LE TERZE PARTI (PSD2 & FinTech)

DIRITTI E OBBLIGHI DELLE TERZE PARTI
PRIVACY

PRIVACY

Premessa

Il Regolamento (UE) 2016/679 (GDPR - Regolamento Generale sulla Protezione dei Dati) polarizza l’importanza del consenso dell’interessato all’utilizzo dei propri dati e impone agli intermediari l’adozione di specifici presidi organizzativi che si aggiungono a quelli previsti dalla PSD2 in materia di sicurezza.

Lo stesso regolamento GDPR disciplina nell'Unione europea il trattamento dei dati personali; tale regolamento è applicabile in tutti gli Stati membri dal 25 maggio 2018. L’ambito di applicazione territoriale si estende, al ricorrere di alcune condizioni, anche al di fuori del territorio dell’Unione; norme specifiche regolano il trasferimento di dati verso paesi terzi ed organizzazioni internazionali.

Il GDPR rafforza il ruolo della informativa come strumento di trasparenza e la centralità del consenso dell’interessato al trattamento dei propri dati; il trattamento è consentito solo per scopi specifici e dichiarati, nei limiti del necessario. È previsto anche il diritto di ottenere la cancellazione dei propri dati personali (cosiddetto "diritto all'oblio"). Il consenso dell'interessato al trattamento dei dati personali deve essere libero, specifico, informato e inequivocabile, anche se espresso attraverso mezzi elettronici o con un semplice flag. Riguardo ai dati cd. “Sensibili”, ovvero i dati di cui all’art. 9 del GDPR (cfr. paragrafo 2.1), il consenso deve sempre riferirsi esplicitamente a tale tipo di informazioni. Gli interessati dovranno inoltre sapere se i loro dati sono trasmessi al di fuori dell’Ue e con quali garanzie; oggetto di informativa è anche il diritto di revocare il consenso a trattamenti specifici, in ogni momento.

Applicazione del GDPR ai servizi di pagamento

La Direttiva 2015/2366/CE (PSD2 – Direttiva sui Servizi di Pagamento), recepita nel nostro ordinamento con d.lgs. n. 218 del 2017, non costituisce legge speciale rispetto al GDPR, da ciò scaturisce che il Regolamento dispiega i propri effetti dunque anche nell’ambito dei servizi di pagamento. Infatti, gli intermediari che offrono servizi di pagamento devono porre in essere una serie di attività volte a recepire nella propria organizzazione interna le innovazioni introdotte dal GDPR; tra queste ultime rilevano: la designazione di un responsabile della protezione dei dati, l'istituzione di un registro delle attività di trattamento e l’adozione di accorgimenti quali attività preventive di pianificazione e progettazione per la protezione dei dati (privacy by design) e misure di sicurezza da attuare nel continuo (privacy by default), per garantire il presidio del trattamento, i limiti allo stesso e la corretta conservazione dei dati.

Alcune misure organizzative e tecniche previste dal GDPR si sovrappongono, e in parte si aggiungono, a quelle stabilite dalla PSD2 e dalle linee guida EBA in materia di sicurezza. Per esempio, il Regolamento introduce obblighi di segnalazione per gli intermediari dei cd. data breach all'Autorità nazionale per la protezione dei dati. Tali obblighi si sommano agli obblighi di reporting, alle autorità nazionali competenti previsti per gli incidenti gravi sulla base della PSD2 e delle linee guida EBA.

GDPR e PSD2

Riguardo ai rapporti tra GDPR e PSD2, sono emerse esigenze di armonizzazione, in relazione, in particolare, alla nozione di dati cd. “Sensibili” e alla natura del consenso prestato dall’interessato/utente.

La nozione di dati sensibili

Preliminarmente, si osserva che la definizione di “dati sensibili” secondo la PSD2 e quella di “categorie particolari di dati” ex art. 9 GDPR (tradizionalmente considerati “dati sensibili”) non coincidono. I primi sono infatti dati che «possono essere usati per commettere frodi»” (cfr. art. 4, punto 32, della PSD2); tra questi sono espressamente incluse le credenziali di sicurezza personalizzate fornite all’utente a fini di autenticazione, ovvero al fine di «verificare l’identità» dell’utente stesso oppure «la validità dell’uso di uno specifico strumento di pagamento» (cfr. art. 4, punti 29 e 31, della PSD 2). Non costituiscono, invece, dati sensibili relativi ai pagamenti il nome del titolare del conto e il numero del conto.

Le “categorie particolari di dati” ai sensi del GDPR sono invece riferite a dati personali che rivelano origini razziali o etniche, opinioni politiche, credenze religiose, convinzioni filosofiche o appartenenza sindacale, nonché dati genetici e dati biometrici, o relativi alla salute e alla vita sessuale di una persona. Tale definizione è generale, nel senso che la relativa disciplina si applica ogni qualvolta si tratti, anche nell’ambito dei servizi di pagamento, questo tipo di dati. La nozione di dati sensibili ai sensi della PSD2 non è in contrasto con il GDPR perché più cautelativa, ad esempio, laddove viene esclusa la possibilità per gli intermediari che svolgono i servizi di disposizione di ordini di pagamento (PISP) e di informazione sui conti (AISP), rispettivamente, di conservare e richiedere dati sensibili relativi ai pagamenti collegati ai conti di pagamento.

È utile osservare che una coincidenza nella tipologia di dati ex art. 9 GDPR e di dati sensibili ai sensi della PSD2 può realizzarsi ove si tratti di dati biometrici che vengano sfruttati ai fini di autenticazione dell’utente di un servizio di pagamento (e che costituiscono quindi un elemento delle credenziali di sicurezza). In tal caso si applicheranno, ciascuna in relazione al proprio contesto, entrambe le normative.

Il consenso al trattamento dei dati

1. Il consenso dell’interessato

Quanto alla nozione di consenso dell’interessato al trattamento dei dati contenuta nelle due normative in esame, lo European Data Protection Board (EDPB) ha chiarito che gli intermediari possono trattare i dati necessari all’esecuzione del servizio di pagamento sulla base di uno specifico ed esplicito consenso espresso preventivamente sul contratto.
Il consenso previsto dalla PSD2 (art.94) avrebbe pertanto natura contrattuale, con ciò distinguendosi dal consenso richiesto ai sensi del GDPR. Il GDPR (art. 6, c.1., lett.b) prevede, tra l’ altro, quale presupposto di liceità del trattamento, che esso sia necessario per l’esecuzione di un contratto di cui l’interessato è parte; ciò premesso, da una lettura combinata del GDPR e della PSD2, come sopra interpretata, si evince che, una volta approvato il contratto per l’esecuzione di un servizio di pagamento, l’interessato non debba ulteriormente prestare il consenso se il trattamento è funzionale all’esecuzione del contratto stesso (cfr. anche Linee guida sul consenso ai sensi del regolamento (UE) 2016/679 del 28 novembre 2017, come modificate e adottate da ultimo il 10 aprile 2018).

2. Il consenso del beneficiario

Secondo l’EDPB, inoltre, all’intermediario che presta servizi di informazione sui conti non occorre uno specifico consenso per il trattamento dei dati del beneficiario del pagamento, posto che l’utilizzo di questi dati avviene, in conformità al GDPR, per il perseguimento di un legittimo interesse all’esecuzione del servizio (art. 6, c.1., lett.f).

3. Legittimità dell’accesso ai dati da parte delle terze parti

Allo stesso modo, l’intermediario presso cui è aperto il conto (ASPSP) può legittimamente consentire l’accesso ai dati dell’utente da parte degli intermediari che offrono il servizio di disposizione di ordini di pagamento e di informazione sui conti - che abbiano acquisito il consenso dell’utente - in virtù di specifiche disposizioni della PSD2 (artt. 66 e 67) - che obbligano gli ASPSP a tale astensione - e, pertanto, in conformità al GDPR, secondo cui il trattamento dei dati in esecuzione di un obbligo di legge è lecito.

 

 

© 2021 www.fintech-psd2.eu - All Rights Reserved | Privacy | Disclaimer | Codice Etico| Struttura della DLVA-FIDES Consulting SRL |
 
assistenza@fintech-psd2.eu 06.86357324