Art. 101 Reg. (UE) 2023/1114 — Protezione dei dati

Commento

La protezione dei dati nel contesto MiCA: inquadramento generale

L'articolo 101 del Regolamento MiCA è una norma di coordinamento tra il Regolamento stesso e il quadro europeo di protezione dei dati personali. La disposizione è sintetica — due soli paragrafi — ma ha implicazioni operative rilevanti per tutti i soggetti coinvolti nell'ecosistema MiCA: autorità competenti nazionali, ABE, ESMA, emittenti di ART e EMT, e CASP.

Il mercato delle cripto-attività tratta per sua natura dati personali in quantità significativa: informazioni di identificazione dei clienti (KYC), dati sulle transazioni, indirizzi blockchain (che, in determinati contesti, possono essere ricondotti a persone fisiche identificate), dati patrimoniali e dati di comportamento finanziario. Le autorità di vigilanza che accedono a questi dati nell'esercizio delle loro funzioni di supervisione, ispezione e indagine devono rispettare le norme sulla protezione dei dati personali, pena la violazione dei diritti fondamentali sanciti dall'articolo 8 della Carta dei diritti fondamentali dell'UE.

Il GDPR per le autorità nazionali

Il primo paragrafo dell'articolo 101 stabilisce che le autorità competenti nazionali — per l'Italia, la Consob e la Banca d'Italia, secondo le rispettive competenze — svolgono i propri compiti di vigilanza MiCA nel rispetto del Regolamento (UE) 2016/679 (GDPR). Questo significa che ogni raccolta, conservazione, trasmissione o altro trattamento di dati personali effettuato dall'autorità nel contesto di un'indagine su abusi di mercato, di un'ispezione on-site presso un CASP o di una procedura di autorizzazione deve soddisfare i principi del GDPR: liceità, correttezza, trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza.

Il trattamento da parte delle autorità nazionali ha tipicamente come base giuridica l'articolo 6, paragrafo 1, lettera c) del GDPR (adempimento di un obbligo legale) o l'articolo 6, paragrafo 1, lettera e) (esecuzione di un compito di interesse pubblico). Quando il trattamento riguarda categorie particolari di dati (per esempio, dati relativi a condanne penali nel contesto dei controlli AML ex articolo 63, paragrafo 6 MiCA), si applicano le norme più restrittive degli articoli 9 e 10 del GDPR, con le deroghe previste dal diritto nazionale.

Va anche considerato il profilo dei trasferimenti internazionali di dati: quando le autorità nazionali scambiano informazioni con autorità di paesi terzi nell'ambito della cooperazione internazionale prevista dagli articoli 127 e seguenti MiCA, il trasferimento di dati personali verso quei paesi deve rispettare le norme del Capo V del GDPR (adeguatezza, garanzie appropriate, clausole contrattuali standard).

Il Regolamento 2018/1725 per ABE e ESMA

Il secondo paragrafo estende il regime a livello delle autorità europee: il trattamento di dati personali effettuato dall'ABE e dall'ESMA nell'esercizio delle loro funzioni MiCA è disciplinato dal Regolamento (UE) 2018/1725. Quest'ultimo è il «GDPR delle istituzioni UE»: recepisce i principi del GDPR adattandoli alle specificità delle autorità europee, con il Garante europeo della protezione dei dati (EDPS) come autorità di controllo.

ABE e ESMA raccolgono e trattano dati personali nell'ambito delle proprie funzioni MiCA in diversi contesti: la gestione del registro pubblico ex articolo 109 (che include nomi e dati identificativi dei CASP autorizzati e dei loro amministratori); le procedure di classificazione degli ART «significativi» ex articolo 43-44; le indagini su abusi di mercato a livello transfrontaliero; le procedure di delega di vigilanza ex articolo 138. In tutti questi contesti, ABE e ESMA devono rispettare il Regolamento 2018/1725, istituire basi giuridiche appropriate per il trattamento, informare le persone interessate e garantire l'esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, nei limiti delle eccezioni previste per le funzioni di supervisione).

I CASP come titolari del trattamento: obblighi GDPR propri

L'articolo 101 riguarda specificamente le autorità di vigilanza, ma i CASP stessi — in quanto raccolgono dati personali dei propri clienti per fini di KYC, AML, esecuzione dei servizi e reportistica MiCA — sono a loro volta titolari del trattamento soggetti al GDPR. Questa dimensione non è disciplinata dall'articolo 101, ma è presupposta da tutto il Titolo V: i CASP devono predisporre informative privacy, gestire richieste degli interessati, valutare la necessità di DPIA (Data Protection Impact Assessment) per i trattamenti ad alto rischio, e designare un Data Protection Officer (DPO) ove applicabile.

Particolarmente rilevante per i CASP è il rapporto tra obbligo di conservazione dei dati (imposto dalle norme AML e da MiCA per finalità di vigilanza) e principio di minimizzazione e limitazione della conservazione del GDPR: le autorità di protezione dei dati nazionali hanno già affrontato questi conflitti nel contesto delle norme AML tradizionali; le stesse logiche si applicano al settore cripto.

Il registro ESMA e la privacy by design

Un aspetto operativo rilevante riguarda il registro pubblico ex articolo 109 MiCA. Questo registro — accessibile a chiunque — include informazioni su CASP autorizzati, emittenti di ART e White Paper approvati. Nella misura in cui queste informazioni riguardano persone fisiche identificabili (per esempio, amministratori di piccole realtà imprenditoriali), la loro pubblicazione costituisce un trattamento di dati personali soggetto al Regolamento 2018/1725 da parte dell'ESMA. L'ESMA deve quindi applicare il principio di «privacy by design» nella progettazione del registro, limitando la pubblicazione ai dati strettamente necessari e prevedendo procedure per la gestione di richieste di accesso, rettifica o cancellazione nei limiti consentiti dagli obblighi di trasparenza regolamentare.