[doc. web n. 9894521]

Parere sullo schema di “Specifiche tecniche delle procedure di registrazione, accreditamento e consultazione” riferite al “Registro dei soggetti convenzionati ed agenti di prestatori di servizi di pagamento ed istituti emittenti moneta elettronica”, da adottare ai sensi dell’art. 7 del decreto del Ministro dell’economia e delle finanze del 31 maggio 2022 - 13 aprile 2023

Registro dei provvedimenti
n. 141 del 13 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

Con nota inviata in data 25 ottobre 2022, come integrata in data 31 marzo 2023, l’Organismo agenti e mediatori (di seguito, OAM) ha trasmesso al Garante, ai fini dell’acquisizione del parere di competenza, le “Specifiche tecniche delle procedure di registrazione, accreditamento e consultazione” riferite al “Registro dei soggetti convenzionati ed agenti di prestatori di servizi di pagamento ed istituti emittenti moneta elettronica”, ai sensi dell’art. 7 del decreto del Ministro dell’economia e delle finanze del 31 maggio 2022, recante “Norme in materia di registro dei soggetti convenzionati ed agenti di prestazioni di servizi a pagamento e istituti emittenti moneta elettronica” (di seguito, d.m.).

Il d.lgs. 21 novembre 2007, n. 231, all’art. 45 (recante “Registro dei soggetti convenzionati ed agenti di prestatori di servizi di pagamento e istituti emittenti moneta elettronica”), disciplina la comunicazione all’OAM, da parte dei prestatori di servizi di pagamento (di seguito, PSP) e degli istituti di moneta elettronica (di seguito, IMEL) e delle rispettive succursali (direttamente ovvero, limitatamente a quelli aventi sede legale e amministrazione centrale in altro Stato membro, per il tramite del punto di contatto centrale – di seguito, PDC), con  cadenza  semestrale, di una serie di dati relativi ai soggetti convenzionati e agli agenti di cui si avvalgono per l'esercizio della propria attività, ai fini dell'annotazione in apposito registro pubblico informatizzato, all'uopo istituito presso il  medesimo Organismo. In particolare, il comma 3 del predetto art. 45 rinvia a un decreto del Ministro dell’economia e delle finanze la definizione delle modalità tecniche di alimentazione e consultazione del richiamato registro.

3. In attuazione di quanto previsto dalla citata disposizione legislativa, è stato adottato il summenzionato d.m. – su cui il Garante ha espresso il proprio parere con provv. n. 77 del 24 febbraio 2022 (disponibile sul sito istituzionale www.garanteprivacy.it, doc. web n. 9751958) – il quale, in particolare, all’art. 7 prevede che:

- “Le specifiche tecniche delle procedure di registrazione e di accreditamento ai fini delle comunicazioni di cui al presente decreto nonché le specifiche tecniche delle procedure relative alla consultazione dei dati annotati nel registro, ivi comprese le relative sezioni e sottosezioni, sono individuate in appositi atti attuativi dell'OAM in modo che siano garantiti livelli di servizio idonei a: a) assicurare lo sviluppo e la manutenzione di piattaforme hardware e software necessarie ad assicurare la continuità dei servizi di registrazione e accreditamento, e di interfaccia tra la sottosezione ad accesso riservato e gli altri elenchi o registri tenuti dall'OAM; b) assicurare la pronta accessibilità del registro ad accesso pubblico e della relativa sezione di cui all'art. 5 da parte degli utenti nonché la pronta accessibilità senza restrizioni della sottosezione ad accesso riservato da parte della Guardia di  finanza, della Banca d'Italia e dell'Unità di informazione finanziaria per l'esercizio delle rispettive competenze in materia di vigilanza e di prevenzione e contrasto del riciclaggio e del finanziamento del terrorismo e da parte dei prestatori di servizi di pagamento e degli istituti di moneta elettronica, delle loro succursali e dei punti di contatto centrale, per le finalità di tutela della correttezza e della legalità dei comportamenti degli operatori del mercato; c) garantire che l'accesso alla sottosezione ad accesso riservato avvenga su connessione protetta previa procedura di autenticazione e autorizzazione dei soggetti legittimati; d) mettere a disposizione dei prestatori di servizi di  pagamento e degli istituti di moneta elettronica, delle loro succursali e dei punti di contatto centrale  i  siano  preventivamente  accreditati, servizi accessibili e continuativi di informazione in ordine alla regolarità dei pagamenti dei contributi dovuti ai sensi dell'art. 5 del presente decreto; ;e) definire misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, a protezione dei dati personali contenuti nel registro e nella relativa sezione e sottosezione, ivi compresi i tempi massimi di conservazione dei dati personali trattati, ai sensi  dell'art. 32 del regolamento UE n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 e della vigente normativa nazionale in materia di protezione dei dati personali” (comma 1);

- “L'OAM adotta gli atti attuativi di cui al comma 1 […], in ogni caso, prima del trattamento dei dati, sentito il Garante per la protezione dei dati personali […]” (comma 2).

Lo schema in esame, pertanto, dopo aver preliminarmente descritto, tra le altre cose, le modalità di comunicazione tra l’OAM – per il mezzo del portale messo a disposizione dal medesimo organismo – e gli utenti (operatori di “PSP/IMEL italiani, Succursali di PSP/IMEL comunitari e PdC italiani di PSP/IMEL comunitari”), e quelle di autenticazione informatica (par. 3.1), definisce, in primo luogo, la procedura di registrazione, specificando, in particolare, le tipologie di dati e di documenti forniti dagli utenti in questa fase (par. 3.2).

Per quanto concerne la fase di accreditamento dei PSP/IMEL italiani e delle succursali di PSP/IMEL comunitari, lo schema prevede che le funzionalità del portale OAM prospettino alcuni campi precompilati con dati acquisiti dagli albi e dagli elenchi pubblici detenuti dalla Banca d’Italia – ove tali soggetti sono già censiti – e indica le ulteriori tipologie di dati che dovranno essere forniti (par. 3.3). Anche per quanto concerne l’accreditamento dei PDC sono indicate le tipologie di dati che gli utenti devono fornire, distinte tra quelle da rendere pubbliche nella sezione dedicata del registro e quelle ulteriori (non soggette a pubblicazione) necessarie sia per finalità di contatto che per “finalità di verifica della validità della firma digitale apposta sul modulo informatico e dell’effettiva appartenenza della stessa al soggetto firmatario, nonché dei poteri di rappresentanza del medesimo” (par. 3.4).

Con riferimento alla consultazione del registro, lo schema articola le varie possibilità (par. 3.5) nei seguenti modi:

- vengono indicate le tipologie di dati comunicate dai PSP/IMEL e rese ivi disponibili mediante la sezione ad accesso pubblico presente sul portale dell’OAM ai sensi dell’art. 3 del d.m.: esse si riferiscono sia ai PSP/IMEL italiani e comunitari che ai soggetti convenzionati o agenti (persone fisiche o persone giuridiche) che ai PDC. Vengono altresì descritte le modalità di comunicazione dei dati, nonché le funzioni di diagnosi e caricamento (parr. 3.5.1 e 3.5.2);

- viene disciplinata la comunicazione all’OAM, tramite il menzionato portale, da parte dei PSP/IMEL, delle informazioni relative alla cessazione del rapporto di convenzionamento o del mandato, per motivi non commerciali, intervenuta successivamente all'avvio del registro, ai sensi dell’art. 4 del d.m. Tali dati, una volta acquisiti, vengono resi accessibili, nella sottosezione ad accesso riservato del registro, a: “1) Guardia di Finanza, Banca d’Italia e Unità di informazione finanziaria per l’Italia “per l’esercizio delle rispettive competenze in materia di vigilanza e di prevenzione e contrasto del riciclaggio e del finanziamento del terrorismo”; 2) PSP/IMEL, alle Succursali e ai PdC, per “salvaguardare la correttezza e la legalità dei comportamenti degli operatori del mercato””. Vengono altresì definiti diversi livelli di profondità nella consultazione delle informazioni relative ai provvedimenti di sospensione e ai decreti sanzionatori adottati nei confronti dei soggetti convenzionati o agenti (comunicate all’OAM ai sensi dell’art. 61 del d.lgs. 231/2007), a seconda della categoria di soggetto (le citate autorità pubbliche ovvero i PSP/IMEL) (par. 3.5.3);

- vengono stabilite le modalità con le quali consentire la consultazione della sottosezione ad accesso riservato, sia da parte di Guardia di finanza, Banca d’Italia (par. 3.5.4) che da parte di PSP/IMEL, succursali e PDC (par. 3.5.5);

- sempre per gli utenti abilitati ad accedere alla sottosezione ad accesso riservato del registro, viene prevista l’attivazione di un’interfaccia con gli altri elenchi e registri tenuti dall'OAM, come previsto dall’art. 7 comma 1, lett. a), del d.m., al fine di rendere disponibile “l’informazione circa la sussistenza di eventuali provvedimenti di cancellazione o sospensione dai predetti elenchi o registri, adottati, ai sensi della normativa vigente, a carico di un medesimo soggetto” (par. 3.5.6).

Successivamente, lo schema individua i tempi di conservazione relativi alle varie tipologie di dati trattati (par. 4), le modalità di aggiornamento degli stessi (par. 5) e le misure volte a formare adeguatamente il personale autorizzato a compiere operazioni sui dati (OAM, PSP/IMEL italiani, succursali e PDC) (par. 6).

Infine, lo schema dà conto della valutazione d’impatto sulla protezione dei dati personali, di cui all’art. 35 del Regolamento, effettuata dall’OAM quale titolare del trattamento, di cui illustra il processo eseguito e le principali risultanze emerse (par. 7), e definisce le misure tecniche e organizzative adottate articolandole nell’ambito “procedurale, ovvero della definizione dei processi ICT che garantiscono un approccio standard, formale e continuo nella gestione dei presidi di sicurezza” (che riguarda anche il “processo di gestione degli incidenti informatici e delle violazioni dei dati personali (Data Breach)”), nell’ambito “organizzativo” e nell’ambito “operativo [mediante l’adozione di] strumenti di supporto per la prevenzione e la gestione delle principali minacce informatiche, in sinergia con i fornitori di servizi IT” (con l’individuazione dei “principali presidi di sicurezza tecnico/organizzativa”) (par. 8).

