g-docweb-display Portlet

Parere sullo schema di decreto del Ministro dell’economia e delle finanze recante “Norme in materia di registro dei soggetti convenzionati ed agenti prestatori di servizi di pagamento e gli istituti emittenti moneta elettronica in attuazione dell’articolo 45, comma 3, del decreto legislativo 21 novembre 2007, n. 231” - 24 febbraio 2022 [9751958]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9751958]

Parere sullo schema di decreto del Ministro dell’economia e delle finanze recante “Norme in materia di registro dei soggetti convenzionati ed agenti prestatori di servizi di pagamento e gli istituti emittenti moneta elettronica in attuazione dell’articolo 45, comma 3, del decreto legislativo 21 novembre 2007, n. 231” - 24 febbraio 2022

Registro dei provvedimenti
n. 77 del 24 febbraio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTA la richiesta di parere del Ministero dell’economia e delle finanze pervenuta con nota del 25 gennaio 2022, con la quale è stato sottoposto al Garante lo schema di decreto recante “norme in materia di registro dei soggetti convenzionati ed agenti prestatori di servizi di pagamento e gli istituti emittenti moneta elettronica in attuazione dell’articolo 45, comma 3, del decreto legislativo 21 novembre 2007, n. 231”;

VISTO il decreto legislativo del 27 gennaio 2010, n. 11, recante “Attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE, e che abroga la direttiva 97/5/CE” e, in particolare, l’art. 1, comma 1, lett. g) che definisce “prestatore di servizi di pagamento” “uno dei seguenti organismi: istituti di moneta elettronica e istituti di pagamento nonché, quando prestano servizi di pagamento, banche, Poste Italiane s.p.a., la Banca centrale europea e le banche centrali nazionali se non agiscono in veste di autorità monetarie, altre autorità pubbliche, le pubbliche amministrazioni statali, regionali e locali se non agiscono in veste di autorità pubbliche”;

VISTO il decreto legislativo 1° settembre 1993, n. 385, recante il “Testo unico delle leggi in materia bancaria e creditizia”, ai sensi del quale:

- “È agente in attività finanziaria il soggetto che promuove e conclude contratti relativi alla concessione di finanziamenti sotto qualsiasi forma o alla prestazione di servizi di pagamento, su mandato diretto di intermediari finanziari previsti dal titolo V, istituti di pagamento, istituti di moneta elettronica, banche o Poste Italiane […]” (articolo 128-quater, comma 1);

- “[…] i prestatori di servizi di pagamento e gli istituti di moneta elettronica, aventi sede legale e amministrazione centrale in altro stato comunitario, comunicano tempestivamente all'Organismo previsto dall'articolo 128-undecies, per l'iscrizione in apposita sezione del registro di cui all'articolo 45 del decreto legislativo 21 novembre 2007, n. 231, gli estremi identificativi del punto di contatto di cui all'articolo 1, comma 2, lettera ii), del decreto legislativo 21 novembre 2007, n. 231, e successive modificazioni, per il tramite del quale operano sul territorio nazionale. Il punto di contatto è tenuto a comunicare all'Organismo l'avvio della propria operatività e ogni variazione ad essa attinente […]”(art. 128-quater, comma 7-bis);

- “È istituito un Organismo, avente personalità giuridica di diritto privato, con autonomia organizzativa, statutaria e finanziaria competente per la gestione degli elenchi degli agenti in attività finanziaria e dei mediatori creditizi l'Organismo per la gestione degli elenchi degli agenti in attività finanziaria e dei mediatori creditizi […]” (art. 128-undecies, comma 1);

- “L'Organismo provvede all'iscrizione negli elenchi di cui all'articolo 128-quater, comma 2, e all'articolo 128-sexies, comma 2, previa verifica dei requisiti previsti, e svolge ogni altra attività necessaria per la loro gestione […]” (art. 128-undecies, comma 3);

VISTO il decreto legislativo 21 novembre 2007, n. 231 recante “Attuazione della direttiva 2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo nonché della direttiva 2006/70/CE che ne reca misure di esecuzione” e, in particolare, l’art. 1, comma 2, lett. nn) che definisce “soggetti convenzionati e agenti” gli “operatori convenzionati ovvero gli agenti, comunque denominati, diversi dagli agenti in attività finanziaria iscritti nell'elenco di cui all' articolo 128-quater, commi 2 e 6, TUB, di cui i prestatori di servizi di pagamento e gli istituti emittenti moneta elettronica, ivi compresi quelli aventi sede legale e amministrazione centrale in altro Stato membro, si avvalgono per l'esercizio della propria attività sul territorio della Repubblica italiana”;

VISTO, in particolare, l’art. 45 del citato decreto legislativo 21 novembre 2007, n. 231, che istituisce un registro pubblico informatizzato (di seguito, registro) presso l’Organismo degli agenti in attività finanziaria e dei mediatori creditizi (di seguito, OAM), con riguardo ai soggetti convenzionati e agli agenti di prestatori di servizi di pagamento e istituti emittenti moneta elettronica, prevedendo, in particolare, che:

- “I prestatori di servizi di pagamento e gli istituti di moneta elettronica e le rispettive succursali, direttamente ovvero […] per il tramite del punto di contatto centrale, comunicano all'OAM, con cadenza semestrale, per l'annotazione in apposito registro pubblico informatizzato […], i seguenti dati relativi ai soggetti convenzionati e agli agenti di cui all'articolo 1, comma 2, lettera nn):

a) il nome, il cognome ovvero la denominazione sociale, completa dell'indicazione del nominativo del responsabile legale e del preposto, del soggetto convenzionato ovvero dell'agente e, ove assegnato, il codice fiscale;

b) l'indirizzo ovvero la sede legale e, ove diversa, la sede operativa del soggetto convenzionato ovvero dell'agente, con indicazione della città e del relativo codice di avviamento postale;

c) l'espressa indicazione della prestazione di servizi di rimessa di denaro, per come definiti dall'articolo 1, comma 1, lettera n), del decreto legislativo 27 gennaio 2010, n. 11, ove erogata dal soggetto convenzionato ovvero dall'agente” (comma 1);

- “[…] i prestatori di servizi di pagamento e gli istituti di moneta elettronica e le rispettive succursali direttamente ovvero […] per il tramite del punto di contatto centrale, comunicano all'OAM, per l'annotazione in apposita sottosezione, ad accesso riservato, del registro di cui al comma 1 l'intervenuta cessazione del rapporto di convenzionamento o del mandato, per motivi non commerciali, entro trenta giorni dall'estinzione del rapporto. L'accesso alla sottosezione è consentito, senza restrizioni, alla Guardia di Finanza, alla Banca d'Italia e alla UIF, per l'esercizio delle rispettive competenze in materia di vigilanza e di prevenzione e contrasto del riciclaggio e del finanziamento del terrorismo nonché ai prestatori di servizi di pagamento e agli istituti di moneta elettronica, alle succursali e ai punti di contatto centrale, a salvaguardia della correttezza e della legalità dei comportamenti degli operatori del mercato” (comma 2);

- “Le modalità tecniche di alimentazione e consultazione del registro di cui al presente articolo sono stabilite con decreto del Ministro dell'economia e delle finanze, in modo che siano garantiti:

a) l'accessibilità completa e tempestiva ai dati da parte delle autorità di cui al comma 2;

b) le modalità di consultazione della sottosezione da parte dei prestatori di servizi di pagamento e gli istituti di moneta elettronica, delle succursali e dei punti di contatto centrale, per le finalità di cui al comma 2;

c) la tempestiva annotazione dei dati comunicati dai soggetti di cui al comma 1 e dei relativi aggiornamenti;

d) l'attribuzione di un identificativo unico a ciascuno dei soggetti convenzionati o degli agenti annotati nel registro;

e) l'interfaccia tra la sottosezione ad accesso riservato del registro di cui al comma 2 e gli altri elenchi o registri tenuti dall'OAM […];

f) il rispetto delle norme dettate dal codice in materia di protezione dei dati personali nonché il trattamento dei medesimi esclusivamente per le finalità di cui al presente decreto;

g) l'entità ovvero i criteri di determinazione del contributo, dovuto dai soggetti tenuti alle comunicazioni di cui al presente articolo, a copertura integrale dei costi di istituzione, sviluppo e gestione del registro” (comma 3);

RILEVATO che il suddetto schema di decreto stabilisce le modalità tecniche di alimentazione e consultazione del registro e della relativa sottosezione ad accesso riservato, individuando la titolarità del trattamento dei dati in capo all’OAM (art. 2) e prevedendo, in particolare, che:

- i prestatori di servizi di pagamento, gli istituti di moneta elettronica e le rispettive succursali devono comunicare all’OAM, con cadenza semestrale, ai fini dell’iscrizione nella sezione del registro ad accesso pubblico, i propri dati e quelli del soggetto convenzionato o dell’agente, nonché i dati del soggetto preposto a ciascuna sede operativa (art. 3, commi 1 e 2); gli stessi soggetti devono, inoltre, comunicare all’OAM la cessazione del rapporto di convenzionamento o del mandato, ai fini dell’annotazione nell’apposita sottosezione ad accesso riservato del registro (art. 4, comma 1);

- la comunicazione è effettuata telematicamente, utilizzando il servizio presente nell’area privata dedicata del portale dell’OAM, previa registrazione secondo le modalità tecniche stabilite dall’OAM con propri atti attuativi (art. 3, comma 4);

- l’OAM deve garantire la completa e tempestiva accessibilità alla sottosezione del registro ad accesso riservato alla Guardia di Finanza, alla Banca d’Italia e all’Unità di informazione finanziaria per l’Italia, nonché ai prestatori di servizi di pagamento e agli istituti di moneta elettronica, alle succursali e ai punti di contatto centrale (art. 4, comma 6);

- gli atti attuativi devono essere adottati dall’OAM sentito il Garante e recano le specifiche tecniche delle procedure di registrazione e di accreditamento ai fini delle comunicazioni sopra richiamate, nonché quelle relative alle procedure di consultazione dei dati annotati nelle sezioni e nelle sottosezioni del registro. Tali atti devono, in particolare, assicurare la continuità dei servizi (inclusa l’interfaccia tra la sottosezione e gli altri elenchi o registri tenuti dall’OAM), la pronta accessibilità del registro, l’accesso alla sottosezione in connessione protetta, previa autenticazione e autorizzazione dei soggetti legittimati, nonché le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, a protezione dei dati personali contenuti nel registro e nella relativa sottosezione, ivi inclusi i tempi massimi di conservazione, ai sensi dell’art. 32 del Regolamento (art. 7, commi 1 e 2);

CONSIDERATO che lo schema in esame tiene conto di quanto già disciplinato in analoghi decreti ministeriali attuativi della normativa in materia di antiriciclaggio, sui quali il Garante si è espresso favorevolmente con il provvedimento n. 425 del 25 settembre 2014 (doc. web n. 3487879) e con il provvedimento n. 211 del 12 aprile 2018 (doc. web n. 8576294), e che lo schema di decreto in esame non presenta criticità in ordine ai profili di protezione dei dati personali;

RITENUTO, pertanto, di esprimere parere favorevole sullo schema di decreto in esame, considerato che gli atti attuativi del medesimo, di competenza dell’OAM, saranno sottoposti alla consultazione del Garante in ordine al rispetto della disciplina in materia di protezione dei dati personali;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

TUTTO CIO’ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministro dell’economia e delle finanze recante “Norme in materia di registro dei soggetti convenzionati ed agenti prestatori di servizi di pagamento e gli istituti emittenti moneta elettronica in attuazione dell’articolo 45, comma 3, del decreto legislativo 21 novembre 2007, n. 231”.

Roma, 24 febbraio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei