Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GDPR e PSD2, il nodo del consenso: ecco le sfide per il settore bancario

Gli operatori bancari, già esposti agli effetti potenzialmente negativi della “disintermediazione bancaria”, devono ora imparare a destreggiarsi tra i dettami di due normative – PSD2 e GDPR – che presentano una serie di importanti discrasie. Vediamo quali sono e i rischi che comportano

03 Set 2019

Petra Chiste

Responsabile Sicurezza Informatica, Volksbank

Pierguido Iezzi

Swascan Cybersecurity Strategy Director & Co Founder


Se correttamente attuate in armonia, la direttiva europea PSD2 sui pagamenti digitali e il regolamento GDPR sulla protezione dei dati personali possono consentire alle banche di proteggere e servire meglio i consumatori, di andare oltre la conformità e di cogliere nuove opportunità di crescita. Vi sono tuttavia dei problemi – per i soggetti che offrono servizi di pagamento e devono applicare entrambe le normative – legati alla mancanza di chiarezza riguardo la questione del consenso, dalla quale entrambe le normative dipendono strettamente nonostante i loro diversi obiettivi. Vediamo i possibili punti di frizione.

Gdpr e Psd2: cosa cambia per la privacy e i dati personali

La direttiva 95/46/ce, l’antenato del GDPR è entrata in vigore nel 1995, quando meno dell’1% dei cittadini europei aveva accesso a Internet e i problemi di privacy online facevano per lo più parte della fantascienza. Da allora, Internet è cresciuta in modo esponenziale, aumentando la quantità di dati in circolazione fino a raggiungere unità di misura di cui la maggior parte delle persone non conosce neppure l’esistenza (attualmente stiamo contando gli zettabyte).

Anche il modo in cui questi dati venivano raccolti, memorizzati e utilizzati è cambiato radicalmente, ma per tantissimo tempo sono state applicate le stesse regole di protezione dei dati obsolete risalenti al 1995.

Per questo si è reso necessario l’intervento legislativo europeo con il GDPR. L’obiettivo primario del GDPR è stato sin dall’inizio quello di restituire ai cittadini il controllo dei loro dati personali. Dal punto di vista economico, il GDPR mira a semplificare il contesto normativo per le imprese internazionali unificando la regolamentazione all’interno dell’UE.

Poiché il GDPR è un regolamento e non una direttiva, è stato direttamente applicato in tutti gli Stati membri dell’UE a partire dal maggio 2018 (per inciso una direttiva indirizza gli Stati membri solo ad attuare la sentenza, ma non la applica).

Anche il PSD2 è una normativa “di risposta”, anche se, a differenza del GDPR, è più un aggiornamento che un vero e proprio cambio di paradigma rivoluzionario.

Una cosa è certa, il PSD2 è stato sulla “lingua di tutti” nel settore bancario tra il 2015 e il 2017.

Un aggiornamento, appunto, alla prima direttiva sui servizi di pagamento, il PSD2 mirava a cambiare il modo in cui veniva svolta l’attività bancaria al dettaglio nel SEE.

La prima direttiva sui servizi di pagamento (PSD) è entrata in vigore alla fine di dicembre 2007, disciplinando tutti i servizi di pagamento e i prestatori di servizi di pagamento nell’UE (Unione europea) e nello Spazio economico europeo (SEE). L’area unica dei pagamenti in euro (SEPA) definisce l’interoperabilità dei prodotti di pagamento, l’infrastruttura e gli standard tecnici, come ISO 20022, IBAN, BIC, i regolamenti per i bonifici e altro ancora.

La prima PSD ha fornito il quadro giuridico all’interno del quale devono operare tutti i prestatori di servizi di pagamento (PSP). L’obiettivo della direttiva è stato quello di aumentare la concorrenza e la partecipazione paneuropea nel settore dei pagamenti, anche da parte di operatori non bancari e di garantire condizioni di parità di condizioni armonizzando la protezione dei consumatori e i diritti e gli obblighi dei prestatori di servizi di pagamento.

Il PSD2 è inteso a rendere i pagamenti transnazionali “facili, efficienti e sicuri come i pagamenti nazionali” e a migliorare la concorrenza aprendo i mercati dei pagamenti a nuovi operatori.

PSD2, in dettaglio

Di seguito le maggiori modifiche e novità introdotte con il PSD2, suddivise per area.

Autenticazione

L’introduzione del PSD2 ha imposto regole di sicurezza più severe per l’autenticazione dei consumatori, proprio con l’obiettivo di ridurre le frodi. A tutti i PSP sarà richiesto di applicare la “Strong Customer Authentication” (autenticazione a due fattori) quando qualcuno avvia un’operazione di pagamento elettronico. Un’autenticazione forte dei clienti offre ai consumatori e ai commercianti una maggiore protezione contro le frodi fissando requisiti più elevati per l’autenticazione degli utenti.

Tutela dei consumatori

Il PSD2 ha cercato di ottenere una migliore protezione dei consumatori, non consentendo più ai PSP di addebitare ai pagatori la notifica in caso di perdita/appropriazione indebita dello strumento in questione. I PSP dovranno pertanto rivedere le loro politiche in materia e adattarle di conseguenza per seguire il nuovo regolamento.

Fornitori terzi e XS2A

I fornitori di terze parti (TPP) sono stati il cambiamento più significativo nel PSD2, laddove è stato introdotto l’accesso ai conti (XS2A). Le banche e le altre istituzioni finanziarie si sono impegnate a fornire ad alcune terze parti autorizzate l’accesso alle informazioni sui conti. Allo stesso tempo, è stata imposta l’uniformità di trattamento per i pagamenti che passano attraverso terzi fornitori di servizi. Esistono due tipi di TPP: i fornitori di servizi di informazione sul conto (AISP) e il Payment Initiation Service Provider (PISP). L’AISP fornisce informazioni sui vostri conti e saldi, e il PISP avviare i pagamenti senza passare attraverso le reti di pagamento.

PSD2, la strada verso l’open banking?

Uno dei più importanti cambiamenti permessi dal PSD2 è stato, quindi, relativo alla condivisione delle informazioni: le banche dovranno consentire ai diversi provider l’accesso ai dati tramite API, dando così luce al cosiddetto “Open Banking”.

Adottando la PSD2, il Parlamento Europeo ha dato un forte segnale verso una nuova era di apertura e trasparenza, stimolando l’innovazione e abbassando le barriere all’entrata per i nuovi entranti (sì, le Fintech), incrementando così la sicurezza e riducendo i costi per i consumatori, che avranno più scelta, prodotti su misura e maggiore libertà di fare switching.

PSD2 e strong consumer authentication (SCA)

La PSD2 richiede inoltre ai PSP di attivare non più solo l’autenticazione a due fattori ma bensì a tre fattori.

I fattori che permettono l’identificazione del cliente sono: “qualche cosa che conosco” (es. password), “qualche cosa che posseggo” (es. smartphone) e “qualche cosa che sono” (es. impronta digitale).

Gli istituti bancari, con recepimento della normativa, hanno dovuto implementare quanto richiesto nelle operazioni dispositive sia da internet banking che da mobile banking.

In particolare, al cliente non è più solo richiesta l’autenticazione a doppio fattore, ma nel momento in cui viene effettuata una operazione dispositiva viene richiesto il famoso terzo fattore.

Alcuni istituti bancari hanno utilizzato le push notification, altri hanno richiesto l’impostazione di un secure code che conosce solo il cliente stesso.

Questo ha portato ad un notevole cambiamento per il consumatore in termini di user experience, rendendo il pagamento online più sicuro ma per alcuni versi più complesso.

Proprio per questa ultima considerazione i colossi del mercato online (es. Amazon) cercano di tardare il più possibile la messa in produzione di questo sistema, ben consci dell’impatto che avrà sulla clientela.

GDPR, un’overview

Il GDPR (General Data Protection Regulation) è stato recepito il 25 maggio 2018 ed è ormai in vigore da Aprile del 2017. Questo regolamento impone leggi restrittive che riguardano i dati dei cittadini europei.

Il parlamento Europeo ha adottato questo regolamento nell’Aprile del 2016, dopo ben 4 anni di discussioni e negoziazioni per la sua stesura. Le regole contenute nel regolamento rinforzano la protezione dei dati sensibili in risposta alla crescente preoccupazione riguardo la privacy.

Questi nuovi regolamenti si integrano con leggi già effettive nei 28 stati membri. Le violazioni del GDPR sono prese molto seriamente con ammende fino a 20 milioni di Euro o fino al 4% del fatturato, se superiore.

I dati personali nel contesto del GDPR si riferiscono a tutti i dati relativi a una persona vivente identificata o identificabile. Sono incluse anche informazioni che, se raccolte insieme, possono portarne all’identificazione. Ciò vale anche per i dati crittografati o presentati con l’uso di pseudonimi, finché la crittografia/anonimizzazione è reversibile. Nel rispetto degli obblighi del regolamento sulla protezione dei dati, ciò significa che le chiavi di decifrazione dovranno essere mantenute separate dai dati pseudonimizzati.

Esempi di dati personali includono (ma non si limitano a) dati identificativi come nomi, dati genetici, biometrici o inerenti la salute, dati web come indirizzi IP, indirizzi e-mail personali, opinioni politiche e orientamento sessuale.

Esempi di dati non personali includono i numeri di registrazione della società, indirizzi di posta elettronica generici come info@azienda.com e dati resi anonimi.

Un ambito di applicazione così ampio copre in pratica quasi tutte le attività, e pertanto si può concludere che il GDPR si applica indipendentemente dal fatto che la tua organizzazione si trovi o meno nell’Unione Europea. Di fatto, il GDPR è una priorità assoluta in materia di protezione dei dati anche per il 92% di tutte le aziende statunitensi, come emerso al tempo dal un sondaggio svolto negli Stati Uniti d’America.

Il GDPR si applica al trattamento dei dati personali. Non si applica pertanto ai dati aziendali, come il nome e l’indirizzo della società.

Attenzione però, perché normalmente sono le persone fisiche che lavorano in un’azienda: qualsiasi dato che si riferisce a loro è quindi considerato “personale”, indipendentemente dal fatto che venga trattato in un contesto Business to Customer (B2C) o Business to Business (B2B).

Gli unici dati personali che non rientrano nell’ambito di applicazione del GDPR:

  • sono trattati dagli Stati Membri nel contesto della politica estera e di sicurezza comune dell’UE;
  • sono trattati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, compresa la tutela e la prevenzione di minacce alla pubblica sicurezza;
  • sono trattati da istituzioni, organi, uffici e agenzie dell’UE;
  • sono trattati da una persona fisica nel corso di un’attività puramente personale o domestica.

In pratica, l’unica eccezione rilevante è quest’ultima: per esempio, se raccogli i dati personali dei tuoi amici per la tua rubrica telefonica non sei legato al GDPR.

In aggiunta a quanto sopra, abbiamo già menzionato in quali condizioni il GDPR si applica da un punto di vista territoriale.

Affinché un’attività di trattamento non sia soggetta al GDPR, devono verificarsi tutte e 3 queste condizioni:

  • il trattamento non riguarda l’offerta di beni o servizi (anche in forma gratuita) a interessati nell’Unione o il monitoraggio del loro comportamento nella misura in cui avviene all’interno dell’Unione;
  • il responsabile del trattamento non si trova in un luogo al di fuori dell’UE dove si applicano le leggi dell’UE a causa del diritto pubblico internazionale.
  • il titolare (o il responsabile) del trattamento non ha sede nell’UE. Tieni sempre presente che il titolare/responsabile del trattamento potrebbe anche essere una filiale UE di una società al di fuori dell’UE: in tal caso si applicherebbe pienamente il GDPR, anche se la filiale non avesse personalità giuridica;

GDPR, le ricadute nel sistema bancario

Ovviamente soffermarsi su tutte le sfaccettature del GDPR comporterebbe un libro a parte – che abbiamo già pubblicato – quello che interessa più in questo testo è come questo abbia di fatto impattato il sistema bancario.

Il GDPR ha infatti inteso bilanciare due esigenze potenzialmente in conflitto: favorire la libera circolazione dei dati personali e assicurare contestualmente la protezione di tali dati, come abbiamo sottolineato pocanzi.

Contrariamente a quanto può trasparire da quella che è la percezione generale, infatti, la nuova disciplina non costituisce un ostacolo al trattamento dei dati ma – al contrario – intende assicurare che tale trattamento sia effettuato in maniera trasparente, garantendo all’interessato il diritto di essere sempre informato sull’esistenza di un trattamento avente ad oggetto dati personali che lo riguardano, nonché sulle modalità di svolgimento di tale trattamento.

Data l’ampiezza della sua portata, il GDPR ha avuto e continuerà ad avere, nei prossimi anni, un impatto significativo in tutti i settori in cui avviene un trattamento di dati personali.

Non a caso, infatti, gli operatori finanziari nello svolgimento della propria attività vengono in possesso di un enorme quantità di dati sensibili.

Questi dati, per numero e varietà, permettono all’operatore bancario di effettuare una costante attività di profilazione dei propri clienti.

Ed è proprio la profilazione ad essere oggetto di grande attenzione da parte del GDPR, con un focus particolare sugli ambiti che riguardano l’attivazione dei processi automatici.

In particolare il GDPR prende in considerazione “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

La profilazione del cliente è inscindibile dallo svolgimento dell‘attività bancaria e gli operatori bancari compiono tale attività in due occasioni:

  • nella prestazione di servizi di pagamento: “quando l’operatore bancario deve acquisire e archiviare tutti i dati relativi alle operazioni di pagamento del cliente, con la conseguenza di ottenere piena visione di spese, operazioni di pagamento, acquisti ecc. In questo modo l’operatore bancario potrebbe facilmente creare un profilo personale del cliente da inserire all’interno di determinate categorie o classi commerciali di clientela”.
    Tale profilazione può essere utilizzata in primo luogo dagli operatori bancari stessi per indirizzare ad ogni cliente offerte mirate di altri servizi bancari e finanziari (i.e. servizi diversi dai servizi di pagamento), presumibilmente di maggiore interesse per l’interessato. Inoltre, i profili personali dei clienti – a condizione che siano state adottate opportune cautele al momento della raccolta dei dati – potrebbero essere ceduti a soggetti terzi che potrebbero avvalersene per proprie finalità commerciali (ad es. campagne pubblicitarie o offerte mirate);
  • “Nell’attività di scoring del merito creditizio e nella profilazione del cliente ai sensi della normativa MIFID per definire l’esatta tipologia di clientela (ad es. cliente retail o cliente professionale)”.

Ovviamente questi esempi hanno la funzione di sottolineare come l’attività di profilazione non solo sia intrinseca e imprescindibile all’attività bancaria, ma come talvolta sia addirittura imposta ex lege allo scopo di adempiere specifici obblighi a carico degli operatori bancari (ad es. in ambito MIFID).

Come detto, il GDPR presta particolare attenzione al tema della profilazione, perché ravvede in essa un potenziale rischio per i diritti e le libertà degli interessati e ciò a causa dell’invasività che ne può derivare per gli aspetti più personali della vita.

La scelta del legislatore europeo, in linea con la visione generale del regolamento, è quella di ammettere la profilazione, ma richiedendo alcuni accorgimenti volti ad assicurare una adeguata tutela delle persone coinvolte.

Gli obblighi che gli operatori bancari dovranno assolvere per continuare a condurre lecitamente tale attività sono, in particolare, i seguenti:

  • fare espressa menzione nell’informativa agli interessati ai sensi degli artt. 13 e 14 GDPR dell’esistenza di un processo di profilazione, fornendo tutte le informazioni significative sulla logica utilizzata, nonché sull’importanza e le conseguenze previste di tale trattamento per l’interessato;
  • svolgere una valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment – DPIA), obbligatoria quando un trattamento, in particolare se prevede l’uso di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, considerati la natura, l’oggetto, il contesto e le finalità del trattamento stesso; tale valutazione è richiesta specificamente dall’art. 35 GDPR in presenza di un’attività di profilazione;
  • designare un responsabile della protezione dei dati (Data Protection Officer – DPO) previsto dall’art. 37 GDPR con il compito di assistere e consigliare il titolare del trattamento (in questo caso l’operatore bancario) con riferimento a tutte le questioni relative alla protezione dei dati personali.

Quando parliamo di profilazione non possiamo fare a meno di parlare di modelli di data governance, che supportino le scelte del business rendendole più consapevoli ed efficaci e permettano la piena tracciabilità del ciclo di vita del dato

Con il termine di data governance si intendono infatti tutte le metodologie, figure professionali e strumenti che permettono di gestire i dati aziendali, dove questi siano archiviati e da quali sistemi utilizzati.

Adottare un modello di data governance permette in caso di richieste dei clienti di rispondere in modo preciso e veloce. Il cliente infatti non solo può richiedere la cancellazione dei dati in qualsiasi momento (il diritto all’oblio) ma soprattutto sapere quali persone hanno potuto accedervi.

In questo senso gli istituti bancari sono tenuti a implementare sistemi che permettano di registrare gli accessi ai singoli dati sui singoli partitari.

Nel caso di violazione dei dati (Data Breach) un modello di data governance unitamente al registro dei trattamenti, altro elemento introdotto dalla GDPR, permette una individuazione puntuale e snella dei partitari coinvolti ma anche del perimetro di utenti convolti dalla violazione stessa.

PSD2 e GDPR, possibili punti di frizione

Ovviamente la congiuntura derivante dall’ingresso di due normative così importanti in un arco temporale così ravvicinato non può che causare qualche frizione.

Dal punto di vista prettamente giuridico e contrattuale, l’ingresso nel mondo del sistema dei pagamenti dei TPP determina l’esigenza di regolare su un piano contrattuale i rapporti tra questi e gli operatori del sistema bancario tradizionale.

Un primo aspetto da considerare riguarda l’accesso ai dati del cliente. Il GDPR ha l’obiettivo specifico di garantire che l’interessato sia sempre adeguatamente informato sul modo in cui i suoi dati personali sono trattati, riconoscendogli tra l’altro il diritto di controllare l’accesso agli stessi.

Dall’altro lato, invece, i nuovi servizi del PSD2 necessitano, per poter funzionare, di una più rapida interazione tra i dati a disposizione degli operatori bancari e i TPP i quali, per poter eseguire i propri servizi, hanno bisogno di poter accedere tempestivamente ai dati del cliente trattati dall’operatore bancario. La tendenza in ambito PSD2 è, pertanto, quella di rendere i dati dei clienti maggiormente accessibili ai soggetti terzi.

Per esempio, in base alla PSD2, gli operatori bancari dovranno fornire ai TPP alcuni dati dei propri clienti allo scopo di permettere ai TPP di erogare i propri servizi, fatta eccezione per quelli sensibili come quelli inerenti al pagamento.

Ciononostante, a una più attenta lettura della definizione di dati sensibili relativi ai pagamenti, si nota che il legislatore comunitario non ha fornito una nozione oggettiva e univoca di dato sensibile relativo ai pagamenti e, all’atto pratico, tale concetto potrebbe finire per essere affidato alla sensibilità degli operatori bancari.

Questa lacuna potrebbe, da un lato, incrementare il rischio di non conformità o, al contrario, spingere gli operatori bancari ad adottare un approccio fin troppo prudente nel definire, a fini interni e operativi, la propria nozione di dato sensibile.

Diverrà quindi essenziale definire il ruolo di ciascuna entità coinvolta nel trattamento dei dati dei clienti (sia dal lato dell’operatore bancario che da quello del TPP) al fine di individuare per ciascuna di esse gli obblighi da rispettare.

A tal riguardo va ricordato che, l’art. 13 del GDPR impone al titolare del trattamento l’obbligo di fornire all’interessato, su richiesta di quest’ultimo, informazioni relative al trattamento dei dati personali che lo riguardano.

Nel caso in cui più soggetti siano coinvolti nel trattamento, come nel caso di “concorso” tra operatori bancari e TPP, si pone il problema di stabilire chi è tenuto a fornire all’interessato l’informativa nonché ad acquisire e conservare il relativo consenso, ove questo sia necessario.

Nella normalità dei casi, il cliente ha un primo contatto negoziale con l’operatore bancario come nel caso questi voglia aprire un conto corrente o richiedere l’emissione di una carta di pagamento.

Qui si presenta un dilemma: nel caso in cui il cliente abbia già rilasciato all’operatore bancario il consenso a che i suoi dati siano resi disponibili ad un TPP, quest’ultimo potrà avere accesso a tutti i dati del cliente conservati presso la banca, anche se non direttamente necessari per l’erogazione del servizio da esso fornito?

Questo è uno degli interrogativi che fanno emergere l’importanza di soluzioni adeguate al caso specifico, che concilino le diverse previsioni normative, nell’ottica di una organizzazione efficiente e conforme ad entrambe le normative.

In tale ottica sarà opportuno, nell’interesse di entrambi, operatore bancario e TPP, che siano disciplinati in via negoziale i reciproci rapporti con riferimento al trattamento dei dati personali dei clienti.

In particolare, l’inquadramento sul piano della protezione dei dati personali del TPP è uno degli aspetti che può dar luogo a maggiori criticità e controversie, a partire dalla questione se il TPP debba essere considerato titolare o responsabile del trattamento.

Ciascuna delle due ipotesi è possibile, almeno astrattamente; non sembra possibile fornire, a priori, una risposta univoca e standardizzata per tutti i TPP e i nuovi servizi PSD2; occorre infatti una valutazione, caso per caso, che tenga conto in concreto delle funzioni e delle attività svolte.

A seconda della soluzione scelta, ci saranno profili da regolare e responsabilità da ripartire: se si imponesse, nel caso concreto, di inquadrare l’operatore bancario come titolare del trattamento e il TPP come responsabile del trattamento, sarebbe necessario stipulare un contratto che, in conformità all’art. 28 del GDPR6, disciplini il trattamento effettuato dal TPP.

Questo interessa in particolare gli operatori finanziari, in quanto titolari del trattamento, dovrebbero fornire al TPP, in quanto responsabile del trattamento, una serie di istruzioni per la realizzazione del trattamento stesso (ad es. le misure di sicurezza da mettere in atto, eventuali tecniche di criptazione e/o pseudonimizzazione da adottare, elaborazione di procedure da seguire in caso di data breach, ecc.).

In aggiunta l’operatore bancario dovrà esercitare uno stretto controllo sull’operato del TPP in quanto, come titolare, è l’operatore bancario ad essere responsabile ultimo di tutte le violazioni del GDPR, anche quelle derivanti da comportamenti del responsabile del trattamento, salvo che dimostri di non essere in alcun modo responsabile.

Si pone a questo punto un primo contrasto tra GDPR e PSD2. Mentre l’art. 28 del GDPR, come detto, richiede che i rapporti tra titolare e responsabile del trattamento siano disciplinati da un contratto o altro atto giuridico, gli articoli 66(5) e 67(4) della PSD2 stabiliscono che non può essere richiesto al TPP alcun contratto per accedere e usufruire dei dati personali del cliente della banca che ha scelto di avvalersi dei servizi del TPP7. In pratica, allo scopo di agevolare l’operatività dei TPP facilitando la diffusione dei loro servizi, il TPP ha diritto di accedere direttamente ai dati bancari (i.e. quelli necessari per l’erogazione del servizio del TPP) del cliente.

L’operatore bancario non può dunque rifiutarsi di concedere al TPP l’accesso ai dati del cliente che, volendo usufruire dei nuovi servizi previsti dalla PSD2, abbia deciso di avvalersi di un TPP. Questa “discrasia” comporta che se, da un lato, l’operatore bancario è responsabile per la condotta del TPP, dall’altro lato non ha di fatto la possibilità di intervenire e limitare tale condotta.

Gli operatori bancari, già esposti agli effetti potenzialmente negativi della “disintermediazione bancaria”, potrebbero trovarsi ben presto di fronte a un pericoloso bivio. Nel caso in cui l’operatore bancario non riponga fiducia nelle capacità tecniche e organizzative del TPP rispetto alla compliance privacy, un eventuale rifiuto dell’operatore bancario di fornire i dati del cliente al TPP costituirebbe una violazione della PSD2 e, almeno astrattamente, un inadempimento nei confronti del cliente che ha deciso di avvalersi dei servizi TPP. Viceversa, se l’operatore bancario decidesse di conformarsi alla PSD2 e fornire i dati del cliente al TPP, in caso di data breach e violazione delle norme a tutela della riservatezza del cliente da parte del TPP, l’operatore bancario potrebbe essere responsabile in base al GDPR (con tutto ciò che ne consegue sul profilo economico data la severità del quadro sanzionatorio previsto dal GDPR).

Altra possibilità consiste nel considerare l’operatore bancario e il TPP come due titolari autonomi del trattamento. In tal caso si porrebbe il problema di regolare il trasferimento dei dati dall’operatore bancario al TPP. Infatti il cliente instaura un rapporto in primo luogo con l’operatore bancario; nel momento in cui il cliente richiede al TPP l’erogazione del nuovo servizio PSD2, il TPP non raccoglie i dati direttamente dal cliente, ma li acquisisce attraverso l’accesso ai dati dell’operatore bancario.

Si configura dunque una cessione di dati dall’operatore bancario al TPP con tutto ciò che ne consegue: nel rispetto del principio di trasparenza, al cliente deve essere reso noto che i suoi dati potranno essere comunicati a un terzo (il TPP), che potrà trattarli in maniera autonoma per il perseguimento di proprie finalità. In questo caso sia l’operatore bancario che il TPP saranno soggetti all’obbligo di informare l’interessato, per quanto di propria competenza.

Oltre al contrasto esistente tra art. 28 del GDPR e gli artt. 66 e 67 della PSD2, si segnala un ulteriore possibile attrito applicativo: l’art. 12 del GDPR prevede che quando l’interessato esercita uno dei diritti che gli sono riconosciuti, il titolare del trattamento deve dare seguito alla richiesta entro un mese. Questa disposizione si applica anche nel caso in cui l’interessato chieda di accedere ai propri dati o di riceverli in un formato strutturato (il c.d. diritto alla portabilità dei dati).

Ai sensi della PSD2, invece, l’operatore bancario deve fornire ai TPP l’accesso ai dati in tempo reale. In conclusione è evidente che la nuova regolamentazione in materia di protezione dei dati personali avrà un forte impatto sull’attività degli operatori bancari e dovrà essere presa in attenta considerazione nel futuro esercizio dell’attività bancaria.

Tanto agli operatori tradizionali del settore bancario, quanto ai TPP, sarà richiesto un particolare e continuo sforzo per trovare un punto di equilibrio tra le due normative (GDPR e PSD2) ed assicurare adeguata compliance rispetto a entrambi i fronti normativi.

PSD2 e GDPR, considerazioni conclusive

Nonostante i loro diversi obiettivi, PSD2 e Gdpr dipendono entrambe strettamente dalla questione del consenso.

Il GDPR stabilisce che gli istituti finanziari non possono trattare i dati dei consumatori senza il consenso, che deve essere ottenuto a condizioni specifiche. Mentre la PSD2 stabilisce anche che il “consenso esplicito” è necessario per fornire servizi ai consumatori, il concetto non è definito e non vi è alcun suggerimento che abbia lo stesso significato del GDPR. Questa mancanza di chiarezza in merito al consenso pone un problema alle parti che offrono servizi di pagamento, in quanto esse si destreggiano tra l’attuazione di entrambe le normative.

La PSD2 è destinata a offrire alle banche opportunità senza precedenti nel settore dei pagamenti, soprattutto a causa della regola dell’accesso ai conti. Mentre le norme GDPR sulla privacy dovranno essere prese in considerazione nello sviluppo di nuovi prodotti o nell’apportare modifiche, queste sfide possono essere affrontate con una pianificazione solida e una competenza sufficiente.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4