Verso l’Euro digitale: i Garanti privacy chiedono maggiori garanzie

Lo scorso 17 ottobre 2023[1] il Comitato europeo per la protezione dei dati (di seguito: EDPB) e il Garante europeo della protezione dei dati (di seguito: EDPS), in un loro parere congiunto (di seguito: Parere), hanno raccomandato alla Commissione e al legislatore europeo l’introduzione di standard più elevati e maggiori garanzie per i cittadini nel nuovo Regolamento UE per l’istituzione dell’Euro digitale [2] (di seguito: Proposta).

Il percorso

La crescente digitalizzazione e le nuove tecnologie stanno influenzando sempre più la vita dei cittadini e l’economia europea determinando, così, anche la diffusione di mezzi di pagamento digitali privati per effettuare transazioni. Le banconote e le monete “tradizionali”, che costituiscono le uniche forme di moneta di banca centrale a corso legale a disposizione del pubblico (cittadini, autorità pubbliche e imprese) non sono, di fatto, in grado da sole di sostenere l’economia dell’UE nell’era digitale.

La Commissione europea, nella consapevolezza che il diffondersi di strumenti privati potrebbe “mettere a rischio l’auspicabile equilibrio tra la moneta di banca centrale e i mezzi di pagamento digitali privati”[3] il 28 giugno 2023 ha adottato la Proposta che proprio garantisce, da un lato che la moneta di banca centrale a corso legale rimanga a disposizione del pubblico, offrendo nel contempo ai cittadini e alle imprese la possibilità di poter utilizzare una forma di moneta digitale che possa essere ampiamente accettata, economica e con un elevato livello di riservatezza.

La nuova moneta sarà emessa dalla Banca centrale europea (di seguito: BCE) per essere utilizzata nei pagamenti al dettaglio e non sarà soggetta ad alcuna spesa diretta per l’accesso e l’uso di base[4], rappresentando la trasposizione digitale della moneta unica disponibile per le persone fisiche e giuridiche.

Il Consiglio direttivo della BCE, a conclusione della fase istruttoria avviata nell’ottobre 2021 al fine di esplorare possibili modelli di progettazione e distribuzione per un euro digitale, il 18 ottobre 2023 ha deciso di passare alla fase di preparazione e sperimentazione dell’euro digitale. Questa fase che non implica, di per sé, il lancio dell’euro digitale, getterà le basi per un potenziale euro digitale. L’avvio potrà avvenire solo dopo l’adozione, da parte del Consiglio e del Parlamento, del quadro legislativo abilitante definitivo.

La posizione dei Garanti Privacy europei

L’attenzione al tema della tutela dei dati, emersa già durante la fase di consultazione e la particolare rilevanza, nella regolamentazione dell’euro digitale, delle ripercussioni sui diritti fondamentali dell’individuo, aveva determinato la stessa richiesta Parere da parte della Commissione europea.

Il Parere accoglie con favore l’attenzione, presente nella Proposta, alla tutela dei dati personali e della vita privata e in particolare la potestà lasciata agli utenti di scegliere se pagare in euro digitali o in contanti e gli sforzi compiuti, in particolare con l’introduzione di una “modalità offline”, per ridurre al minimo il trattamento dei dati personali.

Contemporaneamente EDPB e EDPS, ricordando i principi della minimizzazione dei dati trattati e della privacy by design e by default, richiamano l’attenzione del legislatore europeo su una serie di aspetti di protezione dei dati personali che, se non affrontati, potrebbero minare la fiducia dei cittadini nel futuro euro digitale e, in definitiva, lo stesso successo dell’iniziativa.

In particolare, pur prendendo atto degli sforzi compiuti, emerge l’esigenza di ulteriori chiarimenti su punti significativi e si delineano diverse raccomandazioni. In particolare:

• sulle modalità di distribuzione dell’euro digitale attraverso gli intermediari finanziari;
• sull’istituzione da parte della BCE e delle banche centrali nazionali di un unico punto di accesso per verificare che l’importo di euro digitali non superi l’importo massimo consentito per ciascun utente: occorrono chiarimenti sul trattamento degli identificativi degli utenti. Dubbi sono sollevati sulla necessità e proporzionalità di un punto unico di accesso, considerata la fattibilità di misure tecniche per una loro conservazione decentrata; nonché sulle modalità di attuazione della protezione dei dati per progettazione e per impostazione predefinita;
• sul meccanismo di individuazione e prevenzione delle frodi (nel seguito: FDPM) utilizzato dalla BCE e dai prestatori dei servizi di pagamento (di seguito: PSP) EDPB e EDPS raccomandano di dimostrare ulteriormente la sua stessa necessità: da un lato non appare chiaro, in particolare, quali compiti verrebbero svolti dalla BCE (in qualità di possibile supervisore dell’attività antifrode svolta dai PSP) e, dall’altro non appaiono ben definiti i compiti (e il correlato trattamento dei dati) svolti dai PSP. Occorrono norme chiare e precise che disciplinino l’ambito di applicazione e i diversi ruoli, anche per quanto riguarda la natura del sostegno che la BCE deve fornire ai PSP. Si raccomanda, comunque, di introdurre misure meno invasive dal punto di vista della protezione dei dati, unitamente all’attuazione di adeguate misure di salvaguardia;
• occorrono ulteriori chiarimenti in merito alle basi giuridiche poste a fondamento delle operazioni di trattamento, ad assegnazioni chiare di compiti e definizione delle rispettive responsabilità, in materia di protezione dei dati, relativamente a ciascuno degli attori (Bce, banche centrali nazionali, fornitori di servizi di pagamento e fornitori di servizi di supporto) che partecipano all’emissione dell’euro digitale, oltre alla tipologia di dati personali da trattare da parte di ciascuno di tali soggetti;
• all’esigenza di introdurre un obbligo esplicito per i PSP di pseudonimizzazione dei dati delle transazioni;
• il rispetto dell’obbligo, per tutti i responsabili del trattamento dell’euro digitale e i contitolari del trattamento, di effettuare una DPIA, nella misura in cui sono soddisfatti i requisiti dell’articolo 35 del GDPR o dell’articolo 39 dell’EUDPR.

Da ultimo EDPB e l’EDPS non tralasciano di considerare i rischi potenziali che gli euro digitali potrebbero correre dal punto di vista dell’informatica e della sicurezza informatica e raccomandano di inserire nel preambolo della proposta un riferimento esplicito al quadro giuridico applicabile in materia di sicurezza informatica.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] EDPB-EDPS Joint Opinion 02/2023 on the Proposal for a Regulation of the European Parliament and of the Council on the establishment of the digital euro.

[2] Proposal for a Regulation of the European Parliament and of the Council on the establishment of the digital euro, COM/2023/369 final.

[3] Cfr. Relazione 1. Contesto della Proposta.

[4] Cfr. Considerando 40 della Proposta.