OSSERVA

Occorre preliminarmente rilevare che l’ultima versione dello schema di specifiche tecniche, su cui si esprime il presente parere, tiene conto delle indicazioni fornite dall’Ufficio del Garante agli uffici dell’OAM nel corso dei confronti informali intercorsi.
In particolare, le parti dello schema che sono state oggetto di modifica, al fine di rendere i trattamenti conformi alla disciplina in materia di protezione dei dati personali, in ossequio al principio di privacy by design e by default (art. 25 del Regolamento), hanno riguardato, in particolare:

- l’individuazione delle tipologie di dati personali e documenti oggetto di trattamento – anche distinguendo quelle a conferimento obbligatorio da quelle a conferimento facoltativo – sia nella fase di registrazione degli utenti che in quella di accreditamento (anche a fini di effettuazione delle necessarie verifiche) che in quella di trasmissione di dati personali e documenti da parte di PSP/IMEL, succursali e PDC (anche con riferimento a quelli accessibili alle autorità pubbliche per lo svolgimento delle attività di vigilanza e indagine), anche in linea con quanto stabilito nella normativa di riferimento, nel rispetto dei principi di liceità, correttezza e trasparenza, di limitazione della finalità e di minimizzazione dei dati (art. 5, par. 1, lett. a), b) e c), del Regolamento);

- l’inquadramento delle operazioni di acquisizione dei dati di PSP/IMEL e succursali dagli albi ed elenchi a pubblico accesso detenuti dalla Banca d’Italia, a fini di verifica dell’effettiva autorizzazione ad operare e di allineamento delle informazioni, nel rispetto dei principi di limitazione della finalità e di esattezza (art. 5, par. 1, lett. b) e d), del Regolamento);

- la delimitazione delle tipologie di dati personali oggetto di consultazione, sia nella sezione ad accesso pubblico del registro (precisando meglio quali, pur essendo oggetto di acquisizione, comunque non vengono rese accessibili al pubblico) che nella sezione ad accesso riservato (con particolare riferimento alle informazioni relative ai provvedimenti di sospensione e ai decreti sanzionatori adottati nei confronti dei soggetti convenzionati o agenti), nel rispetto del principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento)

- l’adozione di misure volte a informare adeguatamente i soggetti convenzionati e agenti dei trattamenti dei propri dati personali, anche con riferimento a quelli che comportano l’accessibilità al pubblico degli stessi, nel rispetto del principio di correttezza e trasparenza e dei relativi obblighi (artt. 5, par. 1, lett. a), 12, 13 e 14 del Regolamento);

- la definizione delle misure tecniche e organizzative volte ad assicurare un adeguato livello di sicurezza (quali, ad esempio, la previsione della consultazione della sezione ad accesso riservato del registro previa autenticazione a due fattori o l’indicazione delle modalità di trasmissione dei dati, anche da parte delle autorità competenti alla vigilanza), nel rispetto del principio di integrità e riservatezza e dei relativi obblighi (artt. 5, par. 1, lett. f), 24 e 32 del Regolamento);

- la previsione di apposite istruzioni al personale autorizzato a effettuare i trattamenti in questione, nel rispetto del principio di integrità e riservatezza e dei relativi obblighi (artt. 5, par. 1, lett. f), 24, 29 e 32 del Regolamento e art. 2-quaterdecies del Codice);

- l’introduzione di un meccanismo di informazione reciproca e tempestiva tra i titolari del trattamento coinvolti in caso di violazioni di sicurezza o altre minacce che comportino un rischio per la sicurezza e per i diritti e le libertà degli interessati, anche al fine di agevolare l’adempimento degli obblighi di cui agli artt. 33 e 34 del Regolamento.

RITENUTO

Alla luce di quanto sopra osservato, non si hanno rilievi da formulare per quanto concerne i profili di protezione dei dati personali, per cui si esprime parere favorevole sullo schema di specifiche tecniche in esame. Ciò anche considerato che lo schema in esame, oltre a tenere conto di quanto già definito in passato con riferimento al registro degli operatori compro oro (su cui il Garante si è pronunciato con provv. n. 447 del 26 luglio 2018, doc. web n. 9025512), recepisce, in quanto compatibili e adattandole allo specifico contesto, le osservazioni che il Garante aveva fornito nel parere reso con provv. n. 449 del 21 dicembre 2022 (doc. web n. 9856315) sui due schemi di specifiche tecniche in materia di operatori di valuta virtuale da adottare ai sensi dell’art. 7, comma 2, del decreto del Ministro dell’economia e delle finanze del 13 gennaio 2022.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di “Specifiche tecniche delle procedure di registrazione, accreditamento e consultazione” riferite al “Registro dei soggetti convenzionati ed agenti di prestatori di servizi di pagamento ed istituti emittenti moneta elettronica”, da adottare ai sensi dell’art. 7 del decreto del Ministro dell’economia e delle finanze del 31 maggio 2022.

Roma, 13 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei