurare de viață acoperite de produse de investiții bazate pe asigurări. În domeniul de aplicare al prezentului regulament nu ar trebui să intre nici datele colectate în cadrul unei evaluări a bonității unui consumator. Partajarea de date ale clienților care intră în domeniul de aplicare al prezentului regulament ar trebui să respecte protecția datelor comerciale confidențiale și a secretelor comerciale.

(10)Partajarea de date ale clienților care intră în domeniul de aplicare al prezentului regulament ar trebui să aibă ca temei permisiunea clientului. Obligația legală a deținătorilor de date de a partaja date ale clienților ar trebui declanșată după ce clientul a formulat o cerere de partajare a datelor sale cu un utilizator de date. Această cerere poate fi depusă de un utilizator de date care acționează în numele clientului. În cazul în care este implicată prelucrarea datelor cu caracter personal, un utilizator de date ar trebui să aibă un temei juridic valabil pentru prelucrare, astfel cum se prevede în Regulamentul (UE) 2016/679. Datele clienților pot fi prelucrate în scopurile convenite în contextul serviciului prestat. Prelucrarea datelor cu caracter personal trebuie să respecte principiile protecției datelor cu caracter personal, inclusiv legalitatea, echitatea și transparența, limitarea scopului și minimizarea datelor. Un client are dreptul să își retragă permisiunea acordată unui utilizator de date. Când prelucrarea datelor este necesară pentru executarea unui contract, un client ar trebui să își poată retrage permisiunile în conformitate cu obligațiile prevăzute în contractul la care persoana vizată este parte. Când prelucrarea datelor cu caracter personal se bazează pe consimțământ, o persoană vizată are dreptul să își retragă în orice moment consimțământul, astfel cum se prevede în Regulamentul (UE) 2016/679.

(11)Posibilitatea oferită clienților de a-și partaja datele referitoare la investițiile lor curente poate încuraja inovarea în domeniul prestării de servicii de investiții de retail. Colectarea de date primare pentru efectuarea unei evaluări a pertinenței și a caracterului adecvat al unui investitor de retail este consumatoare de timp pentru client și constituie un factor de cost semnificativ pentru consultanții și distribuitorii de investiții, de pensii și de produse investiții bazate pe asigurări. Partajarea de date ale clienților referitoare la dețineri de economii și investiții în instrumente financiare, inclusiv produse de investiții bazate pe asigurări, și de date colectate în scopul efectuării unei evaluări a pertinenței și a caracterului adecvat poate îmbunătăți consultanța de investiții destinată consumatorilor și are un puternic potențial inovator, inclusiv în ceea ce privește dezvoltarea unor instrumente personalizate de consultanță de investiții și de gestionare a investițiilor care pot eficientiza consultanța de investiții de retail. Astfel de instrumente de gestionare sunt deja dezvoltate pe piață și pot fi dezvoltate cu mai multă eficacitate în contextul în care un client își poate partaja datele legate de investiții.

(12)Datele clienților legate de soldul, condițiile sau tranzacțiile legate de credite ipotecare, împrumuturi și economii le permit clienților să aibă o imagine mai bună asupra depozitelor lor și să își satisfacă mai bine nevoile de economii pe baza datelor referitoare la credite. În domeniul de aplicare al prezentului regulament ar trebui să intre și alte date ale clienților în plus față de datele referitoare la conturile de plăți definite în Directiva (UE) 2015/2366. Conturile de credit acoperite de o linie de credit care nu pot fi utilizate pentru executarea operațiunilor de plată către terți ar trebui să intre în domeniul de aplicare al prezentului regulament. Prin urmare, ar trebui să se înțeleagă că în domeniul de aplicare al prezentului regulament intră accesul la detaliile soldului, condițiilor sau tranzacțiilor legate de contractele de credit ipotecar, împrumuturi și conturi de economii, precum și tipurile de conturi care nu intră în domeniul de aplicare al Directivei (UE) 2015/2366 11 .

(13)Datele clienților care intră în domeniul de aplicare al prezentului regulament ar trebui să includă informații legate de durabilitate care ar trebui să le permită clienților să acceseze mai ușor servicii financiare care le corespund preferințelor în materie de durabilitate și nevoilor de finanțare durabilă, în concordanță strategia Comisiei pentru finanțarea tranziției către o economie durabilă 12 . Accesul la date referitoare la durabilitate care pot figura în detaliile soldului sau tranzacțiilor legate de un cont de credit ipotecar, credit, împrumut sau de economii, precum și accesul la date ale clienților care au legătură cu durabilitatea și sunt deținute de firme de investiții pot contribui la facilitarea accesului la datele necesare pentru accesarea de finanțare durabilă sau pentru realizarea de investiții în tranziția verde. În plus, datele clienților care intră în domeniul de aplicare al prezentului regulament ar trebui să includă date care fac parte dintr-o evaluare a bonității legată de întreprinderi, inclusiv de întreprinderi mici și mijlocii, și care pot oferi o imagine mai clară a obiectivelor de durabilitate ale întreprinderilor mici. Includerea datelor utilizate pentru evaluarea bonității legată de întreprinderi ar trebui să îmbunătățească accesul la finanțare și să raționalizeze cererea de împrumuturi. Astfel de date ar trebui să se limiteze la date despre întreprinderi și nu ar trebui să încalce drepturile de proprietate intelectuală.

(14)Datele clienților referitoare la furnizarea de asigurări generale sunt esențiale pentru disponibilitatea unor produse și servicii de asigurare ce răspund nevoilor clienților, cum ar fi protecția locuințelor, a vehiculelor și a altor bunuri. În același timp, colectarea unor astfel de date este adesea împovărătoare și costisitoare și poate avea asupra clienților un efect de descurajare a căutării unei asigurări optime. Pentru abordarea acestei probleme, este necesar, prin urmare, ca astfel de servicii financiare să fie incluse în domeniul de aplicare al prezentului regulament. Datele clienților referitoare la produsele de asigurare care intră în domeniul de aplicare al prezentului regulament ar trebui să includă atât informații despre produsul de asigurare, cum ar fi detalii privind acoperirea unei asigurări, cât și date specifice activelor asigurate ale consumatorilor, care sunt colectate în scopul unui test privind cerințele și nevoile. Partajarea de astfel de date ar trebui să permită dezvoltarea de instrumente personalizate pentru clienți, cum ar fi tablourile de bord ale asigurărilor, care ar putea ajuta consumatorii să își gestioneze mai bine riscurile. De asemenea, această partajare ar putea ajuta clienții să obțină produse care sunt mai bine orientate către cerințele și nevoile lor, inclusiv printr-o consultanță mai utilă. Se poate contribui astfel la o asigurare optimă a mai multor clienți și la includerea financiară a mai multor consumatori, care altfel nu sunt serviți suficient, prin oferirea unei acoperiri noi sau sporite. În plus, partajarea de date privind asigurările poate fi benefică pentru o ofertă mai eficientă de asigurări, în special în etapele de proiectare a produsului, de subscriere, de executare a contractelor, inclusiv de gestionare a daunelor și de minimizare a riscului.

(15)Partajarea de date referitoare la economiile de pensie ocupațională și personală are un puternic potențial inovator pentru consumatori. Deseori, titularii de conturi de economii de pensie nu își cunosc suficient drepturile de pensie, ca urmare a faptului că datele despre aceste drepturi sunt adesea dispersate între diferiți deținători de date. Partajarea de date referitoare la economiile de pensie ocupațională și personală ar trebui să contribuie la dezvoltarea unor instrumente de urmărire a pensiilor, care să le ofere titularilor de conturi de economii o imagine completă a drepturilor lor și a veniturilor lor din pensii, atât în cadrul unui stat membru anume, cât și la nivel transfrontalier în Uniune. Datele referitoare la drepturile de pensie sunt în special date referitoare la drepturile de pensie acumulate, la nivelurile estimate ale pensiilor, la riscurile și garanțiile membrilor și beneficiarilor schemelor de pensii ocupaționale. Accesul la date referitoare la pensiile ocupaționale nu aduce atingere legislației sociale și legislației muncii la nivel național privind organizarea sistemelor de pensii, inclusiv aderarea la scheme și dispozițiile rezultând din contractele colective de muncă.

(16)Datele care fac parte dintr-o evaluare a bonității unei întreprinderi și care intră în domeniul de aplicare al prezentului regulament ar trebui să constea în informații pe care o întreprindere le furnizează instituțiilor și creditorilor în cadrul procesului de cerere de împrumut sau în cadrul unei cereri de rating de credit. Sunt incluse cererile de împrumut ale microîntreprinderilor și ale întreprinderilor mici, mijlocii și mari. Aceste date pot include date colectate de instituții și creditori, astfel cum sunt prevăzute în anexa II la Ghidul Autorității Bancare Europene privind inițierea și monitorizarea împrumuturilor 13 . Astfel de date pot fi situațiile și previziunile financiare, informațiile referitoare la datoriile financiare și arieratele de plată, dovezile privind dreptul de proprietate asupra garanției reale, dovezile de asigurare a garanției reale și informațiile referitoare la garanții. Pot fi relevante și alte date, dacă scopul cererii de împrumut are legătură cu achiziționarea de bunuri imobiliare comerciale sau cu dezvoltarea imobiliară.

(17)Întrucât prin prezentul regulament se urmărește obligarea instituțiilor financiare să ofere acces la categorii definite de date la cererea clientului, atunci când acționează în calitate de deținători de date, și să permită partajarea de date pe baza permisiunii clientului, atunci când acționează în calitate de utilizatori de date, prezentul regulament ar trebui să conțină o listă a instituțiilor financiare care pot acționa în calitate de deținători de date, de utilizatori de date sau ambele. Prin instituții financiare ar trebui să se înțeleagă, prin urmare, entitățile care furnizează produse financiare și prestează servicii financiare sau care oferă servicii de informare relevante clienților din sectorul financiar.

(18)Practicile folosite de utilizatorii de date pentru combinarea de surse noi cu surse tradiționale de date ale clienților care intră în domeniul de aplicare al prezentului regulament trebuie să fie proporționale, pentru a se asigura că nu se generează riscuri de excludere financiară pentru consumatori. Practicile care conduc la o analiză mai complexă sau mai detaliată a anumitor segmente vulnerabile de consumatori, cum ar fi persoanele cu venituri scăzute, ar putea să mărească riscul unor condiții inechitabile sau al unor practici de stabilire de prețuri diferențiale, cum ar fi perceperea de prime diferențiale. Potențialul de excludere este mai mare în cadrul furnizării de produse și servicii ale căror prețuri sunt stabilite în funcție de profilul unui consumator, mai cu seamă în ceea ce privește acordarea de punctaje de bonitate și evaluarea bonității persoanelor fizice, precum și pentru produsele și serviciile legate de evaluarea riscurilor și stabilirea prețurilor pentru persoanele fizice în cazul asigurărilor de viață și de sănătate. Date fiind riscurile, utilizarea de date pentru aceste produse și servicii ar trebui să fie supusă unor cerințe specifice de protecție a consumatorilor și a drepturilor lor fundamentale.

(19)Perimetrul de utilizare a datelor astfel stabilit în prezentul regulament și în ghidurile aferente („ghidurile”) care urmează să fie elaborate de Autoritatea Bancară Europeană (ABE) și de Autoritatea Europeană de Asigurări și Pensii Ocupaționale (EIOPA) ar trebui să constituie un cadru proporțional pentru modul în care ar trebui utilizate datele cu caracter personal care se referă la un consumator și intră în domeniul de aplicare al prezentului regulament. Perimetrul de utilizare a datelor asigură coerența între domeniul de aplicare al prezentului regulament, din care sunt excluse datele care fac parte dintr-o evaluare a bonității unui consumator, precum și datele referitoare la asigurarea de viață și de sănătate a unui consumator, și domeniul de aplicare al ghidurilor, care conțin recomandări cu privire la modul în care tipurile de date care provin din alte domenii ale sectorului financiar și care intră în domeniul de aplicare al prezentului regulament pot fi utilizate pentru furnizarea acestor produse și servicii. În ghidurile elaborate de ABE ar trebui să se prevadă cum pot fi utilizate alte tipuri de date care intră în domeniul de aplicare al prezentului regulament pentru evaluarea punctajului de bonitate al unui consumator. În ghidurile elaborate de EIOPA ar trebui să se prevadă cum pot fi utilizate datele care intră în domeniul de aplicare al prezentului regulament în produse și servicii legate de evaluarea riscurilor și de stabilirea prețurilor în cazul produselor de asigurare de viață și de sănătate. Ghidurile ar trebui să fie elaborate într-un mod aliniat la nevoile consumatorului și proporțional cu furnizarea unor astfel de produse și servicii.

(20)ABE și EIOPA ar trebui să coopereze strâns cu Comitetul european pentru protecția datelor la elaborarea ghidurilor, iar acestea ar trebui să se bazeze pe recomandările existente referitoare la utilizarea informațiilor consumatorilor în domeniul creditelor de consum și al creditelor ipotecare, în special pe normele privind utilizarea evaluării bonității, prevăzute în Directiva 2008/48/CE a Parlamentului European și a Consiliului din 23 aprilie 2008 privind contractele de credit pentru consumatori și de abrogare a Directivei 87/102/CEE a Consiliului, pe Ghidul Autorității Bancare Europene privind inițierea și monitorizarea împrumuturilor și pe ghidul Autorității Bancare Europene privind evaluarea bonității, elaborat în temeiul Directivei 2014/17/UE, precum și pe ghidul furnizat de Comitetul european pentru protecția datelor cu privire la prelucrarea datelor cu caracter personal.

(21)Clienții trebuie să aibă un control efectiv asupra datelor lor și încredere în ceea ce privește gestionarea permisiunilor pe care le-au acordat în conformitate cu prezentul regulament. Prin urmare, deținătorii de date ar trebui să aibă obligația de a le oferi clienților tablouri de bord comune și coerente ale permisiunilor de acces la date financiare. Tabloul de bord al permisiunilor ar trebui să le ofere clienților atât capacitatea de a-și gestiona permisiunile în cunoștință de cauză și în mod imparțial, cât și o măsură puternică de control asupra modului în care sunt utilizate datele lor cu și fără caracter personal. Acest tablou nu ar trebui să fie conceput astfel încât să încurajeze sau să influențeze în mod necuvenit clientul să acorde sau să retragă permisiuni. Tabloul de bord al permisiunilor ar trebui să țină seama, când este cazul, de cerințele de accesibilitate prevăzute în Directiva (UE) 2019/882 a Parlamentului European și a Consiliului 14 . Când furnizează un tablou de bord al permisiunilor, deținătorii de date ar putea utiliza un sistem de identificare electronică notificat și un serviciu de încredere, cum ar fi portofelul european pentru identitatea digitală emis de un stat membru, astfel cum a fost introdus prin propunerea de modificare a Regulamentului (UE) nr. 910/2014 în ceea ce privește instituirea unui cadru pentru identitatea digitală europeană 15 . Deținătorii de date ar putea recurge și la prestatori de servicii de intermediere de date, în temeiul Regulamentului (UE) 2022/868 al Parlamentului European și al Consiliului 16 , pentru a furniza tablouri de bord ale permisiunilor care îndeplinesc cerințele prezentului regulament.

(22)În tabloul de bord al permisiunilor ar trebui să se afișeze permisiunile acordate de un client, inclusiv când se partajează date cu caracter personal pe bază de consimțământ sau când astfel de date sunt necesare pentru executarea unui contract. Prin tabloul de bord al permisiunilor, clientul ar trebui să fie avertizat într-un mod standard cu privire la riscul unor posibile consecințe contractuale ale retragerii unei permisiuni, dar responsabilitatea pentru gestionarea acestui risc ar trebui să o aibă în continuare clientul. Tabloul de bord al permisiunilor ar trebui să fie utilizat pentru gestionarea permisiunilor existente. Deținătorii de date ar trebui să informeze utilizatorii de date în timp real cu privire la orice retragere a unei permisiuni. Tabloul de bord al permisiunilor ar trebui să conțină o evidență a permisiunilor care au fost retrase sau care au expirat în ultimii maximum doi ani, astfel încât clientul să își poată urmări permisiunile în cunoștință de cauză și în mod imparțial. Utilizatorii de date ar trebui să informeze deținătorii de date în timp real cu privire la permisiunile nou-acordate și reinstituite de către clienți, indicând durata de valabilitate a permisiunii și oferind un scurt rezumat al scopului permisiunii. Informațiile furnizate în tabloul de bord al permisiunilor nu aduc atingere cerințelor de informare prevăzute în Regulamentul (UE) 2016/679.

(23)Pentru asigurarea proporționalității, anumite instituții financiare nu intră în domeniul de aplicare al prezentului regulament din motive legate de dimensiunea lor sau de serviciile prestate, care ar îngreuna prea mult respectarea prezentului regulament. Printre aceste instituții financiare se numără instituțiile pentru furnizarea de pensii ocupaționale care gestionează scheme de pensii al căror număr agregat de membri nu depășește 15 membri în total, precum și intermediarii de asigurări care sunt microîntreprinderi sau întreprinderi mici ori mijlocii. În plus, întreprinderilor mici sau mijlocii care acționează în calitate de deținători de date și intră în domeniul de aplicare al prezentului regulament ar trebui să li se permită să stabilească în comun o interfață de programare a aplicațiilor, pentru a se reduce costurile suportate de fiecare dintre ele. De asemenea, acestea pot recurge la furnizori externi de tehnologie care să gestioneze interfețe de programare a aplicațiilor în comun pentru instituții financiare, să nu le perceapă acestora decât o taxă fixă de utilizare scăzută și să funcționeze în mare parte pe bază de plată per solicitare.

(24)Prezentul regulament introduce pentru instituțiile financiare care acționează în calitate de deținători de date o nouă obligație legală de a partaja categorii definite de date la cererea clientului. Obligația deținătorilor de date de a partaja date la cererea clientului ar trebui să fie specificată prin punerea la dispoziție a unor standarde general recunoscute, pentru a se asigura, de asemenea, că datele partajate sunt de o calitate suficient de ridicată. Deținătorul de date ar trebui să pună la dispoziție date ale clienților în mod continuu, în scopurile și în condițiile în care clientul a acordat permisiunea unui utilizator de date. Accesul continuu ar putea consta în mai multe cereri de punere la dispoziție a datelor clienților pentru îndeplinirea serviciului convenit cu clientul. Acesta ar putea consta, de asemenea, într-un acces unic la datele clienților. Deși responsabilitatea pentru disponibilitatea și calitatea adecvată a interfeței îi revine deținătorului de date, interfața poate fi oferită nu doar de către deținătorul de date, ci și de către altă instituție financiară, un furnizor extern de IT, o asociație sectorială ori un grup de instituții financiare sau un organism public dintr-un stat membru. În cazul instituțiilor de furnizare de pensii ocupaționale, interfața poate fi integrată în tablouri de bord ale pensiilor, care conțin o gamă mai largă de informații, cât timp respectă cerințele prezentului regulament.

(25)Pentru ca interacțiunea contractuală și tehnică necesară pentru realizarea accesului la date să fie posibilă între mai multe instituții financiare, deținătorii de date și utilizatorii de date ar trebui să fie obligați să facă parte din sisteme de partajare a datelor financiare. Aceste sisteme ar trebui să elaboreze standarde de date și de interfață, cadre contractuale standardizate comune care să reglementeze accesul la seturi de date specifice și norme de guvernanță legate de partajarea de date. Pentru a se asigura funcționarea eficace a sistemelor, este necesar să se stabilească principii generale pentru guvernanța acestor sisteme, inclusiv norme privind guvernanța incluzivă și participarea deținătorilor de date, a utilizatorilor de date și a clienților (pentru asigurarea unei reprezentări echilibrate în cadrul sistemelor), cerințe de transparență și o procedură performantă de introducere a căilor de atac și de reexaminare (mai ales în ceea ce privește procesul decizional al sistemelor). Sistemele de partajare a datelor financiare trebuie să respecte normele Uniunii în domeniul protecției consumatorilor și al protecției datelor, al confidențialității și al concurenței. Participanții la astfel de sisteme sunt, de asemenea, încurajați să elaboreze coduri de conduită similare celor elaborate de operatori și de persoanele împuternicite de operatori în temeiul articolului 40 din Regulamentul (UE) 2016/679. Deși astfel de sisteme se pot baza pe inițiative existente ale pieței, cerințele prevăzute în prezentul regulament ar trebui să fie specifice sistemelor de partajare a datelor financiare sau unor părți ale acestora pe care participanții pe piață le utilizează pentru a-și îndeplini obligațiile care le revin în temeiul prezentului regulament după data de aplicare a acestor obligații.

(26)Un sistem de partajare a datelor financiare ar trebui să constea într-un contract colectiv între deținătorii de date și utilizatorii de date, astfel încât să promoveze eficiența și inovarea tehnică în cadrul partajării datelor financiare în beneficiul clienților. În concordanță cu normele Uniunii în materie de concurență, un sistem de partajare a datelor financiare ar trebui să le impună membrilor săi numai restricțiile care sunt necesare pentru atingerea obiectivelor sale și care sunt proporționale cu obiectivele respective. Acest sistem nu ar trebui să le ofere membrilor săi posibilitatea de a împiedica, a restrânge sau a denatura concurența în privința unei părți substanțiale a pieței relevante.

(27)În vederea asigurării eficacității prezentului regulament, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui delegată Comisiei în ceea ce privește precizarea modalităților și caracteristicilor unui sistem de partajare a datelor financiare, în cazul în care un astfel de sistem nu este dezvoltat de către deținătorii de date și utilizatorii de date. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare 17 . În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.

(28)Deținătorilor de date și utilizatorilor de date ar trebui să li se permită să utilizeze standarde existente pe piață când elaborează standarde comune pentru partajarea obligatorie de date.

(29)Pentru a se asigura că deținătorii de date au tot interesul să furnizeze interfețe de înaltă calitate pentru punerea datelor la dispoziția utilizatorilor de date, deținătorii de date ar trebui să poată solicita o compensație rezonabilă din partea utilizatorilor de date pentru introducerea unor interfețe de programare a aplicațiilor. Prin facilitarea accesului la date în schimbul unei compensații s-ar asigura o distribuție echitabilă a costurilor aferente între deținătorii de date și utilizatorii de date din lanțul valoric al producției de date. În cazurile în care utilizatorul de date este un IMM, proporționalitatea pentru participanții pe piață mai mici ar trebui să fie asigurată prin limitarea compensației strict la costurile suportate pentru facilitarea accesului la date. Modelul de calculare a nivelului compensației ar trebui definit în cadrul sistemelor de partajare a datelor financiare, astfel cum sunt prevăzute în prezentul regulament.

(30)Clienții ar trebui să știe ce drepturi au în cazul problemelor apărute în cursul partajării și cui trebuie să se adreseze pentru a solicita despăgubiri. Prin urmare, membrii sistemului de partajare a datelor financiare, inclusiv deținătorii de date și utilizatorii de date, ar trebui să aibă obligația de a stabili de comun acord cine răspunde contractual pentru încălcările securității datelor și cum se soluționează eventualele litigii de răspundere dintre deținătorii de date și utilizatorii de date. Respectivele cerințe ar trebui să se axeze pe stabilirea, în cadrul oricărui contract, a unor norme privind răspunderea, precum și a unor obligații și drepturi clare de stabilire a răspunderii între deținătorul de date și utilizatorul de date. Aspectele de răspundere referitoare la consumatori în calitate de persoane vizate ar trebui să se bazeze pe Regulamentul (UE) 2016/679, în special dreptul la despăgubiri și răspunderea în temeiul articolului 82 din regulamentul menționat.

(31)Pentru a se promova protecția consumatorilor, a se spori încrederea clienților și a se asigura condiții de concurență echitabile, este necesar să se stabilească norme privind persoanele eligibile să acceseze date ale clienților. Prin astfel de norme ar trebui să se garanteze că toți utilizatorii de date sunt autorizați și supravegheați de autoritățile competente. S-ar asigura astfel că datele pot fi accesate numai de instituții financiare reglementate sau de întreprinderi care dețin o autorizație specifică în calitate de prestatori de servicii de informare financiară în temeiul prezentului regulament. Sunt necesare norme de eligibilitate pentru prestatorii de servicii de informare financiară astfel încât să se garanteze stabilitatea financiară, integritatea pieței și protecția consumatorilor, întrucât acești prestatori ar urma să furnizeze produse și servicii financiare clienților din Uniune și să aibă acces la date deținute de instituții financiare, a căror integritate este esențială pentru menținerea capacității instituțiilor financiare de a continua să presteze servicii financiare într-un mod sigur și solid. Astfel de norme sunt necesare, de asemenea, pentru a se garanta supravegherea corespunzătoare a prestatorilor de servicii de informare financiară de către autoritățile competente, în conformitate cu mandatul acestora de garantare a stabilității financiare și a integrității în Uniune, ceea ce le-ar permite acestora să presteze oriunde în Uniune serviciile pentru care sunt autorizați.

(32)Utilizatorii de date care intră în domeniul de aplicare al prezentului regulament ar trebui să fie supuși cerințelor din Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului 18 și, prin urmare, să fie obligați să dispună de standarde solide de reziliență cibernetică pentru a-și desfășura activitățile. Acești utilizatori ar trebui să dispună inclusiv de capacități cuprinzătoare care să permită o gestionare sănătoasă și eficace a riscurilor TIC, precum și de mecanisme și politici specifice pentru tratarea tuturor incidentelor legate de TIC și pentru raportarea incidentelor majore legate de TIC. Utilizatorii de date care sunt autorizați și supravegheați în calitate de prestatori de servicii de informare financiară în temeiul prezentului regulament ar trebui să aibă aceeași abordare și să respecte aceleași norme bazate pe principii cu privire la riscurile TIC, ținând cont de dimensiunea și profilul lor general de risc și de natura, amploarea și complexitatea serviciilor, activităților și operațiunilor lor. Prin urmare, prestatorii de servicii de informare financiară ar trebui să fie incluși în domeniul de aplicare al Regulamentului (UE) 2022/2554.

(33)Pentru a permite o supraveghere eficace și pentru a elimina posibilitatea de sustragere de la supraveghere sau de eludare a acesteia, prestatorii de servicii de informare financiară trebuie să fie constituiți legal în Uniune sau, în cazul în care sunt constituiți într-o țară terță, să desemneze un reprezentant legal în Uniune. O supraveghere eficace din partea autorităților competente este necesară pentru asigurarea respectării cerințelor prevăzute în prezentul regulament, astfel încât să se garanteze integritatea și stabilitatea sistemului financiar și să se protejeze consumatorii. Cerința de constituire legală în Uniune a prestatorilor de servicii de informare financiară sau desemnarea unui reprezentant legal în Uniune nu echivalează cu localizarea datelor, deoarece prezentul regulament nu implică nicio cerință suplimentară privind prelucrarea datelor, cum ar fi cerința ca stocarea să fie efectuată în Uniune.

(34)Un prestator de servicii de informare financiară ar trebui să fie autorizat în jurisdicția statului membru în care se află sediul său principal, și anume acolo unde prestatorul de servicii de informare financiară își are sediul central sau sediul social în care sunt exercitate funcțiile principale și controlul operațional. În privința prestatorilor de servicii de informare financiară care nu au un sediu în Uniune, dar care necesită acces la date în Uniune și care, prin urmare, intră în domeniul de aplicare al prezentului regulament, statul membru de jurisdicție ar trebui să fie statul membru în care respectivii prestatori de servicii de informare financiară și-au desemnat reprezentantul legal, având în vedere funcția de reprezentant legal în temeiul prezentului regulament.

(35)Pentru a facilita transparența în ceea ce privește accesul la date și prestatorii de servicii de informare financiară, ABE ar trebui să creeze un registru cu prestatorii de servicii de informare financiară autorizați în temeiul prezentului regulament, precum și cu sistemele de partajare a datelor financiare convenite între deținătorii de date și utilizatorii de date.

(36)Autorităților competente ar trebui să li se confere competențele necesare pentru a supraveghea modul în care este respectată obligația deținătorilor de date de a oferi acces la datele clienților, stabilită prin prezentul regulament, precum și pentru a supraveghea prestatorii de servicii de informare financiară. Accesul la evidențele relevante ale traficului de date pe care le deține un operator de telecomunicații, precum și capacitatea de a confisca documentele relevante la fața locului sunt competențe importante și necesare pentru detectarea și dovedirea existenței unor încălcări în temeiul prezentului regulament. Prin urmare, autoritățile competente ar trebui să aibă competența de a solicita astfel de evidențe, când acestea sunt relevante pentru o investigație, în măsura în care dreptul intern permite acest lucru. Autoritățile competente ar trebui, de asemenea, să coopereze cu autoritățile de supraveghere instituite în temeiul Regulamentului (UE) 2016/679, când își îndeplinesc sarcinile care le revin și când își exercită competențele în conformitate cu regulamentul respectiv. 

(37)Întrucât instituțiile financiare și prestatorii de servicii de informare financiară pot fi stabiliți în state membre diferite și pot fi supravegheați de autorități competente diferite, aplicarea prezentului regulament ar trebui să fie facilitată printr-o cooperare strânsă între autoritățile competente relevante, prin intermediul schimbului reciproc de informații și prin furnizarea de asistență în contextul activităților de supraveghere relevante.

(38)Pentru a asigura condiții de concurență echitabile în domeniul competențelor de sancționare, statele membre ar trebui să aibă obligația de a prevedea sancțiuni administrative eficace, proporționale și disuasive, inclusiv penalități cu titlu cominatoriu, și măsuri administrative pentru încălcarea dispozițiilor prezentului regulament. Respectivele sancțiuni administrative, penalități cu titlu cominatoriu și măsuri administrative ar trebui să îndeplinească anumite cerințe minime, cum ar fi cerința privind competențele minime care ar trebui conferite autorităților competente pentru a fi în măsură să le impună, criteriile pe care autoritățile competente ar trebui să le ia în considerare când le impun și obligația de a publica și de a raporta. Statele membre ar trebui să stabilească norme specifice și mecanisme eficace privind aplicarea penalităților cu titlu cominatoriu.

(39)Pe lângă sancțiunile administrative și măsurile administrative, autoritățile competente ar trebui să fie împuternicite să impună penalități cu titlu cominatoriu prestatorilor de servicii de informare financiară și membrilor organului de conducere al respectivilor prestatori care se fac responsabili de o încălcare, până când i se pune capăt acesteia, sau care sunt obligați să respecte un ordin emis de o autoritate competentă responsabilă cu investigația, până când ordinul în cauză este aplicat. Întrucât penalitățile cu titlu cominatoriu au scopul de a obliga persoanele fizice sau juridice să respecte un ordin prin care autoritatea competentă le impune să întreprindă o acțiune, de exemplu să accepte să fie intervievate sau să furnizeze informații, sau să pună capăt unei încălcări, aplicarea de penalități cu titlu cominatoriu nu ar trebui să împiedice autoritățile competente să impună sancțiuni administrative ulterioare pentru aceeași încălcare. Dacă statele membre nu prevăd altfel, penalitățile cu titlu cominatoriu ar trebui calculate pe zi.

(40)În numeroase state membre există forme de procedură accelerată de executare sau acorduri de soluționare amiabilă, indiferent de cum se numesc în dreptul intern, iar acestea sunt folosite ca alternativă la procedurile formale care conduc la impunerea de sancțiuni. O procedură accelerată de executare începe, de obicei, după încheierea unei investigații și după luarea deciziei de inițiere a procedurilor care conduc la impunerea de sancțiuni. O procedură accelerată de executare se caracterizează prin faptul că este mai scurtă decât cea formală, ca urmare a simplificării unor etape procedurale. În cadrul unui acord de soluționare amiabilă, părțile investigate de către o autoritate competentă convin, de obicei, să pună capăt anticipat investigației respective, în majoritatea cazurilor prin asumarea răspunderii pentru fapte prejudiciabile.

(41)Deși nu pare indicat să se încerce armonizarea la nivelul Uniunii a unor astfel de proceduri accelerate de executare, care au fost introduse de multe state membre, dat fiind caracterul variat al abordărilor juridice adoptate la nivel național, ar trebui să se recunoască faptul că astfel de metode permit autorităților competente care le pot aplica să trateze cazurile de încălcare într-un mod mai rapid, mai puțin costisitor și, în general, eficient în anumite circumstanțe și, prin urmare, folosirea acestor metode ar trebui încurajată. Cu toate acestea, statele membre nu ar trebui să fie obligate să introducă astfel de metode de executare în cadrul lor juridic și nici autoritățile competente nu ar trebui să fie obligate să le utilizeze, dacă nu le consideră necesare. În cazul în care aleg să împuternicească autoritățile competente să utilizeze astfel de metode de executare, statele membre ar trebui să notifice Comisiei decizia în acest sens și măsurile relevante care reglementează astfel de competențe.

(42)Autoritățile naționale competente ar trebui să fie împuternicite de statele membre să impună prestatorilor de servicii de informare financiară și altor persoane fizice sau juridice astfel de sancțiuni administrative și măsuri administrative, atunci când acestea sunt relevante pentru remedierea situației în caz de încălcare. Gama de sancțiuni și măsuri ar trebui să fie suficient de largă pentru a permite statelor membre și autorităților competente să țină seama de diferențele de dimensiune, caracteristici și natură a activității dintre prestatorii de servicii de informare financiară.

(43)Publicarea unei sancțiuni sau măsuri administrative pentru încălcarea dispozițiilor prezentului regulament poate avea un puternic efect de descurajare a repetării unei astfel de încălcări. Prin publicare sunt informate și alte entități cu privire la riscurile asociate cu prestatorul de servicii de informare financiară sancționat, înainte de a intra într-o relație de afaceri, iar autoritățile competente din alte state membre sunt asistate în ceea ce privește riscurile asociate cu un prestator de servicii de informare financiară, când acesta desfășoară activități în statele lor membre la nivel transfrontalier. Din motivele expuse, ar trebui să se permită publicarea deciziilor privind sancțiunile administrative și măsurile administrative, atât timp cât acestea se referă la persoane juridice. Când hotărăsc dacă să publice sau nu o sancțiune administrativă sau o măsură administrativă, autoritățile competente ar trebui să țină seama de gravitatea încălcării și de efectul disuasiv pe care este probabil să îl producă publicarea. Orice publicare de acest fel care se referă la persoane fizice poate să aducă însă atingere în mod disproporționat drepturilor acestora care decurg din Carta drepturilor fundamentale și din legislația aplicabilă a Uniunii în materie de protecție a datelor. Publicarea ar trebui să aibă loc în mod anonimizat, cu excepția cazului în care autoritatea competentă consideră că este necesar să publice decizii care conțin date cu caracter personal pentru asigurarea eficacității punerii în aplicare a prezentului regulament, inclusiv în cazul declarațiilor publice sau al interdicțiilor temporare. În astfel de cazuri, autoritatea competentă ar trebui să își justifice decizia.

(44)Schimbul de informații și acordarea de asistență între autoritățile competente ale statelor membre sunt esențiale în sensul prezentului regulament. În consecință, cooperarea dintre autorități nu ar trebui să fie supusă unor condiții restrictive nerezonabile.

(45)Accesul transfrontalier la date pentru prestatorii de servicii de informare ar trebui să fie permis în temeiul libertății de a presta servicii sau al libertății de stabilire. Un prestator de servicii de informare financiară care dorește să aibă acces la date deținute de un deținător de date din alt stat membru ar trebui să își notifice intenția autorității sale competente, furnizând informații cu privire la tipul de date pe care dorește să le acceseze, la sistemul de partajare a datelor financiare la care este membru și la statele membre în care intenționează să acceseze datele.

(46)Obiectivele prezentului regulament, și anume asigurarea unui control efectiv al clientului asupra datelor și abordarea lipsei de drepturi de acces la datele clienților deținute de deținătorii de date, nu pot fi realizate în mod satisfăcător de către statele membre, având în vedere caracterul lor transfrontalier, ci pot fi realizate mai bine la nivelul Uniunii, prin crearea unui cadru prin care ar putea fi dezvoltată o piață transfrontalieră mai mare cu acces la date. Uniunea poate să adopte măsuri în conformitate cu principiul subsidiarității definit la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este prevăzut la articolul respectiv, prezentul regulament nu depășește ceea ce este necesar pentru realizarea obiectivelor respective.

(47)Prin propunerea de lege privind datele [Regulamentul (UE) XX] se instituie un cadru orizontal pentru accesul la date și utilizarea acestora în întreaga Uniune. Prezentul regulament completează și detaliază normele prevăzute în propunerea de lege privind datele [Regulamentul (UE) XX]. Prin urmare, normele respective se aplică și partajării de date care face obiectul prezentului regulament. Sunt incluse dispoziții referitoare la condițiile în care deținătorii de date pun date la dispoziția destinatarilor datelor, la compensație, la organismele de soluționare a litigiilor pentru facilitarea acordurilor dintre părțile care partajează date, la măsurile tehnice de protecție, la accesul internațional la date și la transferul internațional de date, precum și la utilizarea sau divulgarea autorizată a datelor.

(48)Când datele prelucrate sunt date cu caracter personal, se aplică Regulamentul (UE) 2016/679. Acesta prevede drepturile unei persoane vizate, inclusiv dreptul de acces și dreptul de portare a datelor cu caracter personal. Prezentul regulament nu aduce atingere drepturilor pe care o persoană vizate le are în temeiul Regulamentului (UE) 2016/679, cum ar fi dreptul de acces și dreptul la portabilitatea datelor. Prezentul regulament creează o obligație legală de partajare de date cu și fără caracter personal ale clienților la cererea acestora și prevede obligativitatea fezabilității tehnice a accesului și a partajării pentru toate tipurile de date care intră în domeniul său de aplicare. Acordarea permisiunii de către un client nu aduce atingere obligațiilor pe care utilizatorii de date le au în temeiul articolului 6 din Regulamentul (UE) 2016/679. Datele cu caracter personal care sunt puse la dispoziție și partajate cu un utilizator de date ar trebui prelucrate pentru servicii prestate de un utilizator de date numai când există un temei juridic valabil prevăzut la articolul 6 alineatul (1) din Regulamentul (UE) 2016/679 și, după caz, când sunt îndeplinite cerințele prevăzute la articolul 9 din regulamentul respectiv cu privire la prelucrarea categoriilor speciale de date.

(49)Prezentul regulament se bazează pe dispozițiile referitoare la „sistemul bancar deschis” din Directiva (UE) 2015/2366, pe care le completează, și sunt în deplină concordanță cu Regulamentul (UE) …/202… al Parlamentului European și al Consiliului privind serviciile de plată și de modificare a Regulamentului (UE) nr. 1093/2010 19 și cu Directiva (UE) …/202… a Parlamentului European și a Consiliului privind serviciile de plată și serviciile de monedă electronică, de modificare a Directivelor 2013/36/UE și 98/26/CE și de abrogare a Directivelor (UE) 2015/2355 și 2009/110/CE 20 . Inițiativa completează dispozițiile deja existente referitoare la „sistemul bancar deschis” din Directiva (UE) 2015/2366, care reglementează accesul la datele privind conturile de plăți deținute de prestatorii de servicii de plată ce oferă servicii de administrare cont. Aceasta se bazează pe învățămintele desprinse în domeniul „sistemului bancar deschis”, astfel cum au fost identificate cu ocazia revizuirii Directivei (UE) 2015/2366 21 . Prezentul regulament asigură coerența între accesul la datele financiare și sistemul bancar deschis în cazul în care sunt necesare măsuri suplimentare, inclusiv în ceea ce privește tablourile de bord ale permisiunilor, obligațiile legale de acordare a accesului direct la datele clienților și cerința ca deținătorii de date să asigure interfețe.

(50)Prezentul regulament nu aduce atingere dispozițiilor referitoare la accesul la date și la partajarea de date din legislația Uniunii în materie de servicii financiare, și anume următoarele: (i) dispozițiile din Regulamentul (UE) nr. 600/2014 al Parlamentului European și al Consiliului 22 referitoare la accesul la valori de referință și regimul de acces pentru instrumente financiare derivate tranzacționate la bursă între locurile de tranzacționare și contrapărțile centrale; (ii) normele din Directiva 2014/17/UE a Parlamentului European și a Consiliului 23 referitoare la accesul creditorilor la baza de date; (iii) normele din Regulamentul (UE) 2017/2402 al Parlamentului European și al Consiliului 24 referitoare la accesul la registrele centrale de securitizări; (iv) normele din Directiva 2009/103/CE a Parlamentului European și a Consiliului 25 referitoare la dreptul de a solicita asigurătorului o atestare a istoricului cererilor de despăgubire și la accesul la depozite centrale pentru datele esențiale necesare pentru soluționarea cererilor de despăgubire; (v) dreptul de a accesa și de a transfera toate datele cu caracter personal necesare către un nou furnizor de produse paneuropene de pensii personale în temeiul Regulamentului (UE) 2019/1238 al Parlamentului European și al Consiliului 26 și (vi) dispozițiile din Directiva (UE) 2018/843 a Parlamentului European și a Consiliului 27 referitoare la externalizare și siguranță. Prezentul regulament nu aduce atingere nici aplicării normelor UE sau naționale în materie de concurență conforme cu Tratatul privind funcționarea Uniunii Europene și cu alte acte secundare ale Uniunii. Prezentul regulament nu aduce atingere nici situațiilor în care se accesează, partajează și utilizează date strict contractual, fără a se invoca obligațiile de acces la date prevăzute în prezentul regulament.

(51)Întrucât partajarea de date referitoare la conturile de plăți este reglementată de un regim diferit, prevăzut în Directiva (UE) 2015/2366, se consideră indicat să se stabilească, în prezentul regulament, o clauză de revizuire, astfel încât Comisia să examineze dacă introducerea normelor din prezentul regulament afectează modul în care accesează date prestatorii de servicii de informare cu privire la conturi și dacă ar fi indicat să se raționalizeze normele aplicabile prestatorilor de servicii de informare cu privire la conturi în ceea ce privește partajarea de date.

(52)Având în vedere că ABE, EIOPA și ESMA ar trebui să fie mandatate să facă uz de competențele lor în ceea ce privește prestatorii de servicii de informare financiară, este necesar să se asigure faptul că aceste autorități își pot exercita toate competențele și sarcinile pentru a-și îndeplini obiectivele de protejare a interesului public contribuind la stabilitatea și eficacitatea pe termen scurt, mediu și lung a sistemului financiar în beneficiul economiei Uniunii, al cetățenilor și al întreprinderilor sale și să se asigure că prestatorii de servicii de informare financiară intră sub incidența Regulamentelor (UE) nr. 1093/2010 28 , (UE) nr. 1094/2010 29 și (UE) nr. 1095/2010 30 ale Parlamentului European și ale Consiliului. Așadar, este necesar ca regulamentele respective să fie modificate în consecință.

(53)Data aplicării prezentului regulament ar trebui amânată cu XX [de] luni pentru a se permite adoptarea standardelor tehnice de reglementare și a actelor delegate care sunt necesare pentru detalierea anumitor elemente ale prezentului regulament.

(54)Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (2) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului 31 și a emis un aviz la data de [……….],

ADOPTĂ PREZENTUL REGULAMENT:

TITLUL I
Obiect, domeniu de aplicare și definiții

Articolul 1
Obiect

Prezentul regulament stabilește norme privind accesarea, partajarea și utilizarea anumitor categorii de date ale clienților în cadrul serviciilor financiare.

Prezentul regulament stabilește, de asemenea, norme privind autorizarea și funcționarea prestatorilor de servicii de informare financiară.

Articolul 2
Domeniu de aplicare

(1)Prezentul regulament se aplică următoarelor categorii de date ale clienților referitoare la:

(a)contracte de credit ipotecar, împrumuturi și conturi, cu excepția conturilor de plăți, astfel cum sunt definite în Directiva (UE) 2015/2366 privind serviciile de plată, inclusiv date referitoare la sold, condiții și tranzacții;

(b)economii, investiții în instrumente financiare, produse de investiții bazate pe asigurări, criptoactive, bunuri imobiliare și alte active financiare conexe, precum și beneficiile economice derivate din astfel de active; inclusiv datele colectate în scopul efectuării unei evaluări a pertinenței și a caracterului adecvat în conformitate cu articolul 25 din Directiva 2014/65/UE a Parlamentului European și a Consiliului 32 ;

(c)drepturi de pensie din cadrul schemelor de pensii ocupaționale, în conformitate cu Directiva 2009/138/CE și cu Directiva (UE) 2016/2341 a Parlamentului European și a Consiliului 33 ;

(d)drepturi de pensie din furnizarea de produse paneuropene de pensii personale, în conformitate cu Regulamentul (UE) 2019/1238;

(e)produse de asigurare generală în conformitate cu Directiva 2009/138/CE, cu excepția produselor de asigurare de sănătate; inclusiv datele colectate în scopul unei evaluări a cerințelor și nevoilor în conformitate cu articolul 20 din Directiva (UE) 2016/97 a Parlamentului European și a Consiliului 34 , precum și datele colectate în scopul unei evaluări a pertinenței și a caracterului adecvat în conformitate cu articolul 30 din Directiva (UE) 2016/97;

(f)date care fac parte dintr-o evaluare a bonității unei întreprinderi și care sunt colectate în cadrul unui proces de cerere de împrumut sau al unei cereri de rating de credit.

(2)Prezentul regulament se aplică următoarelor entități, atunci când acestea acționează în calitate de deținători de date sau de utilizatori de date:

(a)instituțiilor de credit;

(b)instituțiilor de plată, inclusiv prestatorilor de servicii de informare cu privire la conturi și instituțiilor de plată exceptate în temeiul Directivei (UE) 2015/2366;

(c)instituțiilor emitente de monedă electronică, inclusiv instituțiilor emitente de monedă electronică exceptate în temeiul Directivei 2009/110/CE a Parlamentului European și a Consiliului 35 ;

(d)firmelor de investiții;

(e)furnizorilor de servicii de criptoactive;

(f)emitenților de tokenuri raportate la active;

(g)administratorilor de fonduri de investiții alternative;

(h)societăților de administrare a organismelor de plasament colectiv în valori mobiliare;

(i)întreprinderilor de asigurare și de reasigurare;

(j)intermediarilor de asigurări și intermediari de asigurări auxiliare;

(k)instituțiilor pentru furnizarea de pensii ocupaționale;

(l)agențiilor de rating de credit;

(m)furnizorilor de servicii de finanțare participativă;

(n)furnizorilor de PEPP;

(o)prestatorilor de servicii de informare financiară.

(3)Prezentul regulament nu se aplică entităților menționate la articolul 2 alineatul (3) literele (a)-(e) din Regulamentul (UE) 2022/2554.

(4)Prezentul regulament nu aduce atingere aplicării altor acte juridice ale Uniunii privind accesarea și partajarea de date ale clienților menționate la alineatul (1), cu excepția cazurilor prevăzute expres în prezentul regulament.

Articolul 3
Definiții

În sensul prezentului regulament, se aplică următoarele definiții:

1.„consumator” înseamnă orice persoană fizică care acționează în scopuri altele decât activitățile sale comerciale, economice sau profesionale;

2.„client” înseamnă o persoană fizică sau juridică care utilizează produse și servicii financiare;

3.„date ale clienților” înseamnă date cu și fără caracter personal care sunt colectate, stocate și prelucrate în alt mod de către o instituție financiară în cadrul desfășurării normale a activității acesteia cu clienții și care includ atât date furnizate de un client, cât și date generate ca urmare a interacțiunii clientului cu instituția financiară;

4.„autoritate competentă” înseamnă autoritatea desemnată de fiecare stat membru în conformitate cu articolul 17 și, pentru instituțiile financiare, oricare dintre autoritățile competente enumerate la articolul 46 din Regulamentul (UE) 2022/2554;

5.„deținător de date” înseamnă o instituție financiară, alta decât un prestator de servicii de informare cu privire la conturi, care colectează, stochează și prelucrează în alt mod datele enumerate la articolul 2 alineatul (1);

6.„utilizator de date” înseamnă oricare dintre entitățile enumerate la articolul 2 alineatul (2) care, cu permisiunea unui client, are acces legal la datele clienților enumerate la articolul 2 alineatul (1);

7.„prestator de servicii de informare financiară” înseamnă un utilizator de date care este autorizat în temeiul articolului 14 să acceseze datele clienților enumerate la articolul 2 alineatul (1) pentru prestarea de servicii de informare financiară;

8.„instituție financiară” înseamnă una dintre entitățile enumerate la articolul 2 alineatul (2) literele (a)-(n), care este deținător de date, utilizator de date sau ambele în sensul prezentului regulament;

9.„cont de investiții” înseamnă orice registru administrat de o firmă de investiții, o instituție de credit sau un broker de asigurări cu privire la deținerile curente în instrumente financiare sau produse de investiții bazate pe asigurări ale clientului lor, inclusiv tranzacțiile anterioare și alte puncte de date referitoare la evenimente din ciclul de viață al instrumentului respectiv;

10.„date fără caracter personal” înseamnă date, altele decât datele cu caracter personal, astfel cum sunt definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;

11.„date cu caracter personal” înseamnă datele cu caracter personal, astfel cum sunt definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;

12.„instituție de credit” înseamnă o instituție de credit, astfel cum este definită la articolul 4 alineatul (1) punctul 1 din Regulamentul (UE) nr. 575/2013 al Parlamentului European și al Consiliului 36 ;

13.„firmă de investiții” înseamnă o firmă de investiții astfel cum este definită la articolul 4 alineatul (1) punctul 1 din Directiva 2014/65/UE;

14.„furnizor de servicii de criptoactive” înseamnă un furnizor de servicii de criptoactive, astfel cum este definit la articolul 3 alineatul (1) punctul 15 din Regulamentul (UE) 2023/1114 al Parlamentului European și al Consiliului 37 ;

15.„emitent de tokenuri raportate la active” înseamnă un emitent de tokenuri raportate la active autorizat în temeiul articolului 21 din Regulamentul (UE) 2023/1114;

16.„instituție de plată” înseamnă o instituție de plată, astfel cum este definită la articolul 4 punctul 4 din Directiva (UE) 2015/2366;

17.„prestator de servicii de informare cu privire la conturi” înseamnă un prestator de servicii de informare cu privire la conturi, astfel cum este menționat la articolul 33 alineatul (1) din Directiva (UE) 2015/2366;

18.„instituție emitentă de monedă electronică” înseamnă o instituție emitentă de monedă electronică, astfel cum este definită la articolul 2 punctul 1 din Directiva 2009/110/CE;

19.„instituție emitentă de monedă electronică exceptată în temeiul Directivei 2009/110/CE” înseamnă o instituție emitentă de monedă electronică care beneficiază de o exceptare, astfel cum se menționează la articolul 9 alineatul (1) din Directiva 2009/110/CE;

20.„administrator de fonduri de investiții alternative” înseamnă un administrator de fonduri de investiții alternative, astfel cum este definit la articolul 4 alineatul (1) litera (b) din Directiva 2011/61/UE a Parlamentului European și a Consiliului 38 ;

21.„societate de administrare a organismelor de plasament colectiv în valori mobiliare” înseamnă o societate de administrare, astfel cum este definită la articolul 2 alineatul (1) litera (b) din Directiva 2009/65/CE a Parlamentului European și a Consiliului 39 ;

22.„întreprindere de asigurare” înseamnă o întreprindere de asigurare, astfel cum este definită la articolul 13 punctul 1 din Directiva 2009/138/CE;

23.„întreprindere de reasigurare” înseamnă o întreprindere de reasigurare, astfel cum este definită la articolul 13 punctul 4 din Directiva 2009/138/CE;

24.„intermediar de asigurări” înseamnă un intermediar de asigurări, astfel cum este definit la articolul 2 alineatul (1) punctul 3 din Directiva (UE) 2016/97 a Parlamentului European și a Consiliului 40 ;

25.„intermediar de asigurări auxiliare” înseamnă un intermediar de asigurări auxiliare, astfel cum este definit la articolul 2 alineatul (1) punctul 4 din Directiva (UE) 2016/97;

26.„instituție pentru furnizarea de pensii ocupaționale” înseamnă o instituție pentru furnizarea de pensii ocupaționale, astfel cum este definită la articolul 6 punctul 1 din Directiva (UE) 2016/2341;

27.„agenție de rating de credit” înseamnă o agenție de rating de credit, astfel cum este definită la articolul 3 alineatul (1) litera (b) din Regulamentul (CE) nr. 1060/2009 al Parlamentului European și al Consiliului 41 ;

28.„furnizor de PEPP” înseamnă un furnizor de PEPP, astfel cum este definit la articolul 2 punctul 15 din Regulamentul (UE) 2019/1238 al Parlamentului European și al Consiliului;

29.„reprezentant legal” înseamnă o persoană fizică al cărei domiciliu este în Uniune sau o persoană juridică al cărei sediu social este în Uniune și care, fiind numită în mod expres de către un prestator de servicii de informare financiară stabilit într-o țară terță, acționează în numele respectivului prestator de servicii de informare financiară pe lângă autorități, clienți, organisme și contrapărți din Uniune ale prestatorului de servicii de informare financiară în ceea ce privește obligațiile pe care prestatorul de servicii de informare financiară le are în temeiul prezentului regulament.

TITLUL II
Accesul la date

Articolul 4
Obligația de a pune datele la dispoziția clientului

La cererea unui client, transmisă prin mijloace electronice, deținătorul de date pune datele enumerate la articolul 2 alineatul (1) la dispoziția clientului, fără întârzieri nejustificate, fără taxe, în mod continuu și în timp real.

Articolul 5
Obligațiile unui deținător de date de a pune datele clienților la dispoziția unui utilizator de date

(1)La cererea unui client, transmisă prin mijloace electronice, deținătorul de date pune datele enumerate la articolul 2 alineatul (1) la dispoziția unui utilizator de date în scopurile în care clientul i-a acordat permisiunea utilizatorului de date. Datele clienților se pun la dispoziția utilizatorului de date fără întârzieri nejustificate, în mod continuu și în timp real.

(2)Un deținător de date îi poate solicita unui utilizator de date compensații pentru punerea la dispoziție a datelor clienților în temeiul alineatului (1) numai dacă datele clienților sunt puse la dispoziția utilizatorului de date în conformitate cu normele și modalitățile unui sistem de partajare a datelor financiare, astfel cum sunt prevăzute la articolele 9 și 10, sau dacă datele clienților sunt puse la dispoziție în temeiul articolului 11.

(3)Când pune la dispoziție date în temeiul alineatului (1), deținătorul de date:

(a)pune datele clienților la dispoziția utilizatorului de date într-un format bazat pe standarde general recunoscute și la o calitate cel puțin egală cu cea valabilă pentru deținătorul de date;

(b)comunică în mod securizat cu utilizatorul de date, asigurând un nivel corespunzător de securitate pentru prelucrarea și transmiterea datelor clienților;

(c)le solicită utilizatorilor de date să demonstreze că au obținut permisiunea clientului de a accesa date ale acestuia deținute de deținătorul de date;

(d)îi oferă clientului un tablou de bord al permisiunilor pentru monitorizarea și gestionarea permisiunilor în conformitate cu articolul 8;

(e)respectă confidențialitatea secretelor comerciale și drepturile de proprietate intelectuală, când datele clienților sunt accesate în conformitate cu articolul 5 alineatul (1).

Articolul 6
Obligațiile unui utilizator de date care primește date ale clienților

(1)Un utilizator de date este eligibil să acceseze date ale clienților în temeiul articolului 5 alineatul (1) numai dacă respectivul utilizator de date a fost autorizat în prealabil de către o autoritate competentă în calitate de instituție financiară sau dacă este prestator de servicii de informare financiară în temeiul articolului 14.

(2)Un utilizator de date accesează datele clienților puse la dispoziție în temeiul articolului 5 alineatul (1) numai în scopurile și în condițiile în care clientul și-a acordat permisiunea. Un utilizator de date șterge datele clienților când acestea nu mai sunt necesare în scopurile în care clientul a acordat permisiunea.

(3)Un client poate retrage permisiunea pe care a acordat-o unui utilizator de date. Când prelucrarea este necesară pentru executarea unui contract, un client poate retrage permisiunea pe care a acordat-o pentru punerea datelor sale la dispoziția unui utilizator de date, în conformitate cu obligațiile contractuale pe care le are.

(4)Pentru a asigura gestionarea eficace a datelor clienților, un utilizator de date:

(a)nu prelucrează date ale clienților în alte scopuri decât pentru executarea serviciului solicitat în mod explicit de client;

(b)respectă confidențialitatea secretelor comerciale și drepturile de proprietate intelectuală, când se accesează date ale clienților în conformitate cu articolul 5 alineatul (1);

(c)instituie măsuri tehnice, juridice și organizatorice adecvate pentru a împiedica transferul de date fără caracter personal ale clienților sau accesul la acestea în cazul în care transferul sau accesul respectiv este ilegal în temeiul dreptului Uniunii sau al dreptului intern al unui stat membru;

(d)ia măsurile necesare pentru a asigura un nivel corespunzător de securitate pentru stocarea, prelucrarea și transmiterea de date fără caracter personal ale clienților;

(e)nu prelucrează date ale clienților în scopuri publicitare, cu excepția marketingului direct în conformitate cu dreptul Uniunii și cu dreptul intern;

(f)în cazul în care utilizatorul de date face parte dintr-un grup de întreprinderi, datele clienților enumerate la articolul 2 alineatul (1) se accesează și prelucrează numai de către entitatea din grup care acționează în calitate de utilizator de date.

TITLUL III
Utilizarea responsabilă a datelor și tablourile de bord ale permisiunilor

Articolul 7
Perimetrul de utilizare a datelor

(1)Prelucrarea datelor clienților menționate la articolul 2 alineatul (1) din prezentul regulament se limitează, când datele respective sunt date cu caracter personal, la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.

(2)În conformitate cu articolul 16 din Regulamentul (UE) nr. 1093/2010, Autoritatea Bancară Europeană (ABE) elaborează ghiduri privind punerea în aplicare a alineatului (1) din prezentul articol pentru produsele și serviciile legate de punctajul de credit al consumatorului.

(3)În conformitate cu articolul 16 din Regulamentul (UE) nr. 1094/2010, Autoritatea Europeană de Asigurări și Pensii Ocupaționale (EIOPA) elaborează ghiduri privind punerea în aplicare a alineatului (1) din prezentul articol pentru produsele și serviciile legate de evaluarea riscurilor unui consumator și de stabilirea prețurilor pentru acesta în cazul produselor de asigurare de viață și de sănătate.

(4)Când elaborează ghidurile menționate la alineatele (2) și (3) din prezentul articol, EIOPA și ABE cooperează strâns cu Comitetul european pentru protecția datelor instituit prin Regulamentul (UE) 2016/679.

Articolul 8
Tablourile de bord ale permisiunilor de acces la date financiare

(1)Deținătorul de date îi oferă clientului un tablou de bord al permisiunilor pentru monitorizarea și gestionarea permisiunilor pe care clientul le-a acordat utilizatorilor de date.

(2)Tabloul de bord al permisiunilor:

(a)îi oferă clientului o imagine de ansamblu a fiecărei permisiuni în curs acordate utilizatorilor de date, care conține:

(i)numele utilizatorului de date căruia i-a fost acordat accesul;

(ii)contul de client, produsul financiar sau serviciul financiar pentru care s-a acordat accesul;

(iii)scopul permisiunii;

(iv)categoriile de date partajate;

(v)durata de valabilitate a permisiunii;

(b)îi permite clientului să retragă o permisiune acordată unui utilizator de date;

(c)îi permite clientului să reinstituie orice permisiune retrasă;

(d)conține o evidență a autorizațiilor care au fost retrase sau care au expirat în ultimii doi ani.

(3)Deținătorul de date se asigură că tabloul de bord al permisiunilor este ușor de găsit în interfața sa cu utilizatorul și că informațiile afișate pe tabloul de bord sunt clare, exacte și ușor de înțeles de către client.

(4)Deținătorul de date și utilizatorul de date pentru care un client a acordat permisiunea cooperează pentru a pune informațiile la dispoziția clientului prin intermediul tabloului de bord în timp real. Pentru îndeplinirea obligațiilor prevăzute la alineatul (2) literele (a), (b), (c) și (d) din prezentul articol:

(a)deținătorul de date informează utilizatorul de date cu privire la modificările pe care clientul le aduce unei permisiuni referitoare la respectivul utilizator de date prin intermediul tabloului de bord;

(b)utilizatorul de date îl informează pe deținătorul de date cu privire la o nouă permisiune acordată de un client în legătură cu date ale acestuia deținute de respectivul deținător de date, inclusiv cu privire la:

(i)scopul permisiunii acordate de client;

(ii)durata de valabilitate a permisiunii;

(iii)categoriile de date vizate.

TITLUL IV
Sistemele de partajare a datelor financiare

Articolul 9
Apartenența la un sistem de partajare a datelor financiare

(1)În termen de 18 luni de la intrarea în vigoare a prezentului regulament, deținătorii de date și utilizatorii de date devin membri ai unui sistem de partajare a datelor financiare care reglementează accesul la date ale clienților în conformitate cu articolul 10.

(2)Deținătorii de date și utilizatorii de date pot deveni membri ai mai multor sisteme de partajare a datelor financiare.

Orice partajare de date se efectuează în conformitate cu normele și modalitățile unui sistem de partajare a datelor financiare în care sunt membri atât utilizatorul de date, cât și deținătorul de date.

Articolul 10
Guvernanța și conținutul sistemului de partajare a datelor financiare

(1)Un sistem de partajare a datelor financiare include următoarele elemente:

(a)un sistem de partajare a datelor financiare, care are ca membri:

(i)deținători de date și utilizatori de date care reprezintă o proporție semnificativă a pieței produsului sau serviciului în cauză, fiecare parte având o reprezentare echitabilă și egală în procesele decizionale interne ale sistemului, precum și o pondere egală în toate procedurile de vot; în cazul în care un membru este atât deținător de date, cât și utilizator de date, calitatea sa de membru este luată în considerare în mod egal pentru ambele părți;

(ii)organizații de clienți și asociații de consumatori;

(b)normele aplicabile membrilor sistemului de partajare a datelor financiare se aplică în mod egal tuturor membrilor, fără tratament favorabil sau diferențiat nejustificat între membri;

(c)se asigură, prin regulile de apartenență la un sistem de partajare a datelor financiare, că la sistem poate participa, pe baza unor criterii obiective, orice deținător de date și orice utilizator de date și că toți membrii sunt tratați în mod echitabil și egal;

(d)un sistem de partajare a datelor financiare nu poate să impună controale sau condiții suplimentare pentru partajarea de date, altele decât cele prevăzute în prezentul regulament sau în alte acte legislative aplicabile ale Uniunii;

(e)un sistem de partajare a datelor financiare include un mecanism prin care normele sale să poată fi modificate, în urma unei analize de impact și a acordului majorității comunității de deținători de date și a majorității comunității utilizatorilor de date;

(f)un sistem de partajare a datelor financiare include norme de transparență și, dacă este necesar, norme de raportare către membrii săi;

(g)un sistem de partajare a datelor financiare include standardele comune pentru date și interfețele tehnice, pentru a le permite clienților să solicite partajarea de date în conformitate cu articolul 5 alineatul (1). Standardele comune pentru date și interfețele tehnice pe care membrii sistemului convin să le utilizeze pot fi elaborate de membri ai sistemului sau de alte părți sau organisme;

(h)un sistem de partajare a datelor financiare instituie un model de stabilire a compensației maxime pe care are dreptul să o perceapă un deținător de date pentru punerea la dispoziție a datelor prin intermediul unei interfețe tehnice adecvate, în vederea partajării de date cu utilizatori de date în conformitate cu standardele comune elaborate în temeiul literei (g). Modelul se bazează pe următoarele principii:

(i)ar trebui să se limiteze la o compensație rezonabilă care este direct legată de punerea datelor la dispoziția utilizatorului de date și care poate fi atribuită cererii;

(ii)ar trebui să aibă la bază o metodologie obiectivă, transparentă și nediscriminatorie convenită de membrii sistemului;

(iii)ar trebui să se bazeze pe date de piață cuprinzătoare colectate de la utilizatori de date și de la deținători de date cu privire la fiecare dintre elementele de cost care trebuie luate în considerare, identificate în mod clar în conformitate cu modelul;

(iv)ar trebui revizuit și monitorizat periodic, pentru a se ține seama de progresul tehnologic;

(v)ar trebui să fie conceput astfel încât să ghideze compensarea spre cele mai scăzute niveluri predominante pe piață; și

(vi)ar trebui să se limiteze la cererile de date ale clienților prevăzute la articolul 2 alineatul (1) sau să fie proporțional cu seturile de date conexe care intră în domeniul de aplicare al articolului respectiv, în cazul cererilor de date combinate.

În cazul în care utilizatorul de date este o microîntreprindere sau o întreprindere mică ori mijlocie, astfel cum este definită la articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 42 , eventuala compensație convenită nu poate depăși costurile care sunt legate direct de punerea datelor la dispoziția destinatarului datelor și care pot fi atribuite cererii;

(i)un sistem de partajare a datelor financiare stabilește răspunderea contractuală a membrilor săi, inclusiv în cazul în care datele sunt inexacte sau de o calitate inadecvată, este compromisă securitatea datelor ori datele sunt utilizate în mod abuziv. În cazul datelor cu caracter personal, dispozițiile referitoare la răspundere ale sistemului de partajare a datelor financiare respectă dispozițiile Regulamentului (UE) 2016/679;

(j)un sistem de partajare a datelor financiare prevede un sistem independent, imparțial, transparent și eficace de soluționare a litigiilor dintre membrii sistemului și a problemelor legate de apartenența la sistem, în conformitate cu cerințele de calitate prevăzute în Directiva 2013/11/UE a Parlamentului European și a Consiliului 43 .

(2)Sistemele de partajare a datelor financiare pot să primească în orice moment noi membri, în aceleași condiții ca cele pentru membrii existenți.

(3)Un deținător de date comunică autorității competente a statului membru în care este stabilit sistemele de partajare a datelor financiare din care face parte, în termen de o lună de la înscrierea într-un sistem.

(4)Un sistem de partajare a datelor financiare instituit în conformitate cu prezentul articol se notifică autorității competente din statul membru în care sunt stabiliți primii trei deținători de date ca importanță care sunt membri ai sistemului respectiv în momentul instituirii acestuia. În cazul în care primii trei deținători de date ca importanță sunt stabiliți în state membre diferite sau în cazul în care există mai mult de o autoritate competentă în statul membru în care sunt stabiliți primii trei deținători de date ca importanță, sistemul se notifică tuturor acestor autorități, care stabilesc de comun acord ce autoritate efectuează evaluarea menționată la alineatul (6).

(5)Notificarea prevăzută la alineatul (4) se realizează în termen de o lună de la instituirea sistemului de partajare a datelor financiare și include modalitățile și caracteristicile de guvernanță ale sistemului respectiv, astfel cum sunt prevăzute la alineatul (1).

(6)În termen de o lună de la primirea notificării efectuate în temeiul alineatului (4), autoritatea competentă evaluează dacă modalitățile și caracteristicile de guvernanță ale sistemului de partajare a datelor financiare sunt conforme cu alineatul (1). Când evaluează dacă sistemul de partajare a datelor financiare este conform cu alineatul (1), autoritatea competentă poate consulta alte autorități competente.

După ce și-a finalizat evaluarea, autoritatea competentă informează ABE cu privire la un sistem notificat de partajare a datelor financiare care respectă dispozițiile alineatului (1). Un sistem notificat către ABE în conformitate cu prezentul alineat se recunoaște în toate statele membre în scopul accesării datelor în temeiul articolului 5 alineatul (1), nefiind necesară o notificare suplimentară în alt stat membru.

Articolul 11
Împuternicirea pentru act delegat în cazul absenței unui sistem de partajare a datelor financiare

În cazul în care pentru una sau mai multe categorii de date ale clienților enumerate la articolul 2 alineatul (1) nu se creează un sistem de partajare a datelor financiare și în care nu există nicio perspectivă realistă ca un astfel de sistem să fie instituit într-un termen rezonabil, Comisia este împuternicită să adopte, în conformitate cu articolul 30, un act delegat de completare a prezentului regulament, în care să precizeze următoarele modalități prin care un deținător de date pune la dispoziție, în temeiul articolului 5 alineatul (1), date ale clienților din respectiva categorie de date:

(a)standarde comune pentru date și, dacă este necesar, interfețele tehnice, pentru a le permite clienților să solicite partajarea de date în temeiul articolului 5 alineatul (1);

(b)un model de stabilire a compensației maxime pe care un deținător de date are dreptul să o perceapă pentru punerea la dispoziție a datelor;

(c)răspunderea entităților implicate în punerea la dispoziție a datelor clienților.

TITLUL V
Eligibilitatea pentru accesul la date și organizarea

Articolul 12
Cerere de autorizare a prestatorilor de servicii de informare financiară 

(1)Un prestator de servicii de informare financiară este eligibil să acceseze date ale clienților în temeiul articolului 5 alineatul (1), dacă este autorizat de autoritatea competentă a unui stat membru.

(2)Un prestator de servicii de informare financiară depune la autoritatea competentă a statului membru în care își are sediul social o cerere de autorizare însoțită de următoarele:

(a) un program de activitate în care se indică în special tipul de acces la date avut în vedere;

(b)un plan de afaceri care include un buget estimativ privind primele trei exerciții financiare, care să demonstreze că solicitantul poate folosi sistemele, resursele și procedurile adecvate și proporționale necesare pentru buna sa funcționare;

(c)o descriere a cadrului de guvernanță al solicitantului și a mecanismelor de control intern, inclusiv a procedurilor administrative, a procedurilor de gestionare a riscurilor și a procedurilor contabile, precum și a modalităților de utilizare a serviciilor TIC în conformitate cu Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului, care să demonstreze că respectivul cadru de guvernanță, mecanismele de control și procedurile sunt proporționale, justificate, valide și adecvate;

(d)o descriere a procedurilor existente pentru monitorizarea, tratarea și urmărirea unui incident de securitate și a plângerilor legate de securitate formulate de clienți, incluzând un mecanism de raportare a incidentelor care ține cont de obligațiile de notificare prevăzute în capitolul III din Regulamentul (UE) 2022/2554;

(e)o descriere a măsurilor de asigurare a continuității activității, care să cuprindă o identificare clară a operațiunilor critice, o politică și planuri eficace de continuitate a activității TIC și planuri de răspuns și de recuperare în domeniul TIC, precum și o procedură pentru testarea și reexaminarea periodică a caracterului adecvat și a eficienței acestor planuri în conformitate cu Regulamentul (UE) 2022/2554;

(f)un document privind politica de securitate, inclusiv o evaluare detaliată a riscurilor în raport cu operațiunile sale și o descriere a măsurilor de control al securității și a măsurilor de atenuare luate în vederea protejării adecvate a clienților săi împotriva riscurilor identificate, inclusiv a fraudei;

(g)o descriere a structurii organizatorice a solicitantului, precum și o descriere a acordurilor de externalizare;

(h)identitatea directorilor și a persoanelor responsabile cu administrarea solicitantului și, dacă este cazul, a persoanelor responsabile cu administrarea activităților de acces la date pe care le desfășoară solicitantul, precum și dovezi care să ateste faptul că persoanele respective se bucură de o bună reputație și dețin cunoștințele și experiența adecvate pentru a accesa datele conform celor stabilite prin prezentul regulament;

(i)statutul juridic și actul constitutiv al solicitantului;

(j)adresa sediului central al solicitantului;

(k)când este cazul, acordul scris dintre prestatorul de servicii de informare financiară și reprezentantul legal, din care să reiasă numirea acestuia din urmă, amploarea răspunderii sale și sarcinile pe care le are de îndeplinit acesta în conformitate cu articolul 13.

În sensul, literelor (c), (d) și (g) din primul paragraf, solicitantul furnizează o descriere a sistemului său de audit și a dispozițiilor organizatorice adoptate în vederea luării tuturor măsurilor rezonabile pentru a proteja interesele clienților săi și pentru a asigura continuitatea și fiabilitatea în desfășurarea activităților sale.

În măsurile de control de securitate și de atenuare menționate la litera (f) din primul paragraf se indică în ce mod va asigura solicitantul un nivel ridicat de reziliență operațională digitală în conformitate cu capitolul II din Regulamentul (UE) 2022/2554, în special în legătură cu securitatea tehnică și protecția datelor, inclusiv în ceea ce privește software-ul și sistemele TIC utilizate de solicitant sau de întreprinderile cărora le externalizează toate operațiunile sale sau o parte din acestea.

(3)Prestatorii de servicii de informare financiară dețin o asigurare de răspundere civilă profesională care acoperă teritoriile în care accesează date sau o altă garanție comparabilă și asigură următoarele:

(a)capacitatea de a-și acoperi răspunderea care rezultă din accesul neautorizat sau fraudulos la date sau din utilizarea neautorizată sau frauduloasă a acestora;

(b)capacitatea de a acoperi valoarea eventualelor excedente, praguri sau franșize din asigurare sau dintr-o garanție comparabilă;

(c)monitorizarea continuă a acoperirii asigurării sau a garanției comparabile.

Ca alternativă la deținerea unei asigurări de răspundere civilă profesională sau a unei alte garanții comparabile, astfel cum se prevede la primul paragraf, întreprinderea menționată la paragraful anterior deține un capital inițial de 50 000 EUR, care poate fi înlocuit, fără întârzieri nejustificate, cu o asigurare de răspundere civilă profesională sau cu altă garanție comparabilă după începerea activității de prestator de servicii de informare financiară.

(4)În strânsă cooperare cu ESMA și EIOPA și după consultarea tuturor părților interesate relevante, ABE elaborează proiecte de standarde tehnice de reglementare în care se precizează:

(a)informațiile de furnizat autorității competente în cererea de autorizare a prestatorilor de servicii de informare financiară, inclusiv cerințele stabilite la alineatul (1) literele (a)-(l);

(b)o metodologie comună de evaluare pentru acordarea autorizației de prestator de servicii de informare financiară, în temeiul prezentului regulament;

(c)definiția unei garanții comparabile, astfel cum este menționată la alineatul (2), care ar trebui să fie interschimbabilă cu o asigurare de răspundere civilă profesională;

(d)criteriile modului de stipulare a cuantumului monetar minim al asigurării de răspundere civilă profesională sau al altei garanții comparabile menționate la alineatul (2).

La elaborarea acestor standarde tehnice de reglementare, ABE ține seama de următoarele:

(a)profilul de risc al întreprinderii;

(b)eventualitatea ca întreprinderea să presteze alte tipuri de servicii sau să desfășoare alte activități;

(c)dimensiunea activității;

(d)caracteristicile specifice ale garanțiilor comparabile și criteriile pentru punerea în aplicare a acestora.

ABE prezintă Comisiei respectivele proiecte de standarde tehnice de reglementare menționate la primul paragraf până la [a se introduce data de către OP = 9 luni de la intrarea în vigoare a prezentului regulament].

Se conferă Comisiei competența de a adopta standardele tehnice de reglementare menționate la primul paragraf al prezentul alineat în conformitate cu articolele 10-14 din Regulamentul (UE) nr. 1093/2015.

În conformitate cu articolul 10 din Regulamentul (UE) nr. 1093/2010, ABE revizuiește și, dacă este cazul, actualizează aceste standarde tehnice de reglementare.

Articolul 13
Reprezentanții legali

(1)Prestatorii de servicii de informare financiară care nu au un sediu în Uniune, dar care necesită acces la date financiare în Uniune desemnează, în scris, o persoană fizică sau juridică în calitate de reprezentant legal în unul dintre statele membre din care prestatorul de servicii de informare financiară intenționează să acceseze date financiare.

(2)Prestatorii de servicii de informare financiară își împuternicesc reprezentanții legali să fie contactați, în plus față de prestatorul de servicii de informare financiară sau în locul acestuia, de către autoritățile competente în toate aspectele necesare pentru primirea, respectarea și punerea în aplicare a prezentului regulament. Prestatorii de servicii de informare financiară le acordă reprezentanților lor legali competențele și resursele necesare pentru ca aceștia să poată coopera cu autoritățile competente și să asigure respectarea deciziilor acestora.

(3)Reprezentantul legal desemnat poate fi considerat răspunzător pentru nerespectarea obligațiilor prevăzute în prezentul regulament, fără a se aduce atingere răspunderii prestatorului de servicii de informare financiară și acțiunilor în justiție care ar putea fi inițiate împotriva acestuia.

(4)Prestatorii de servicii de informare financiară notifică numele, adresa, adresa de e-mail și numărul de telefon ale reprezentantului lor legal autorității competente din statul membru în care își are reședința sau în care este stabilit reprezentantul legal. Prestatorii de servicii informare financiară se asigură că informațiile respective sunt la zi.

(5)Desemnarea unui reprezentant legal în cadrul Uniunii în temeiul alineatului (1) nu este echivalentă stabilirii în Uniune.

Articolul 14
Acordarea și retragerea autorizației de prestator de servicii de informare financiară

(1)Autoritatea competentă acordă o autorizație dacă informațiile și documentele care însoțesc cererea respectă cerințele stabilite la articolul 11 alineatele (1) și (2). Înainte de acordarea unei autorizații, autoritatea competentă poate consulta, în cazurile justificate, alte autorități publice competente.

(2)Autoritatea competentă autorizează un prestator de servicii de informare financiară dintr-o țară terță dacă sunt îndeplinite toate condițiile următoare:

(a)prestatorul de servicii de informare financiară din țara terță a respectat toate condițiile stabilite la articolele 12 și 16;

(b)prestatorul de servicii de informare financiară din țara terță a desemnat un reprezentant legal în temeiul articolului 13;

(c)în cazul în care prestatorul de servicii de informare financiară din țara terță este supus supravegherii, autoritatea competentă urmărește să instituie un acord de cooperare corespunzător cu autoritatea competentă relevantă din țara terță în care este stabilit prestatorul de servicii de informare financiară, pentru a asigura un schimb eficient de informații;

(d)țara terță în care este stabilit prestatorul de servicii de informare financiară nu figurează pe lista jurisdicțiilor necooperante în scopuri fiscale în temeiul politicii relevante a Uniunii sau pe lista jurisdicțiilor țărilor terțe cu grad ridicat de risc care au deficiențe în conformitate cu Regulamentul delegat (UE) 2016/1675 al Comisiei 44 .

(3)Autoritatea competentă acordă o autorizație doar dacă, ținând seama de necesitatea de asigurare a unei administrări corecte și prudente a unui prestator de servicii de informare financiară, prestatorul de servicii de informare financiară dispune de un cadru solid de guvernanță pentru activitatea sa de servicii de informare. Acest cadru include o structură organizatorică clară, cu responsabilități bine definite, transparente și coerente, proceduri eficace de identificare, gestionare, monitorizare și raportare a riscurilor reale sau potențiale, precum și mecanisme adecvate de control intern, inclusiv proceduri administrative și contabile solide. Cadrul, procedurile și mecanismele în cauză sunt exhaustive și proporționale cu natura, amploarea și complexitatea serviciilor de informare prestate de prestatorul de servicii de informare financiară.

(4)Autoritatea competentă acordă o autorizație doar dacă actele cu putere de lege și actele administrative care reglementează una sau mai multe persoane fizice sau juridice cu care prestatorul de servicii de informare financiară are legături strânse sau dacă dificultățile legate de asigurarea respectării actelor cu putere de lege și a actelor administrative respective nu împiedică exercitarea efectivă a funcțiilor sale de supraveghere.

(5)Autoritatea competentă acordă o autorizație doar dacă este convinsă că prestatorul de servicii de informare financiară nu devine o entitate de tip „cutie poștală” prin recurgerea la acorduri de externalizare sau că nu se recurge la astfel de acorduri pentru eludarea dispozițiilor prezentului regulament.

(6)În termen de trei luni de la data primirii unei cereri sau, dacă aceasta este incompletă, de la data primirii tuturor informațiilor necesare pentru luarea unei decizii, autoritatea competentă informează solicitantul cu privire la acordarea sau refuzarea acordării autorizației. Autoritatea competentă motivează refuzul acordării autorizației.

(7)Autoritatea competentă poate retrage o autorizație acordată unui prestator de servicii de informare financiară doar dacă prestatorul:

(a)nu utilizează autorizația respectivă în termen de 12 luni, renunță în mod expres la aceasta sau își încetează activitatea pe o perioadă mai mare de șase luni;

(b)a obținut autorizația pe baza unor informații false sau prin orice alt mijloc ilegal;

(c)nu mai îndeplinește condițiile de acordare a autorizației sau nu informează autoritatea competentă cu privire la modificări importante în acest sens;

(d)ar constitui un risc pentru protecția consumatorilor și pentru securitatea datelor.

Autoritatea competentă motivează orice retragere a unei autorizații și informează în consecință părțile implicate. Autoritatea competentă face publică retragerea unei autorizații, într-o versiune anonimizată.

Articolul 15
Registrul

(1)ABE instituie, gestionează și menține un registru central electronic care conține următoarele informații:

(a)prestatorii autorizați de servicii de informare financiară;

(b)prestatorii de servicii de informare financiară care și-au notificat intenția de a accesa date într-un stat membru diferit de statul lor membru de origine;

(c)sistemele de partajare a datelor financiare convenite între deținătorii de date și utilizatorii de date.

(2)Registrul menționat la alineatul (1) conține numai date anonimizate.

(3)Registrul se pune la dispoziția publicului pe site-ul ABE și permite căutarea și accesarea cu ușurință a informațiilor publicate.

(4)ABE înscrie în registrul menționat la alineatul (1) orice retragere a autorizației prestatorilor de servicii de informare financiară sau încetarea unui sistem de partajare a datelor financiare.

(5)Autoritățile competente ale statelor membre transmit fără întârziere către ABE informațiile necesare pentru îndeplinirea sarcinilor prevăzute la alineatele (1) și (3). Autoritățile competente au responsabilitatea de a asigura exactitatea și actualizarea informațiilor prevăzute la alineatele (1) și (3). Pentru transmiterea acestor informații către ABE, autoritățile competente utilizează, când este posibil din punct de vedere tehnic, mijloace automatizate.

Articolul 16

Cerințe organizatorice pentru prestatorii de servicii de informare financiară

Un prestator de servicii de informare financiară respectă următoarele cerințe organizatorice:

(a)instituie politici și proceduri suficiente pentru a asigura respectarea obligațiilor prevăzute în prezentul regulament, inclusiv de către personalul de conducere și angajații lor;

(b)ia toate măsurile rezonabile pentru a asigura continuitatea și regularitatea activităților pe care le desfășoară. În acest scop, prestatorul de servicii de informare financiară utilizează sisteme, resurse și proceduri adecvate și proporționale pentru a asigura continuitatea operațiunilor sale critice, dispunând de planuri pentru situații neprevăzute și de o procedură de testare și revizuire periodică a caracterului adecvat și a eficienței acestor planuri;

(c)în cazul în care încredințează unei părți terțe executarea funcțiilor critice pentru prestarea unui serviciu continuu și satisfăcător către clienți și exercitarea de activități în mod continuu și satisfăcător, ia măsuri rezonabile pentru a evita o agravare nejustificată a riscului operațional. Externalizarea funcțiilor operaționale importante nu poate fi realizată într-un mod care să dăuneze semnificativ calității controlului intern al prestatorului de servicii de informare financiară și care să împiedice autoritatea de supraveghere să controleze respectarea tuturor obligațiilor care îi revin prestatorului respectiv de servicii;

(d)dispune de proceduri de guvernanță, administrative și contabile solide, de mecanisme de control intern, de proceduri eficace de evaluare și gestionare a riscurilor și de mecanisme eficace de control și de protecție a sistemelor informatice;

(e)se asigură că directorii și persoanele responsabile cu administrarea sa, precum și persoanele responsabile cu administrarea activităților de acces la date pe care le desfășoară se bucură de o bună reputație și dețin cunoștințele, competențele și experiența adecvate pentru a-și îndeplini, individual și colectiv, sarcinile;

(f)instituie și menține proceduri eficace și transparente pentru monitorizarea, tratarea și urmărirea promptă, echitabilă și consecventă a unui incident de securitate și a plângerilor legate de securitate formulate de clienți, inclusiv un mecanism de raportare care ține cont de obligațiile de notificare prevăzute în capitolul III din Regulamentul (UE) 2022/2554.

TITLUL VI
Autoritățile competente și cadrul de supraveghere

Articolul 17
Autoritățile competente

(1)Statele membre desemnează autoritățile competente responsabile cu îndeplinirea funcțiilor și sarcinilor prevăzute în prezentul regulament. Statele membre notifică respectivele autorități competente Comisiei.

(2)Statele membre se asigură că autoritățile competente desemnate în temeiul alineatului (1) dispun de toate competențele necesare pentru îndeplinirea sarcinilor lor.

Statele membre se asigură că autoritățile competente respective dispun de resursele necesare, în special de un personal special prevăzut în acest sens, pentru a-și îndeplini sarcinile în conformitate cu obligațiile care le revin în temeiul prezentului regulament.

(3)Statele membre care au numit în jurisdicția lor mai mult de o autoritate competentă în aspecte reglementate de prezentul regulament se asigură că autoritățile respective cooperează îndeaproape, astfel încât să își poată îndeplini sarcinile cu eficacitate.

(4)În cazul instituțiilor financiare, respectarea prezentului regulament este asigurată de autoritățile competente menționate la articolul 46 din Regulamentul (UE) 2022/2554, conform competențelor conferite prin actele juridice aferente enumerate la articolul respectiv și prin prezentul regulament.

Articolul 18
Competențele autorităților competente

(1)Autoritățile competente au toate competențele de investigare necesare pentru exercitarea funcțiilor lor. Respectivele competențe includ:

(a)competența de a solicita oricărei persoane fizice sau juridice să furnizeze toate informațiile necesare pentru îndeplinirea atribuțiilor care le revin autorităților competente, inclusiv informații care trebuie furnizate la intervale regulate și în formate specificate în scopuri de supraveghere și în scopuri statistice aferente;

(b)competența de a efectua toate investigațiile necesare în legătură cu orice persoană menționată la litera (a) care este stabilită sau se află în statul membru în cauză, atunci când acest lucru este necesar pentru îndeplinirea atribuțiilor autorităților competente, inclusiv competența:

(i)de a solicita prezentarea de documente;

(ii)de a examina date sub orice formă, inclusiv evidențele și registrele persoanelor menționate la litera (a) și de a ridica copii sau extrase ale unor astfel de documente;

(iii)de a obține explicații scrise sau orale de la orice persoană menționată la litera (a) sau de la reprezentanții ori personalul acesteia și, dacă este necesar, de a cita și a audia orice astfel de persoană în vederea obținerii de informații;

(iv)de a intervieva orice altă persoană fizică care este de acord să fie intervievată în scopul colectării de informații referitoare la obiectul unei investigații;

(v)sub rezerva altor condiții prevăzute în dreptul Uniunii sau în dreptul intern, de a efectua inspecțiile necesare la sediile persoanelor juridice și în alte locuri, cu excepția reședințelor private ale persoanelor fizice menționate la litera (a), precum și la sediul oricărei alte persoane juridice incluse în supravegherea consolidată pentru care o autoritate competentă este autoritatea responsabilă cu supravegherea pe bază consolidată, după notificarea prealabilă a autorităților competente în cauză;

(vi)de a intra în sediile persoanelor fizice și juridice, în conformitate cu dreptul intern, pentru a confisca documente și date sub orice formă, în cazul în care există suspiciuni rezonabile că documente sau date legate de obiectul inspecției sau al investigației pot fi necesare și relevante pentru dovedirea unui caz de încălcare a dispozițiilor prezentului regulament;

(vii)de a solicita, în măsura în care o permite dreptul intern, înregistrările existente ale traficului de date deținute de operatorii de telecomunicații, în cazul în care există suspiciuni rezonabile privind o încălcare și în care astfel de înregistrări ar putea fi relevante pentru investigarea unei încălcări a prezentului regulament;

(viii)de a solicita înghețarea sau punerea sub sechestru a activelor sau ambele;

(ix)de a înainta cauza în vederea urmăririi penale;

(c)în cazul în care nu dispun de alte mijloace pentru a pune capăt încălcării prezentului regulament sau pentru a preveni o astfel de încălcare și în scopul de a evita riscul prejudicierii grave a intereselor consumatorilor, autoritățile competente au dreptul să ia oricare dintre următoarele măsuri, inclusiv să solicite unei părți terțe sau altei autorități publice să le întreprindă:

(i)îndepărtarea conținutului unei interfețe online ori restricționarea accesului la aceasta sau impunerea afișării explicite a unui avertisment pentru consumatori în momentul în care aceștia accesează interfața online;

(ii)obligarea unui furnizor de servicii de găzduire să înlăture, să dezactiveze sau să restricționeze accesul la o interfață online;

(iii)obligarea registrelor de domenii sau a operatorilor de registre de domenii să șteargă un nume de domeniu complet calificat și să permită autorității competente să înregistreze ștergerea respectivă.

Punerea în aplicare a prezentului alineat și exercitarea competențelor prevăzute în acesta sunt proporționale și conforme cu dreptul Uniunii și cu dreptul intern, inclusiv cu garanțiile procedurale aplicabile și cu principiile Cartei drepturilor fundamentale a Uniunii Europene. Măsurile de investigare și de asigurare a respectării normelor adoptate în temeiul prezentului regulament sunt adecvate naturii și prejudiciului global real sau potențial al încălcării.

(2)Autoritățile competente își exercită competențele de investigare a potențialelor încălcări ale prezentului regulament și impun sancțiuni administrative și alte măsuri administrative prevăzute în prezentul regulament, în oricare dintre următoarele moduri:

(a)direct;

(b)în colaborare cu alte autorități;

(c)prin delegare de competențe către alte autorități sau organisme;

(d)prin sesizarea autorităților judiciare competente ale unui stat membru.

În cazul în care autoritățile competente își exercită competențele prin delegarea acestor către alte autorități sau organisme, în conformitate cu litera (c), în delegarea de competențe se precizează sarcinile delegate, condițiile în care urmează să fie îndeplinite acestea și condițiile în care pot fi revocate competențele delegate. Autoritățile sau organismele cărora le sunt delegate competențele sunt organizate astfel încât să fie evitate conflictele de interese. Autoritățile competente supraveghează activitatea autorităților sau organismelor cărora le sunt delegate competențele.

(3)În exercitarea competențelor lor de investigare și de sancționare, inclusiv în cazurile transfrontaliere, autoritățile competente cooperează cu eficacitate între ele și cu autoritățile din orice sector vizat, după cum este aplicabil în fiecare caz și în conformitate cu dreptul intern și cu dreptul Uniunii, pentru a asigura schimbul de informații și asistența reciprocă care sunt necesare pentru aplicarea efectivă a sancțiunilor administrative și a măsurilor administrative.

Articolul 19
Acordurile de soluționare amiabilă și procedurile accelerate de executare

(1)Fără a aduce atingere articolului 20, statele membre pot stabili norme care să permită autorităților lor competente să închidă o investigație privind o presupusă încălcare a prezentului regulament, în urma unui acord de soluționare amiabilă, pentru a pune capăt presupusei încălcări și consecințelor acesteia înainte de începerea procedurilor oficiale de sancționare.

(2)Statele membre pot stabili norme care să permită autorităților lor competente să închidă o investigație privind o încălcare constatată printr-o procedură accelerată de executare, prin care să se adopte rapid o decizie având ca scop impunerea unei sancțiuni administrative sau a unei măsuri administrative. 

Împuternicirea autorităților competente de a soluționa pe cale amiabilă sau de a deschide proceduri accelerate de executare nu afectează obligațiile pe care statele membre le au în temeiul articolului 20.

(3)În cazul în care stabilesc normele menționate la alineatul (1), statele membre notifică Comisiei actele cu putere de lege și actele administrative relevante care reglementează exercitarea competențelor menționate la alineatul respectiv, precum și orice modificare ulterioară care afectează normele respective.

Articolul 20
Sancțiuni administrative și alte măsuri administrative

(1)Fără a aduce atingere competențelor de supraveghere și de investigare ale autorităților competente enumerate la articolul 18, statele membre conferă autorităților competente, în conformitate cu dreptul intern, competențele necesare pentru a aplica sancțiuni administrative și alte măsuri administrative adecvate în ceea ce privește următoarele încălcări:

(a)încălcări ale articolelor 4, 5 și 6;

(b)încălcări ale articolelor 7 și 8;

(c)încălcări ale articolelor 9 și 10;

(d)încălcări ale articolelor 13 și 16;

(e)încălcări ale articolului 28.

(2)Statele membre pot decide să nu stabilească norme privind sancțiunile administrative și măsurile administrative pentru încălcări ale prezentului regulament care se sancționează penal în temeiul dreptului intern. Într-un astfel de caz, statele membre notifică dispozițiile relevante de drept penal și orice modificare ulterioară a acestora Comisiei.

(3)Statele membre se asigură, în conformitate cu dreptul intern, că autoritățile competente au competența de a impune următoarele sancțiuni administrative și alte măsuri administrative în ceea ce privește încălcările menționate la alineatul (1):

(a)o declarație publică în care se indică persoana fizică sau juridică responsabilă și natura încălcării;

(b)un ordin prin care i se cere persoanei fizice sau juridice responsabile să înceteze comportamentul care constituie o încălcare și să se abțină de la repetarea comportamentului respectiv;

(c)restituirea profiturilor obținute din încălcare sau a pierderilor evitate prin încălcare, în măsura în care acestea pot fi determinate;

(d)suspendarea temporară a autorizației unui prestator de servicii de informare financiară;

(e)o amendă administrativă maximă egală cu cel puțin dublul cuantumului profiturilor obținute sau al pierderilor evitate ca urmare a încălcării, în cazul în care acestea pot fi determinate, chiar dacă o astfel de amendă depășește cuantumurile maxime prevăzute la litera (f) din prezentul alineat, în ceea ce privește persoanele fizice, sau la alineatul (4), în ceea ce privește persoanele juridice;

(f)în cazul unei persoane fizice, amenzi administrative de maximum 25 000 EUR pe încălcare și de maximum 250 000 EUR pe an în total sau, în statele membre a căror monedă oficială nu este euro, echivalentul în moneda oficială a statului membru respectiv la ... [a se introduce de către OP data intrării în vigoare a prezentului regulament].

(g)interzicerea temporară a exercitării de funcții de conducere în cadrul prestatorilor de servicii de informare financiară de către orice membru al organului de conducere al prestatorului de servicii de informare financiară sau de către orice altă persoană fizică considerată responsabilă de încălcare;

(h)în situația unor încălcări repetate ale articolelor menționate la alineatul (1), interzicerea pe o perioadă de cel puțin 10 ani a exercitării de funcții de conducere în cadrul unui prestator de servicii de informare de către orice membru al organului de conducere al unui prestator de servicii de informare financiară sau de către orice altă persoană fizică considerată responsabilă de încălcare.

(4)Statele membre se asigură, în conformitate cu dreptul intern, că autoritățile competente au competența de a impune, în ceea ce privește încălcările menționate la alineatul (1) care sunt săvârșite de către persoane juridice, amenzi administrative maxime de:

(a)50 000 EUR pe încălcare și 500 000 EUR pe an în total sau, în statele membre a căror monedă oficială nu este euro, echivalentul în moneda oficială a statului membru respectiv la ... [a se introduce de către OP data intrării în vigoare a prezentului regulament];

(b)2 % din cifra de afaceri anuală totală a persoanei juridice, conform ultimelor situații financiare disponibile aprobate de organul de conducere.

În cazul în care persoana juridică menționată la primul paragraf este o întreprindere-mamă sau o filială a întreprinderii-mamă care are obligația de a întocmi situații financiare consolidate în conformitate cu articolul 22 din Directiva 2013/34/UE a Parlamentului European și a Consiliului 45 , cifra de afaceri anuală totală relevantă este cifra de afaceri netă sau venitul calculat în conformitate cu standardele de contabilitate relevante, pe baza situațiilor financiare consolidate ale întreprinderii-mamă de cel mai înalt rang care sunt disponibile pentru ultima dată a bilanțului și de care sunt responsabili membrii organului administrativ, de conducere și de control al întreprinderii-mamă de cel mai înalt rang.

(5)Statele membre pot împuternici autoritățile competente să impună alte tipuri de sancțiuni administrative și alte măsuri administrative în plus față de cele menționate la alineatele (3) și (4) și pot să prevadă pentru amenzile pecuniare administrative cuantumuri mai mari decât cele stabilite la alineatele respective.

Statele membre notifică nivelul unor astfel de sancțiuni mai mari, precum și orice modificare ulterioară a acestora Comisiei.

Articolul 21
Penalități cu titlu cominatoriu

(1)Autoritățile competente au dreptul să impună penalități cu titlu cominatoriu persoanelor juridice sau fizice până când acestea pun capăt nerespectării deciziilor, ordinelor, măsurilor provizorii, cererilor, obligațiilor sau altor măsuri administrative adoptate în conformitate cu prezentul regulament.

Penalitățile cu titlu cominatoriu menționate la primul paragraf sunt eficace și proporționale și constau în plata unui cuantum zilnic până la restabilirea conformității. Acestea se impun pentru o perioadă de cel mult șase luni de la data indicată în decizia de impunere a penalităților cu titlu cominatoriu.

Autoritățile competente au dreptul să impună următoarele penalități cu titlu cominatoriu care pot fi ajustate în funcție de gravitatea încălcării și de nevoile sectorului:

(a)3 % din cifra de afaceri zilnică medie, în cazul unei persoane juridice;

(b)30 000 EUR, în cazul unei persoane fizice.

(2)Cifra de afaceri zilnică medie menționată la alineatul (1) al treilea paragraf litera (a) este cifra de afaceri anuală totală împărțită la 365.

(3)Statele membre pot să prevadă pentru penalitățile cu titlu cominatoriu cuantumuri mai mari decât cele prevăzute la alineatul (1) al treilea paragraf.

Articolul 22
Circumstanțe de luat în considerare la stabilirea sancțiunilor administrative și a altor măsuri administrative

(1)Atunci când stabilesc tipul și nivelul sancțiunilor administrative și al altor măsuri administrative, autoritățile competente țin cont de toate circumstanțele relevante, pentru a asigura eficacitatea și proporționalitatea unor astfel de sancțiuni sau măsuri. Respectivele circumstanțe includ, când este cazul:

(a)gravitatea și durata încălcării;

(b)gradul de responsabilitate al persoanei juridice sau fizice responsabile de încălcare;

(c)soliditatea financiară a persoanei juridice sau fizice responsabile de încălcare, astfel cum este indicată, printre altele, de cifra de afaceri anuală totală a persoanei juridice sau de venitul anual al persoanei fizice responsabile de încălcare;

(d)importanța profiturilor obținute sau a pierderilor evitate de către persoana juridică sau fizică responsabilă de încălcare, dacă acestea se pot determina;

(e)pierderile suferite de terți ca urmare a respectivei încălcări, dacă acestea se pot determina;

(f)dezavantajul care rezultă pentru persoana juridică sau fizică responsabilă de încălcare din duplicarea procedurilor și sancțiunilor penale și administrative pentru același comportament;

(g)impactul încălcării asupra intereselor clienților;

(h)eventualele consecințe negative sistemice reale sau potențiale ale încălcării;

(i)complicitatea sau participarea organizată la încălcare a mai multor persoane juridice sau fizice;

(j)încălcările anterioare săvârșite de persoana juridică sau fizică responsabilă de încălcare;

(k)măsura în care persoana juridică sau fizică responsabilă de încălcare cooperează cu autoritatea competentă;

(l)eventualele acțiuni sau măsuri de remediere întreprinse de către persoana juridică sau fizică responsabilă de încălcare pentru prevenirea repetării încălcării.

(2)Autoritățile competente care utilizează acorduri de soluționare amiabilă sau proceduri accelerate de executare în temeiul articolului 19 adaptează sancțiunile administrative relevante și alte măsuri administrative prevăzute la articolul 20 la cazul respectiv, pentru a asigura proporționalitatea acestora, luând în considerare în special circumstanțele enumerate la alineatul (1).

Articolul 23
Secretul profesional

(1)Toate persoanele care lucrează sau au lucrat pentru autoritățile competente, precum și experții care acționează pe seama autorităților competente sunt obligați să respecte secretul profesional.

(2)Atât autoritatea care partajează, cât și autoritatea destinatară sunt obligate să respecte secretul profesional al informațiilor care fac obiectul schimbului prevăzut la articolul 26, pentru a asigura protecția drepturilor persoanelor fizice și ale întreprinderilor.

Articolul 24
Dreptul la o cale de atac

(1)Deciziile luate de autoritățile competente în temeiul prezentului regulament pot fi contestate în instanță.

(2)Alineatul (1) se aplică și în cazul abținerii de a acționa.

Articolul 25
Publicarea deciziilor autorităților competente

(1)Autoritățile competente publică pe site-ul lor toate deciziile prin care se impun sancțiuni administrative sau măsuri administrative persoanelor fizice și juridice pentru încălcarea prezentului regulament și, când este cazul, toate acordurile de soluționare amiabilă. Odată cu decizia se publică și o scurtă descriere a încălcării, sancțiunea administrativă ori altă măsură administrativă impusă sau, când este cazul, o declarație privind acordul de soluționare amiabilă. Nu se publică identitatea persoanei fizice care constituie subiectul deciziei de impunere a unei sancțiuni administrative sau a unei măsuri administrative.

Autoritățile competente publică decizia și declarația menționate la alineatul (1) imediat după ce decizia a fost notificată persoanei juridice sau fizice care constituie subiectul deciziei sau după ce a fost semnat acordul de soluționare amiabilă.

(2)Prin derogare de la alineatul (1), în cazul în care consideră că este necesar să publice identitatea sau alte date cu caracter personal ale persoanei fizice, pentru a proteja stabilitatea piețelor financiare sau pentru a asigura respectarea efectivă a prezentului regulament, inclusiv în cazul declarațiilor publice menționate la articolul 20 alineatul (3) litera (a) sau al interdicțiilor temporare menționate la articolul 20 alineatul (3) litera (g), autoritatea națională competentă poate să publice și identitatea persoanelor sau date cu caracter personal, cu condiția să justifice o astfel de decizie și să limiteze publicarea la datele cu caracter personal strict necesare pentru protejarea stabilității piețelor financiare sau pentru asigurarea respectării efective a prezentului regulament.

(3)În cazul în care decizia de impunere a unei sancțiuni administrative sau a altei măsuri administrative face obiectul unei căi de atac introduse în fața autorității judiciare sau a altei autorități relevante, autoritățile competente publică de asemenea pe site-ul lor oficial, fără întârziere, informații referitoare la calea de atac și orice informație ulterioară referitoare la o astfel de cale de atac, în măsura în care aceasta se referă la persoane juridice. În cazul în care decizia atacată se referă la persoane fizice și în care nu se aplică derogarea prevăzută la alineatul (2), autoritățile competente publică informații referitoare la calea de atac numai într-o versiune anonimizată.

(4)Autoritățile competente se asigură că orice informație publicată în conformitate cu prezentul articol rămâne pe site-ul lor oficial timp de cel puțin cinci ani. Datele cu caracter personal publicate se păstrează pe site-ul oficial al autorității competente numai dacă se stabilește printr-o analiză anuală că publicarea datelor respective continuă să fie necesară pentru protejarea stabilității piețelor financiare sau pentru asigurarea respectării efective a prezentului regulament și, în orice caz, numai pentru o perioadă de maximum cinci ani.

Articolul 26
Cooperarea și schimbul de informații între autoritățile competente

(1)Autoritățile competente cooperează între ele și cu alte autorități competente relevante desemnate în temeiul dreptului Uniunii sau al dreptului intern aplicabil instituțiilor financiare în sensul prezentului regulament, pentru îndeplinirea sarcinilor atribuite autorităților competente.

(2)În scopul îndeplinirii sarcinilor prevăzute în prezentul regulament, autoritățile competente pot să facă schimb de informații cu autoritățile competente din alte state membre care sunt responsabile cu autorizarea și supravegherea prestatorilor de servicii de informare financiară.

(3)Autoritățile competente care fac schimb de informații cu alte autorități competente în temeiul prezentului regulament pot preciza, în momentul comunicării, că informațiile respective nu pot fi divulgate fără acordul lor expres, caz în care aceste informații pot să facă obiectul unui schimb doar în scopurile pentru care autoritățile respective și-au dat acordul.

(4)Autoritatea competentă transmite altor organe sau persoane fizice ori juridice informații partajate de alte autorități competente numai cu acordul expres al autorităților competente care au comunicat informațiile și exclusiv în scopurile pentru care autoritățile respective și-au dat acordul, cu excepția circumstanțelor justificate corespunzător. În aceste din urmă cazuri, punctul de contact informează de îndată omologul său care a trimis informațiile.

(5)În cazul în care obligațiile stabilite prin prezentul regulament se referă la prelucrarea de date cu caracter personal, autoritățile competente cooperează cu autoritățile de supraveghere instituite în temeiul Regulamentului (UE) 2016/679.

Articolul 27
Soluționarea dezacordurilor dintre autoritățile competente

(1)În cazul în care o autoritate competentă dintr-un stat membru consideră că într-o anumită chestiune cooperarea transfrontalieră cu autorități competente din alt stat membru, astfel cum se menționează la articolul 28 sau 29 din prezentul regulament, nu respectă condițiile relevante stabilite în dispozițiile respective, autoritatea respectivă poate sesiza ABE în legătură cu respectiva chestiune și îi poate solicita asistența în conformitate cu articolul 19 din Regulamentul (UE) nr. 1093/2010.

(2)Când primește o cerere de asistență în temeiul alineatului (1), ABE ia o decizie în temeiul articolului 19 alineatul (3) din Regulamentul (UE) nr. 1093/2010 fără întârzieri nejustificate. ABE poate de asemenea să acorde asistență din proprie inițiativă autorităților competente, în vederea ajungerii la un acord, în conformitate cu articolul 19 alineatul (1) al doilea paragraf din regulamentul menționat. În oricare dintre cazuri, autoritățile competente implicate își amână deciziile până la adoptarea unei decizii în temeiul articolului 19 din Regulamentul (UE) nr. 1093/2010.

TITLUL VII
Accesul transfrontalier la date

Articolul 28
Accesul transfrontalier la date pentru prestatorii de servicii de informare financiară

(1)Prestatorilor de servicii de informare financiară și instituțiilor financiare li se permite accesul la datele clienților din Uniune care sunt enumerate la articolul 2 alineatul (1) și sunt deținute de deținători de date stabiliți în Uniune, în temeiul libertății de a presta servicii sau al libertății de stabilire.

(2)Orice prestator de servicii de informare financiară care dorește să aibă acces la datele enumerate la articolul 2 alineatul (1) din prezentul regulament pentru prima dată într-un stat membru diferit de statul său membru de origine, în virtutea dreptului de stabilire sau a libertății de a presta servicii, comunică autorităților competente ale statului său membru de origine următoarele informații:

(a)numele său, adresa sa și, dacă este cazul, numărul autorizației sale de prestator de servicii de informare financiară;

(b)statul sau statele membre în care dorește să aibă acces la datele enumerate la articolul 2 alineatul (1);

(c)tipul de date la care dorește să aibă acces;

(d)sistemele de partajare a datelor financiare la care este membru.

În cazul în care intenționează să externalizeze funcții operaționale de acces la date altor entități din statul membru gazdă, prestatorul de servicii de informare financiară informează în consecință autoritățile competente ale statului membru de origine.

(3)În termen de o lună de la primirea tuturor informațiilor menționate la alineatul (1), autoritățile competente ale statului membru de origine transmit aceste informații autorităților competente ale statului membru gazdă.

(4)Prestatorul de servicii de informare financiară comunică autorităților competente ale statului membru de origine, fără întârzieri nejustificate, orice modificare relevantă în ceea ce privește informațiile comunicate în conformitate cu alineatul (1), inclusiv entitățile suplimentare cărora li se externalizează anumite activități în statele membre gazdă în care își desfășoară activitatea. Se aplică procedura prevăzută la alineatele (2) și (3).

Articolul 29
Motivare și comunicare

Orice măsură luată de autoritățile competente în temeiul articolului 18 sau 28 care implică sancțiuni sau restricții în exercitarea libertății de a presta servicii sau a libertății de stabilire se justifică în mod corespunzător și se comunică prestatorului de servicii de informare financiară în cauză.

TITLUL VIII

Dispoziții finale

Articolul 30
Exercitarea delegării de competențe

(1)Competența de a adopta acte delegate se conferă Comisiei în condițiile prevăzute la prezentul articol.

(2)Competența de a adopta actul delegat menționat la articolul 11 se conferă Comisiei pentru o perioadă de XX [de] luni de la … [a se introduce de către OP data intrării în vigoare a prezentului regulament]. Comisia elaborează un raport privind delegarea de competențe cu cel puțin nouă luni înainte de încheierea perioadei de XX [de] luni. Delegarea de competențe se prelungește tacit cu perioade de timp identice, cu excepția cazului în care Parlamentul European sau Consiliul se opune prelungirii respective cu cel puțin trei luni înainte de încheierea fiecărei perioade.

(3)Parlamentul European sau Consiliul poate revoca în orice moment delegarea de competențe menționată la articolul 11. Decizia de revocare pune capăt delegării competenței menționate în decizia respectivă. Decizia de revocare produce efecte începând cu ziua următoare datei publicării în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară specificată în decizie. Decizia de revocare nu aduce atingere valabilității actelor delegate aflate deja în vigoare.

(4)Înainte de adoptarea unui act delegat, Comisia consultă experții desemnați de fiecare stat membru în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare.

(5)De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.

(6)Un act delegat adoptat în temeiul articolului 11 intră în vigoare numai în cazul în care nici Parlamentul European, nici Consiliul nu au formulat obiecții în termen de trei luni de la notificarea acestuia către Parlamentul European și Consiliu, sau în cazul în care, înainte de expirarea termenului respectiv, Parlamentul European și Consiliul au informat Comisia cu privire la faptul că nu vor formula obiecții. Respectivul termen se prelungește cu trei luni la inițiativa Parlamentului European sau a Consiliului.

Articolul 31
Evaluarea prezentului regulament și raportul privind accesul la date financiare

(1)Până la [a se introduce de către OP data = patru ani de la data începerii aplicării prezentului regulament], Comisia efectuează o evaluare a prezentului regulament și prezintă un raport cu principalele sale constatări Parlamentului European și Consiliului, precum și Comitetului Economic și Social European. În cadrul evaluării se analizează în special:

(a)alte categorii sau seturi de date la care s-ar putea acorda acces;

(b)excluderea din domeniul de aplicare a anumitor categorii de date și entități;

(c)modificările survenite în practicile contractuale ale deținătorilor de date și ale utilizatorilor de date și funcționarea sistemelor de partajare a datelor financiare;

(d)includerea altor tipuri de entități entităților în categoria de entități cărora li s-a acordat drept de acces la date;

(e)impactul compensației asupra capacității utilizatorilor de date de a participa la sisteme de partajare a datelor financiare și de a accesa date de la deținători de date.

(2)Până la [a se introduce de către OP data = patru ani de la data intrării în vigoare a prezentului regulament], Comisia prezintă Parlamentului European și Consiliului un raport de evaluare a condițiilor de acces la date financiare aplicabile prestatorilor de servicii de informare financiară în temeiul prezentului regulament și al Directivei (UE) 2015/2366. Raportul este însoțit, dacă se consideră că este indicat, de o propunere legislativă.

Articolul 32
Modificare adusă Regulamentului (UE) nr. 1093/2010

La articolul 1 alineatul (2) din Regulamentul (UE) nr. 1093/2010, primul paragraf se înlocuiește cu următorul text:

„Autoritatea acționează în limitele competențelor care îi sunt conferite prin prezentul regulament și în limitele domeniului de aplicare al Directivei 2002/87/CE, al Directivei 2008/48/CE*, al Directivei 2009/110/CE, al Regulamentului (UE) nr. 575/2013**, al Directivei 2013/36/UE***, al Directivei 2014/49/UE****, al Directivei 2014/92/UE*****, al Directivei (UE) 2015/2366******, al Regulamentului (UE) 2023/1114 (*******), al Regulamentului (UE) 2024/…(********) ale Parlamentului European și ale Consiliului, precum și, în măsura în care aceste acte se aplică instituțiilor financiare și de credit și autorităților competente care le supraveghează, în limitele părților relevante ale Directivei 2002/65/CE, inclusiv ale tuturor directivelor, regulamentelor și deciziilor adoptate în baza acestor acte, precum și ale oricărui alt act juridic cu caracter obligatoriu al Uniunii care conferă atribuții Autorității. Autoritatea acționează, de asemenea, în conformitate cu Regulamentul (UE) nr. 1024/2013 al Consiliului*********.

*    Directiva 2008/48/CE a Parlamentului European și a Consiliului din 23 aprilie 2008 privind contractele de credit pentru consumatori și de abrogare a Directivei 87/102/CEE a Consiliului (JO L 133, 22.5.2008, p. 66).

**    Regulamentul (UE) nr. 575/2013 al Parlamentului European și al Consiliului din 26 iunie 2013 privind cerințele prudențiale pentru instituțiile de credit și de modificare a Regulamentului (UE) nr. 648/2012 (JO L 176, 27.6.2013, p. 1).

***    Directiva 2013/36/UE a Parlamentului European și a Consiliului din 26 iunie 2013 cu privire la accesul la activitatea instituțiilor de credit și supravegherea prudențială a instituțiilor de credit, de modificare a Directivei 2002/87/CE și de abrogare a Directivelor 2006/48/CE și 2006/49/CE (JO L 176, 27.6.2013, p. 338).

****    Directiva 2014/49/UE a Parlamentului European și a Consiliului din 16 aprilie 2014 privind schemele de garantare a depozitelor (JO L 173, 12.6.2014, p. 149).

*****    Directiva 2014/92/UE a Parlamentului European și a Consiliului din 23 iulie 2014 privind comparabilitatea comisioanelor aferente conturilor de plăți, schimbarea conturilor de plăți și accesul la conturile de plăți cu servicii de bază (JO L 257, 28.8.2014, p. 214).

******    Directiva (UE) 2015/2366 a Parlamentului European și a Consiliului din 25 noiembrie 2015 privind serviciile de plată în cadrul pieței interne, de modificare a Directivelor 2002/65/CE, 2009/110/CE și 2013/36/UE și a Regulamentului (UE) nr. 1093/2010, și de abrogare a Directivei 2007/64/CE (JO L 337, 23.12.2015, p. 35).

*******    Regulamentul (UE) 2023/1114 al Parlamentului European și al Consiliului din 31 mai 2023 privind piețele criptoactivelor și de modificare a Regulamentelor (UE) nr. 1093/2010 și (UE) nr. 1095/2010 și a Directivelor 2013/36/UE și (UE) 2019/1937 (JO L 150, 9.6.2023, p. 40).

******** Regulamentul (UE) 2024/… al Parlamentului European și al Consiliului din … privind un cadru pentru accesul la date financiare și de modificare a Regulamentelor (UE) nr. 1093/2010, (UE) nr. 1094/2010, (UE) nr. 1095/2010 și (UE) 2022/2554 și a Directivei (UE) 2019/1937 (JO L…, …, p.).

*********    Regulamentul (UE) nr. 1024/2013 al Consiliului din 15 octombrie 2013 de conferire a unor atribuții specifice Băncii Centrale Europene în ceea ce privește politicile legate de supravegherea prudențială a instituțiilor de credit (JO L 287, 29.10.2013, p. 63).”

Articolul 33
Modificare adusă Regulamentului (UE) nr. 1094/2010

La articolul 1 alineatul (2) din Regulamentul (UE) nr. 1094/2010, primul paragraf se înlocuiește cu următorul text:

* Regulamentul (UE) 2024/… al Parlamentului European și al Consiliului din … privind un cadru pentru accesul la date financiare și de modificare a Regulamentelor (UE) nr. 1093/2010, (UE) nr. 1094/2010, (UE) nr. 1095/2010 și (UE) 2022/2554 și a Directivei (UE) 2019/1937 (JO L…, …, p.).

** Directiva (UE) 2016/97 a Parlamentului European și a Consiliului din 20 ianuarie 2016 privind
distribuția de asigurări (JO L 26, 2.2.2016, p. 19).

*** Directiva (UE) 2016/2341 a Parlamentului European și a Consiliului din 14 decembrie 2016 privind
activitățile și supravegherea instituțiilor pentru furnizarea de pensii ocupaționale (IORP) (JO L 354,
23.12.2016, p. 37).”

Articolul 34
Modificare adusă Regulamentului (UE) nr. 1095/2010

La articolul 1 alineatul (2) din Regulamentul (UE) nr. 1095/2010, primul paragraf se înlocuiește cu următorul text:

„Autoritatea acționează în limitele competențelor care îi sunt conferite prin prezentul regulament și în limitele domeniului de aplicare al Directivelor 97/9/CE, 98/26/CE, 2001/34/CE, 2002/47/CE, 2004/109/CE, 2009/65/CE, al Directivei 2011/61/UE a Parlamentului European și a Consiliului*, al Regulamentului (CE) nr. 1060/2009, al Directivei 2014/65/UE a Parlamentului European și a Consiliului**, al Regulamentului (UE) 2017/1129 al Parlamentului European și al Consiliului***, al Regulamentului (UE) 2023/1114 al Parlamentului European și al Consiliului****, al Regulamentului (UE) 2024/… al Parlamentului European și al Consiliului*****, precum și, în măsura în care aceste acte se aplică societăților care furnizează servicii de investiții sau organismelor de plasament colectiv care le comercializează unitățile de fond sau acțiunile, emitenților sau ofertanților de criptoactive, persoanelor care solicită admiterea la tranzacționare sau furnizorilor de servicii de criptoactive, prestatorilor de servicii de informare financiară și autorităților competente care îi supraveghează, în limitele părților relevante ale Directivelor 2002/87/CE și 2002/65/CE, inclusiv ale tuturor directivelor, regulamentelor și deciziilor adoptate în baza acestor acte, precum și al oricărui alt act juridic cu caracter obligatoriu al Uniunii care conferă atribuții Autorității.

___________

*    Directiva 2011/61/UE a Parlamentului European și a Consiliului din 8 iunie 2011 privind administratorii fondurilor de investiții alternative și de modificare a Directivelor 2003/41/CE și 2009/65/CE și a Regulamentelor (CE) nr. 1060/2009 și (UE) nr. 1095/2010 (JO L 174, 1.7.2011, p. 1).

**    Directiva 2014/65/UE a Parlamentului European și a Consiliului din 15 mai 2014 privind piețele instrumentelor financiare și de modificare a Directivei 2002/92/CE și a Directivei 2011/61/UE (JO L 173, 12.6.2014, p. 349).

***    Regulamentul (UE) 2017/1129 al Parlamentului European și al Consiliului din 14 iunie 2017 privind prospectul care trebuie publicat în cazul unei oferte publice de valori mobiliare sau al admiterii de valori mobiliare la tranzacționare pe o piață reglementată, și de abrogare a Directivei 2003/71/CE (JO L 168, 30.6.2017, p. 12).

****    Regulamentul (UE) 2023/1114 al Parlamentului European și al Consiliului din 31 mai 2023 privind piețele criptoactivelor și de modificare a Regulamentelor (UE) nr. 1093/2010 și (UE) nr. 1095/2010 și a Directivelor 2013/36/UE și (UE) 2019/1937 (JO L 150, 9.6.2023, p. 40).

***** Regulamentul (UE) 2024/… al Parlamentului European și al Consiliului din … privind un cadru pentru accesul la date financiare și de modificare a Regulamentelor (UE) nr. 1093/2010, (UE) nr. 1094/2010, (UE) nr. 1095/2010 și (UE) 2022/2554 și a Directivei (UE) 2019/1937 (JO L…, …, p.).”

Articolul 35
Modificări aduse Regulamentului (UE) 2022/2554

La articolul 2 din Regulamentul (UE) 2022/2554, alineatul (1) se modifică după cum urmează:

1.La litera (u), semnul de punctuație „.” se înlocuiește cu „;”.

2.Se adaugă următorul punct (v):

„(v) prestatorii de servicii de informare financiară.”

Articolul 36
Intrare în vigoare și aplicare

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Prezentul regulament se aplică de la [a se introduce de către OP data = 24 de luni de la intrarea în vigoare a prezentului regulament]. Articolele 9-13 se aplică însă de la [a se introduce de către OP data = 18 luni de la intrarea în vigoare a prezentului regulament].

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles,

(1)    Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social European și Comitetul Regiunilor din 19 februarie 2020, intitulată „O strategie europeană privind datele”, COM(2020) 66 final.

(2)

   Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social European și Comitetul Regiunilor din 29 septembrie 2020, referitoare la Strategia UE privind finanțele digitale, COM(2020) 591 final.

(3)    Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social European și Comitetul Regiunilor din 25 noiembrie 2021 intitulată „Uniunea piețelor de capital – rezultate obținute la un an după adoptarea planului de acțiune”, COM(2021) 720 final.

(4)    Propunerea de regulament al Parlamentului European și al Consiliului privind norme armonizate pentru un acces echitabil la date și o utilizare corectă a acestora (Legea privind datele), COM(2022) 68 final.

(5)    Strategia privind investițiile de retail care a fost adoptată cuprinde Propunerea de directivă a Parlamentului European și a Consiliului de modificare a Directivelor 2009/65/CE, 2009/138/CE, 2011/61/UE, 2014/65/UE și (UE) 2016/97 în ceea ce privește normele Uniunii de protecție a investitorilor de retail și Propunerea de regulament al Parlamentului European și al Consiliului de modificare a Regulamentului (UE) nr. 1286/2014 în ceea ce privește modernizarea documentului cu informații esențiale. 

(6)    JO C , , p. .

(7)    Directiva (UE) 2015/2366 a Parlamentului European și a Consiliului din 25 noiembrie 2015 privind serviciile de plată în cadrul pieței interne, de modificare a Directivelor 2002/65/CE, 2009/110/CE și 2013/36/UE și a Regulamentului (UE) nr. 1093/2010, și de abrogare a Directivei 2007/64/CE (JO L 337, 23.12.2015, p. 35).

(8)    https://eur-lex.europa.eu/legal-content/RO/TXT/?qid=1593073685620&uri=CELEX%3A52020DC0066.

(9)    Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).

(10)    Directiva 2009/138/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009 privind accesul la activitate și desfășurarea activității de asigurare și de reasigurare (Solvabilitate II) (reformare) (JO L 335, 17.12.2009, p. 1).

(11)    Directiva (UE) 2015/2366 a Parlamentului European și a Consiliului din 25 noiembrie 2015 privind serviciile de plată în cadrul pieței interne, de modificare a Directivelor 2002/65/CE, 2009/110/CE și 2013/36/UE și a Regulamentului (UE) nr. 1093/2010, și de abrogare a Directivei 2007/64/CE (JO L 337, 23.12.2015, p. 35).

(12)    Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social European și Comitetul Regiunilor intitulată „Strategia pentru finanțarea tranziției către o economie durabilă”, COM(2021) 390 final.

(13)     Raportul final al ABE referitor la Ghidul privind inițierea și monitorizarea creditelor.pdf (europa.eu) , 29.5.2020.

(14)    Directiva (UE) 2019/882 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind cerințele de accesibilitate aplicabile produselor și serviciilor (JO L 151, 7.6.2019, p. 70).

(15)    COM(2021) 281 final, 2021/0136 (COD).

(16)    Regulamentul (UE) 2022/868 al Parlamentului European și al Consiliului din 30 mai 2022 privind guvernanța datelor la nivel european și de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanța datelor) (JO L 152, 3.6.2022, p. 1).

(17)    JO L 123, 12.5.2016, p. 1.

(18)    Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, p. 1).

(19)    Regulamentul (UE) … (JO …).

(20)    Directiva (UE) … (JO …).

(21)    Raportul Comisiei referitor la revizuirea Directivei (UE) 2015/2366 a Parlamentului European și a Consiliului privind serviciile de plată în cadrul pieței interne.

(22)    Regulamentul (UE) nr. 600/2014 al Parlamentului European și al Consiliului din 15 mai 2014 privind piețele instrumentelor financiare și de modificare a Regulamentului (UE) nr. 648/2012 (JO L 173, 12.6.2014, p. 84).

(23)    Directiva 2014/17/UE a Parlamentului European și a Consiliului din 4 februarie 2014 privind contractele de credit oferite consumatorilor pentru bunuri imobile rezidențiale și de modificare a Directivelor 2008/48/CE și 2013/36/UE și a Regulamentului (UE) nr. 1093/2010 (JO L 060, 28.2.2014, p. 34).

(24)    Regulamentul (UE) 2017/2402 al Parlamentului European și al Consiliului din 12 decembrie 2017 de stabilire a unui cadru general privind securitizarea și de creare a unui cadru specific pentru o securitizare simplă, transparentă și standardizată, și de modificare a Directivelor 2009/65/CE, 2009/138/CE și 2011/61/UE, precum și a Regulamentelor (CE) nr. 1060/2009 și (UE) nr. 648/2012 (JO L 347, 28.12.2017, p. 35).

(25)    Directiva 2009/103/CE a Parlamentului European și a Consiliului din 16 septembrie 2009 privind asigurarea de răspundere civilă auto și controlul obligației de asigurare a acestei răspunderi (JO L 263, 7.10.2009, p. 11).

(26)    Regulamentul (UE) 2019/1238 al Parlamentului European și al Consiliului din 20 iunie 2019 privind un produs paneuropean de pensii personale (PEPP) (JO L 198, 25.7.2019, p. 1).

(27)    Directiva (UE) 2018/843 a Parlamentului European și a Consiliului din 30 mai 2018 de modificare a Directivei (UE) 2015/849 privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanțării terorismului, precum și de modificare a Directivelor 2009/138/CE și 2013/36/UE (JO L 156, 19.6.2018, p. 43).

(28)    Regulamentul (UE) nr. 1093/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității europene de supraveghere (Autoritatea bancară europeană), de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/78/CE a Comisiei (JO L 331, 15.12.2010, p. 12).

(29)    Regulamentul (UE) nr. 1094/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității europene de supraveghere (Autoritatea europeană de asigurări și pensii ocupaționale), de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/79/CE a Comisiei (JO L 331, 15.12.2010, p. 48).

(30)    Regulamentul (UE) nr. 1095/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității Europene de Supraveghere (Autoritatea Europeană pentru Valori Mobiliare și Piețe), de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/77/CE a Comisiei (JO L 331, 15.12.2010, p. 84).

(31)    Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).

(32)    Directiva 2014/65/UE a Parlamentului European și a Consiliului din 15 mai 2014 privind piețele instrumentelor financiare și de modificare a Directivei 2002/92/CE și a Directivei 2011/61/UE (reformare) (JO L 173, 12.6.2014, p. 349).

(33)    Directiva (UE) 2016/2341 a Parlamentului European și a Consiliului din 14 decembrie 2016 privind activitățile și supravegherea instituțiilor pentru furnizarea de pensii ocupaționale (IORP) (reformare) (JO L 354, 23.12.2016, p. 37).

(34)    Directiva (UE) 2016/97 a Parlamentului European și a Consiliului din 20 ianuarie 2016 privind distribuția de asigurări (reformare) (JO L 26, 2.2.2016, p. 19).

(35)    Directiva 2009/110/CE a Parlamentului European și a Consiliului din 16 septembrie 2009 privind accesul la activitate, desfășurarea și supravegherea prudențială a activității instituțiilor emitente de monedă electronică, de modificare a Directivelor 2005/60/CE și 2006/48/CE și de abrogare a Directivei 2000/46/CE (JO L 267, 10.10.2009, p. 7).

(36)    Regulamentul (UE) nr. 575/2013 al Parlamentului European și al Consiliului din 26 iunie 2013 privind cerințele prudențiale pentru instituțiile de credit și firmele de investiții și de modificare a Regulamentului (UE) nr. 648/2012 (JO L 176. 27.6.2013, p. 1).

(37)    Regulamentul (UE) 2023/1114 al Parlamentului European și al Consiliului din 31 mai 2023 privind piețele criptoactivelor și de modificare a Regulamentelor (UE) nr. 1093/2010 și (UE) nr. 1095/2010 și a Directivelor 2013/36/UE și (UE) 2019/1937 (JO L 150, 9.6.2023, p. 40).

(38)    Directiva 2011/61/UE a Parlamentului European și a Consiliului din 8 iunie 2011 privind administratorii fondurilor de investiții alternative și de modificare a Directivelor 2003/41/CE și 2009/65/CE și a Regulamentelor (CE) nr. 1060/2009 și (UE) nr. 1095/2010 (JO L 174, 1.7.2011, p. 1).

(39)    Directiva 2009/65/CE a Parlamentului European și a Consiliului din 13 iulie 2009 de coordonare a actelor cu putere de lege și a actelor administrative privind organismele de plasament colectiv în valori mobiliare (OPCVM) (reformare) (JO L 302, 17.11.2009, p. 32).

(40)    Directiva (UE) 2016/97 a Parlamentului European și a Consiliului din 20 ianuarie 2016 privind distribuția de asigurări (reformare) (JO L 26, 2.2.2016, p. 19).

(41)    Regulamentul (CE) nr. 1060/2009 al Parlamentului European și al Consiliului din 16 septembrie 2009 privind agențiile de rating de credit (JO L 302, 17.11.2009, p. 1).

(42)    Recomandarea Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii [C(2003) 1422], JO L 124, 20.5.2003, p. 36.

(43)    Directiva 2013/11/UE a Parlamentului European și a Consiliului din 21 mai 2013 privind soluționarea alternativă a litigiilor în materie de consum și de modificare a Regulamentului (CE) nr. 2006/2004 și a Directivei 2009/22/CE (Directiva privind SAL în materie de consum) (JO L 165, 18.6.2013, p. 63).

(44)    Regulamentul delegat (UE) 2016/1675 al Comisiei din 14 iulie 2016 de completare a Directivei (UE) 2015/849 a Parlamentului European și a Consiliului prin identificarea țărilor terțe cu un grad ridicat de risc care au deficiențe strategice.

(45)    Directiva 2013/34/UE a Parlamentului European și a Consiliului din 26 iunie 2013 privind situațiile financiare anuale, situațiile financiare consolidate și rapoartele conexe ale anumitor tipuri de întreprinderi, de modificare a Directivei 2006/43/CE a Parlamentului European și a Consiliului și de abrogare a Directivelor 78/660/CEE și 83/349/CEE ale Consiliului (JO L 182, 29.6.2013, p. 19).