g-docweb-display Portlet

Raccomandazione n° R (90)19 del Comitato dei Ministri agli Stati membri sulla protezione dei dati personali utilizzati a fini di pagamento e di al...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Raccomandazione n° R (90)19 del Comitato dei Ministri agli Stati membri sulla protezione dei dati personali utilizzati a fini di pagamento e di altre operazioni connesse - 13 settembre 1990


Il Comitato dei Ministri, ai sensi dell´art. 15b dello statuto del Consiglio d´Europa,

Considerando che lo scopo del Consiglio d´Europa è quello di realizzare un´unione più stretta fra i suoi membri;

Consapevole dell´utilizzazione crescente del trattamento automatizzato di dati nel settore dei mezzi di pagamento ed altre operazioni connesse, nonché dei vantaggi che essa presenta;

Consapevole dell´utilizzazione crescente del trattamento automatizzato di dati da parte di organismi fornitori di servizi finanziari che non sono necessariamente banche; Ritenendo che l´utilizzazione del trattamento automatizzato di dati nel settore dei mezzi di pagamento ed altre operazioni connesse potrebbe comportare rischi per la vita privata dell´individuo;

Ritenendo d´altronde che, nonostante l´utilizzazione crescente del trattamento automatizzato di dati nel settore dei mezzi di pagamento ed altre operazioni connesse, il singolo non dovrebbe essere costretto ad utilizzare un mezzo di pagamento elettronico, usufruendo così della possibilità di ridurre al minimo i dati personali diffusi all´atto delle singole operazioni;

Riconoscendo che le disposizioni della Convenzione per la protezione delle persone rispetto al trattamento automatizzato dei dati personali del 28 gennaio 1981 si applicano alle attività di trattamento automatizzato di dati da parte di organismi fornitori di servizi finanziari;

Ritenendo tuttavia che sia opportuno precisare le disposizioni generali della Convenzione per adattarle alle esigenze specifiche delle categorie di operazioni sopra citate;

Avendo presente il carattere internazionale di alcune operazioni e i flussi transfrontalieri di dati personali che esse generano, aspetti che richiedono di promuovere una protezione dei dati personali equivalente in tutti gli Stati membri del Consiglio d´Europa,


Raccomanda ai Governi degli Stati membri:

  • di tenere conto dei principi e delle linee-guida contenuti nell´Allegato alla presente Raccomandazione nella legislazione e nelle pratiche interne relative al settore dei mezzi di pagamento ed altre operazioni connesse;
  • di assicurare un´ampia diffusione della presente raccomandazione presso le autorità competenti in materia di protezione dei dati e presso gli organismi fornitori di mezzi di pagamento, i beneficiari e i gestori di reti di comunicazione, o i loro rappresentanti.


 

Allegato alla Raccomandazione n° R (90) 19

1. Campo di applicazione e definizioni

1.1. I principi enunciati nella presente raccomandazione si applicano al trattamento automatizzato di dati personali legati alla fornitura e all´utilizzazione di un mezzo di pagamento o di altre operazioni connesse.

Inoltre questi principi si applicano a tutti i soggetti che sono parti di tali operazioni (beneficiari, organismi fornitori di mezzi di pagamento e gestori di reti di comunicazione).

1.2. Ai fini della presente raccomandazione:


L´espressione ‘dati personali´ indica qualsiasi informazione riferita ad una persona fisica identificata o identificabile. Una persona fisica non è considerata identificabile qualora tale identificazione necessiti di tempi, costi e attività non ragionevoli.

L´espressione ‘mezzo di pagamento´ copre l´insieme degli strumenti di pagamento ed altri supporti degli ordini di pagamento, in particolare gli asssegni, gli ordini di girata e le carte di pagamento, nonché ogni altro genere di ordine di addebito o di accredito, originati o meno da un messaggio elettronico.

L´espressione ‘beneficiario´ comprende l´insieme delle persone fisiche o giuridiche che beneficiano di un pagamento o di un´altra operazione connessa, in particolare i commercianti, i dettaglianti, i fornitori di servizi, ad esclusione dei singoli consumatori.

L´espressione ‘organismi fornitori di mezzi di pagamento´ copre l´insieme delle imprese bancarie e non bancarie che forniscono o gestiscono mezzi di pagamento su base regolare o in maniera specifica.

Sono ricomprese anche le aziende che ricevono mandato per la fornitura o la gestione di mezzi di pagamento da parte dell´organismo fornitore principale

L´espressione ‘gestore della rete di comunicazione´ si riferisce all´organismo che fornisce il supporto di trasmissione dei dati utilizzati per l´esecuzione del pagamento o dell´operazione connessa.


2. Rispetto della vita privata

Il rispetto della vita privata dei singoli deve essere garantito all´atto della raccolta, della registrazione, dell´utilizzazione, della comunicazione e della conservazione dei dati personali connessi alla fornitura o all´utilizzazione di un mezzo di pagamento. A tal fine, gli organismi fornitori di mezzi di pagamento, i beneficiari e i gestori di rete di comunicazione devono adottare le misure necessarie per assicurare la segretezza di tali dati personali.


3. Raccolta e registrazione dei dati

3.1. Per la fornitura di un mezzo di pagamento, i dati personali dovrebbero essere raccolti e registrati dall´organismo fornitore di tale mezzo di pagamento unicamente nel caso in cui essi siano necessari per mettere a disposizione il suddetto mezzo di pagamento ed i servizi legati alla sua utilizzazione, anche a fini di controllo.

3.2. Conformemente alle disposizioni previste dalla legislazione interna, l´organismo fornitore di un mezzo di pagamento dovrebbe avere la possibilità di affidare la raccolta, la registrazione e il trattamento di tali dati a un mandatario nella misura in cui esso si impegni a non utilizzarli per altri scopi.

3.3. In linea di principio, i dati personali dovrebbero essere raccolti unicamente presso l´interessato. Qualora risulti necessario consultare altre fonti, il singolo dovrebbe essere preventivamente ed esaurientemente informato delle categorie di fonti che possono essere consultate e delle conseguenze eventualmente risultanti da un rifiuto o dal ritiro del suo consenso.

3.4. I dati personali dovrebbero essere raccolti e registrati dal beneficiario soltanto allo scopo di verificare l´identità del titolare del mezzo di pagamento e determinare la validità o la liceità dell´operazione di pagamento o di un´altra operazione connessa.

3.5. Se un´operazione è realizzata tramite un mezzo di pagamento, i dati personali legati a tale operazione dovrebbero essere raccolti e registrati dall´organismo fornitore dei mezzi di pagamento solo nella misura in cui essi siano necessari per la validità dell´operazione e come prova della stessa, nonché per la realizzazione dei servizi e l´assunzione degli obblighi derivanti dal diritto interno e legati alla sua utilizzazione.

3.6. I sistemi di pagamento dovrebbero essere concepiti in modo da evitare che, per una operazione di pagamento o altra operazione connessa, i dati personali che non sono necessari alla realizzazione degli obiettivi descritti nei principi 3.1. e 3.5. siano comunicati all´organismo fornitore di un mezzo di pagamento, e che i dati personali non necessari alla realizzazione degli obiettivi descritti nel principio 3.4. siano conservati dal beneficiario.

3.7. Il gestore di una rete di comunicazione dovrebbe avere la possibilità di raccogliere e registrare soltanto i dati personali necessari ai fini dell´esecuzione, della prova e della fatturazione dei servizi da lui forniti.

3.8. Il trattamento dei dati personali relativi a condanne penali dovrebbe essere effettuato unicamente qualora tali dati siano effettivamente necessari per stabilire l´opportunità che l´interessato riceva o continui a utilizzare un mezzo di pagamento e nella misura in cui il soggetto abbia dato il proprio consenso espresso e informato, ovvero a condizione che il trattamento sia conforme alle garanzie stabilite dalla legislazione nazionale.

La raccolta e la registrazione delle altre categorie di dati sensibili di cui all´art. 6 della Convenzione per la protezione delle persone rispetto al trattamento automatizzato dei dati personali non dovrebbero essere permesse.


4. Utilizzazione dei dati

4.1. Fatte salve le disposizioni enunciate nel principio 4.2., i dati personali raccolti e registrati ai sensi del principio 3 dovrebbero essere utilizzati soltanto per stabilire se un mezzo di pagamento possa essere fornito ad una persona che ne fa richiesta, per effettuare controlli, per gestire il relativo conto, compresa la spedizione di estratti conto bancari, o per evitare abusi in caso di perdita o revoca del mezzo di pagamento.

4.2. Nella misura in cui l´interessato ne sia stato informato esaurientemente per iscritto e salvo obiezioni da parte sua, l´organismo fornitore di mezzi di pagamento può utilizzare a fini di marketing e per la promozione dei propri servizi i dati raccolti e registrati ai fini enunciati ai principi 3.1. e 3.5.

Il soggetto dovrebbe essere informato del fatto che, in caso di sua opposizione all´utilizzo dei propri dati a fini di marketing o di promozione, ciò non dovrebbe tuttavia recare pregiudizio alla decisione di fornirgli un mezzo di pagamento o di permettergli di continuare ad utilizzare un mezzo di pagamento già concesso.

4.3. L´interconnessione di più archivi di dati personali derivanti da varie utilizzazioni del mezzo di pagamento da parte del singolo dovrebbe essere effettuato dall´organismo fornitore del mezzo di pagamento unicamente per le finalità di cui al principio 4.1. ovvero per fini di marketing e di messa a disposizione di servizi, secondo quanto accettato dal singolo ai sensi del principio 4.2.

Fatta eccezione per le situazioni disciplinate dalla legislazione nazionale ovvero nel caso in cui l´interessato abbia dato il proprio consenso espresso e informato, non dovrebbe essere consentita l´interconnessione dei vari archivi di dati personali per finalità diverse da quelle enunciate nel presente principio.

4.4. Nella misura in cui l´utilizzazione di un mezzo di pagamento dia origine a dati sensibili, questi ultimi non devono essere utilizzati a fini di marketing o di promozione né per alcun altro scopo.

4.5. Se una carta multifunzionale costituisce fra l´altro un mezzo di pagamento ed è utilizzata per finalità diverse da quelle indicate nel principio 1.2., secondo comma, essa dovrebbe essere concepita in modo da rendere impossibile l´accesso ai dati personali ai quali si applica la presente raccomandazione qualora venga utilizzata per tali diverse finalità.


5. Comunicazione dei dati

5.1. I dati personali raccolti e registrati per gli scopi indicati ai principi 3.1. e 4.1. possono essere comunicati unicamente nei seguenti casi:

a. conformemente agli obblighi previsti dalla legislazione interna;

b. qualora risulti necessario proteggere gli interessi essenziali e legittimi dell´organismo fornitore del mezzo di pagamento;

c. qualora l´interessato abbia dato il proprio consenso espresso e informato;

d. in caso di incidente di pagamento, qualora sia stato realizzato un sistema di comunicazione o di registrazione di tali informazioni ai sensi della legislazione interna, allo scopo di aumentare la sicurezza del pagamento nel settore al quale si applica la presente raccomandazione.

5.2. Le condizioni poste dal principio 5.1. non ostano alla comunicazione dei dati personali da parte dell´organismo fornitore del mezzo di pagamento a mandatari che agiscono per suo conto e al gestore della rete di comunicazione, nella misura in cui tale comunicazione si rende necessaria per la concessione e l´utilizzazione del mezzo di pagamento.


6. Pubblicità

Conformemente alle legislazioni e alle pratiche nazionali, gli organismi fornitori di mezzi di pagamento nonché i beneficiari e i gestori della rete di comunicazioni dovrebbero provvedere ad informare le persone interessate circa la natura dei dati da loro registrati, i fini di tale registrazione, le categorie di persone o di organismi ai quali i dati possono essere comunicati e il fondamento giuridico della comunicazione.


7. Diritto di accesso e di rettifica

7.1. Chiunque dovrebbe poter ottenere su richiesta i dati che lo riguardano, in forma comprensibile, compresi i dati che compaiono su un mezzo di pagamento.

7.2. Chiunque dovrebbe poter fare rettificare o cancellare tali dati qualora risultino inesatti, non pertinenti, in numero eccesssivo, o se sono stati raccolti o registrati contravvenendo ai principi enunciati nella presente Raccomandazione.

7.3. Gli organismi fornitori di mezzi di pagamento dovrebbero adottare misure adeguate atte ad assicurare alla persona interessata la conoscenza dei propri diritti enunciati ai principi 7.1. e 7.2. relativi ai dati che la riguardano, nonché delle vie e dei mezzi per esercitarli.

7.4. L´organismo fornitore dei mezzi di pagamento dovrebbe provvedere a che la persona interessata possa esercitare il proprio diritto di accesso senza tempi o costi eccessivi, in particolare quando una decentralizzazione di un sistema di trattamento di dati implichi la loro diffusione verso più schedari.


8. Sicurezza dei dati

8.1. I soggetti parte nelle operazioni di pagamento o in altre operazioni connesse dovrebbero adottare misure organizzative e tecniche appropriate per preservare la sicurezza, l´integrità e la segretezza dei dati personali contro eventuali accessi, usi, comunicazioni, modifiche o sottrazioni non autorizzati.

8.2. I beneficiari, gli organismi fornitori di mezzi di pagamento e i gestori di reti di comunicazioni dovrebbero prevedere misure di controllo sufficienti atte a garantire la protezione dei dati in questione.

In particolare, i gestori di reti di comunicazioni dovrebbero informare i propri dipendenti dell´esistenza di tali misure e della necessità di rispettarle. Si dovrebbero adottare misure in seno all´organizzazione per identificare in maniera precisa quali dei dipendenti hanno il diritto di accesso ai dati.

8.3. Gli organismi fornitori di mezzi di pagamento dovrebbero fornire ai clienti consigli in materia di sicurezza, sul modo per usare in maniera sicura i mezzi di pagamento e i codici e sulla procedura da seguire in caso di smarrimento o di furto di tali mezzi di pagamento.


9. Ricorsi

La legislazione interna dovrebbe prevedere la possibilità di ricorso in caso di violazione dei principi di base delle disposizioni della presente Raccomandazione, in particolare in caso di mancato rispetto dei diritti enunciati al principio 7.


10. Flusso transfrontaliero di dati

10.1. Quando la fornitura o l´utilizzazione di un mezzo di pagamento necessiti la raccolta, la registrazione o il trattamento di alcuni dati personali da effettuarsi in due o più Parti alla Convenzione sulla protezione delle persone rispetto altrattamento automatizzato dei dati personali, il flusso transfrontaliero di tali dati fra le Parti non dovrebbe essere ostacolato, nella misura in cui sia garantito il principio della protezione equivalente.

10.2. Se lo Stato verso il quale i dati saranno trasferiti non è Parte alla Convenzione, il suo rispetto dei principi contenuti nella presente Raccomandazione deve essere considerato dalle autorità competenti dei Paesi contraenti come elemento determinante per permettere il trasferimento dei dati personali verso tale Stato.


11. Conservazione dei dati

11.1. Quando per la realizzazione dei fini previsti dalla presente Raccomandazione i dati personali non sono più necessari, essi dovrebbero essere distrutti.

11.2. I mandatari abilitati a trattare i dati per conto di un organismo fornitore di mezzi di pagamento non dovrebbero conservarle per più del tempo necessario all´esecuzione del loro mandato.

11.3. Si dovrebbe prendere in considerazione l´opportunità di fissare termini per la conservazione dei dati personali nel caso in cui la concessione di un mezzo di pagamento sia stata rifiutata. Si dovrebbero anche stabilire termini al fine di tenere conto di problemi quali la necessità di conservare i dati per il periodo necessario per sostenere azioni giudiziarie o come prova di transazioni effettuate dal soggetto.


12. Controllo del rispetto dei principi

12.1. Ogni Stato dovrebbe attuare un meccanismo di controllo che permetta di vegliare al rispetto dei principi enunciati nella presente Raccomandaione.

12.2. A tale scopo, ogni Stato dovrebbe assicurarsi che tutti gli organismi fornitori di mezzi di pagamento siano facilmente identificabili.