28.9.2011   

RO

Jurnalul Oficial al Uniunii Europene

C 284/1

1.

La 16 decembrie 2010, Comisia a adoptat o propunere de regulament al Parlamentului European și al Consiliului de stabilire a cerințelor tehnice aplicabile transferurilor de credit și debitelor directe în euro și de modificare a Regulamentului (CE) nr. 924/2009 (denumită în continuare „propunerea”).

2.

Propunerea a fost trimisă de către Comisie la AEPD la 3 ianuarie 2011. AEPD înțelege această comunicare ca o cerere de emitere a unor recomandări către instituțiile și organismele comunitare, astfel cum se prevede în articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date [denumit în continuare „Regulamentul (CE) nr. 45/2001”]. Anterior (3), înainte de adoptarea propunerii, Comisia a oferit Autorității Europene pentru Protecția Datelor posibilitatea de a prezenta observații informale. AEPD salută caracterul deschis al procesului, care a contribuit la îmbunătățirea textului din perspectiva protecției datelor, într-o etapă incipientă. Unele dintre aceste observații au fost luate în considerare în cadrul propunerii. AEPD ar aprecia o referire explicită la actuala consultare în preambulul propunerii.

3.

De la instituirea Comunității Economice Europene, a existat o evoluție progresivă către o piață financiară europeană mai integrată. În domeniul plăților, cele mai evidente măsuri au fost lansarea euro ca monedă unică în 1999 și punerea în circulație a bancnotelor și monedelor euro în 2002.

4.

Totuși, până în prezent, plățile în euro de valoare scăzută care nu sunt efectuate în numerar (până la 50 000 EUR) sunt încă gestionate și prelucrate în numeroase moduri diferite în UE. Ca urmare, comisioanele pentru efectuarea plăților transfrontaliere în interiorul UE sunt, în medie, mai ridicate comparativ cu cele pentru plățile interne. Un regulament european privind plățile transfrontaliere în euro [Regulamentul (CE) nr. 2560/2001] stipula că, printre altele, comisioanele pentru plăți nu puteau fi mai mari pentru plățile transfrontaliere în euro în UE decât pentru plățile corespondente interne în euro. În 2002, ca reacție la acest regulament, industria bancară europeană a creat Consiliul European de Plăți (European Payments Council, EPC), care a constituit organismul de coordonare și decizie pentru aspecte legate de plăți și a lansat proiectul privind spațiul unic de plăți în euro (Single Euro Payments Area, SEPA). În 2009, Regulamentul (CE) nr. 924/2009 a înlocuit Regulamentul (CE) nr. 2560/2001 și a extins principiul egalității tarifelor la plățile prin debit direct, care au putut fi efectuate la nivel transfrontalier începând din noiembrie 2009.

5.

În plus, Directiva 2007/64/CE („Directiva privind serviciile de plată”) are ca scop armonizarea legislațiilor naționale privind plățile în Uniunea Europeană. Obiectivul este de a stabili condiții și drepturi standardizate pentru serviciile de plată și de a efectua plăți transfrontaliere cu aceeași ușurință, eficiență și securitate ca plățile „naționale” în cadrul unui stat membru. Directiva privind serviciile de plată are, de asemenea, ca obiectiv îmbunătățirea concurenței prin deschiderea piețelor de plăți pentru noii participanți.

6.

SEPA are ca scop crearea unei piețe unice pentru plățile cu amănuntul în euro prin depășirea barierelor tehnice, juridice și din cadrul pieței generate de perioada anterioară introducerii monedei unice. Odată cu finalizarea SEPA, nu vor mai exista diferențe între plățile naționale și transfrontaliere în euro: toate plățile vor fi interne. SEPA cuprinde nu doar zona euro, ci întreaga Uniune Europeană, precum și Islanda, Liechtenstein, Monaco, Norvegia și Elveția. Aceasta înseamnă că și comunitățile din afara zonei euro pot adopta standardele și practicile SEPA pentru plățile lor în euro.

7.

Propunerea se aplică transferurilor de credit și debitelor directe. Transferul de credit este o plată inițiată de către plătitor, care trimite un ordin de plată băncii sale. În consecință, banca transferă fondurile către banca beneficiarului. Aceasta se poate realiza prin mai mulți intermediari. În cazul debitelor directe, plătitorul autorizează în prealabil beneficiarul să colecteze fonduri din contul său bancar. Prin urmare, plătitorul oferă băncii sale un „mandat” pentru transferul de fonduri către contul beneficiarului. Debitele directe sunt de multe ori utilizate pentru plăți recurente, precum facturi de utilități, dar pot fi utilizate și pentru plăți unice. În acest caz, plătitorul autorizează o plată individuală.

8.

Introducerea și dezvoltarea SEPA implică mai multe operațiuni de prelucrare a datelor: numele, numerele de conturi bancare, conținutul contractelor trebuie să fie comunicate direct între plătitori și beneficiari și indirect, prin intermediul furnizorilor respectivi de servicii de plăți, pentru a garanta funcționarea fără probleme a transferurilor. În acest scop, propunerea include și un articol privind „interoperabilitatea”, care susține crearea unor norme standard pentru tranzacțiile naționale și transfrontaliere și stipulează clar că niciun fel de obstacole de ordin tehnic nu ar trebui să împiedice prelucrarea transferurilor de credit și a debitelor directe. Diferiții operatori economici implicați în activitățile vizate de propunere fac obiectul unor legi naționale diferite de punere în aplicare a Directivei 95/46/CE.

9.

AEPD subliniază că schimbul și prelucrarea datelor cu caracter personal aferente plătitorilor și beneficiarilor și cu diferiții prestatori de servicii de plată trebuie să respecte principiul necesității, al proporționalității și al limitării la un scop precis. Transmiterea de date prin diferiți intermediari trebuie, de asemenea, să respecte principiul confidențialității și al securității prelucrării, în conformitate cu articolele 16 și 17 din Directiva 95/46/CE.

10.

Propunerea introduce, de asemenea, un nou rol pentru autoritățile naționale competente, și anume monitorizarea conformității cu regulamentul și luarea tuturor măsurilor necesare pentru a asigura această conformitate. Deși acest rol este fundamental pentru garantarea punerii în aplicare cu eficacitate a SEPA, ar putea implica și competențe extinse pentru prelucrarea în continuare a datelor cu caracter personal de către autorități. Și în acest domeniu, accesul autorităților naționale competente la datele cu caracter personal trebuie să respecte principiul necesității, al proporționalității și al limitării la un scop precis.

11.

Deși propunerea nu ar trebui să introducă dispoziții prea detaliate cu privire la respectarea principiilor protecției datelor, care este garantată de aplicabilitatea la oricare dintre operațiunile de prelucrare a legilor naționale de punere în aplicare a Directivei 95/46/CE, AEPD propune unele îmbunătățiri ale textului, în scopul clarificării.

12.

AEPD salută menționarea Directivei 95/46/CE în considerentul 26 al propunerii. Totuși, pentru a reflecta faptul că diferitele legi naționale de punere în aplicare a acestei directive reprezintă reperele adecvate și că orice operațiune de prelucrare de date trebuie să fie efectuată în conformitate cu normele de punere în aplicare, textul considerentului ar putea fi modificat după cum urmează: „Orice prelucrare de date cu caracter personal efectuată în conformitate cu prezentul regulament ar trebui să fie conformă cu legile naționale relevante de punere în aplicare a Directivei 95/46/CE”.

13.

Articolul 6 din propunere prevede interzicerea introducerii de comisioane interbancare multilaterale (4) la fiecare tranzacție cu debit direct sau alte tipuri de remunerări cu scop sau efect echivalent. În plus, pentru tranzacțiile cu debit direct care nu pot fi efectuate în mod adecvat prin intermediul unui prestator de servicii de plată (operațiuni respinse, refuzate, returnate sau inversate, așa-numitele „tranzacții R”), poate fi aplicat un comision interbancar multilateral dacă sunt respectate mai multe condiții.

14.

Articolul 8 din propunere introduce obligații pentru plătitorul care utilizează transferul de credit și beneficiarul care utilizează debite directe. Un plătitor nu poate refuza efectuarea unui transfer de credit către conturi de plată prin prestatori de servicii de plată stabiliți în alt stat membru și care sunt accesibili (5) în conformitate cu cerința de la articolul 3. Un beneficiar care primește fonduri în contul său de plată din alte conturi prin prestatori de servicii de plată stabiliți în același stat membru nu poate refuza primirea de debite directe din conturi de plată prin prestatori de servicii de plată stabiliți într-un alt stat membru.

15.

Articolul 9 din propunere solicită statelor membre să desemneze autoritățile competente responsabile pentru asigurarea conformității cu regulamentul. Aceste autorități au toate atribuțiile necesare pentru îndeplinirea sarcinilor, monitorizează conformitatea și iau toate măsurile necesare pentru asigurarea conformității. În plus, articolul 9 alineatul (3) prevede că, atunci când mai mult de o autoritate este competentă pentru aspecte prevăzute în regulament pe teritoriul său, statele membre ar trebui să asigure că aceste autorități cooperează strâns pentru a-și îndeplini cu eficacitate sarcinile. Articolul 10 introduce obligația statelor membre de a stabili norme privind penalitățile aplicabile încălcării regulamentului și de asigura punerea în aplicare a acestora. Penalitățile sunt eficace, proporționale și disuasive.

16.

Pe baza acestor articole, autoritățile naționale vor avea atribuția de a monitoriza posibilele încălcări ale tuturor obligațiilor incluse în propunere și de a aplica penalități, inclusiv penalități aferente obligațiilor de la articolele 6 și 8. Această competență poate avea un impact la scară largă asupra vieții private a persoanelor din perspectiva protecției datelor: autoritățile ar putea avea acces general la informații cu privire la orice transfer de fonduri (prin transfer de credit sau prin debit direct) între persoane, pentru a verifica dacă se percep ilegal comisioane interbancare multilaterale sau dacă există un refuz, contrar obligațiilor de la articolele 6 și 8. Această competență implică prelucrarea de date cu caracter personal (numele persoanelor fizice implicate, numerele conturilor bancare ale acestora și sumele reprezentând fondurile care urmează a fi primite sau transferate).

17.

Deși orice prelucrare de date cu caracter personal ar trebui să fie conformă cu normele naționale de punere în aplicare a Directivei 95/46/CE, AEPD dorește să sublinieze că obligația de monitorizare ar trebui deja evaluată în cadrul propunerii din perspectiva principiului proporționalității și principiului necesității consacrate în Directiva 95/46/CE [articolul 6 alineatul (1) litera (c)]. În acest sens, atunci când se iau în considerare în special articolele 6 și 8, în opinia AEPD ar fi mult mai proporțională introducerea unui sistem prin care prelucrarea de către autoritățile competente a datelor cu caracter personal are loc doar de la caz la caz. Aceasta ar însemna că intervenția autorității – și, prin urmare, prelucrarea datelor cu caracter personal ale unui anumit plătitor și/sau ale unui anumit beneficiar – s-ar produce în principal atunci când există un motiv specific, precum în cazul în care un plătitor sau un beneficiar depune o plângere privind încălcarea articolelor 6 sau 8 sau în contextul unei anchete specifice din proprie inițiativă pe baza informațiilor furnizate de un terț.

18.

Eficacitatea controlului conformității ar fi garantată prin introducerea unui mecanism care permite unui reclamant să depună plângerea sau unui terț să prezinte informații și să obțină cu rapiditate o reacție din partea autorității, posibil un ordin către cealaltă parte privind respectarea obligațiilor prevăzute la articolele 6 și 8. În realitate, propunerea introduce deja în articolul 11 norme privind procedurile extrajudiciare de reclamație și recurs pentru soluționarea litigiilor între utilizatorii unui serviciu de plată și prestatorii lor de servicii de plată (care vizează cazul de la articolul 6). Pentru a încuraja conformitatea cu obligațiile de la articolul 8 fără a introduce accesul larg generalizat al autorităților naționale la datele cu caracter personal, AEPD propune ca dispoziția de la articolul 11 să se aplice și litigiilor dintre plătitori și beneficiari.

19.

AEPD remarcă, de asemenea, că activitățile de monitorizare pot implica transferuri de date cu caracter personal între autoritățile naționale competente ale diferitelor state membre în contextul „cooperării strânse” menționate în articolul 9 alineatul (3). Având în vedere competențele largi atribuite autorităților naționale în scopul monitorizării conformității cu regulamentul (și chiar în cazul în care ar fi introduse limitările legate de articolele 6 și 8 propuse mai sus), AEPD propune ca textul să menționeze în mod explicit că orice transfer de date cu caracter personal între acestea trebuie să respecte principiile relevante privind protecția datelor. În special, aceste transferuri nu ar trebui efectuate în vrac, ci doar în legătură cu cazuri specifice, unde există deja o suspiciune prima facie privind o posibilă încălcare a regulamentului. Prin urmare, următoarea teză ar putea fi adăugată la articolul 9 alineatul (3): „Transferurile de date cu caracter personal între autoritățile competente în contextul acestei cooperări strânse au loc exclusiv de la caz la caz atunci când există o suspiciune rezonabilă privind o încălcare a regulamentului și cu respectarea principiului necesității, al proporționalității și al limitării la un scop precis”.

20.

Anexa la propunere stabilește cerințele tehnice care trebuie respectate în cazul transferurilor de credit și debitelor directe în conformitate cu articolul 5 din propunere. Scopul introducerii acestor cerințe este armonizarea identificării și formatelor de comunicare pentru a garanta interoperabilitatea operațiunilor de transfer de credit și de debit direct între statele membre.

21.

În acest context, prelucrarea datelor cu caracter personal de către intermediari (prestatorii de servicii de plată) are loc în diferite ocazii (6):

22.

Deși orice prelucrare de date cu caracter personal trebuie să respecte legile naționale relevante care pun în aplicare Directiva 95/46/CE, proiectul de propunere menționează doar că transferurile în legătură cu situația (a) de mai sus se efectuează „în conformitate cu obligațiile stabilite de legislația națională de implementare a Directivei 95/46/CE”. Pentru a evita orice interpretare eronată, AEPD sugerează că această referire la directivă ar trebui să fie inclusă și în legătură cu articolul 3 literele (b) și (g). În mod alternativ, în cazul în care textul considerentului 26 este modificat în conformitate cu propunerile indicate mai sus, formularea articolului 2 litera (b) ar putea exclude menționarea Directivei 95/46/CE.

23.

AEPD salută menționarea specifică în propunere a Directivei 95/46/CE. Totuși, acesta propune unele modificări minore în cadrul textului, pentru clarificarea aplicabilității principiilor privind protecția datelor la operațiunile de prelucrare care fac obiectul propunerii, în special: