Tra GDPR e PSD2

La Privacy dell'utente che utilizza servizi di pagamento

L’inarrestabile digitalizzazione dei servizi bancari è
accelerata dalle abitudini di una nuova clientela sempre più composta da nativi
digitali; il rapporto tra istituti di credito e clienti vive di nuove sfide. I
servizi di banking, finanza, nonché i servizi tecnologici a supporto dei
sistemi bancari, sono il perno dello sviluppo di dinamiche socioeconomiche ed è
essenziale comprendere come la contaminazione di discipline, afferenti a
settori apparentemente diversi, debba necessariamente compenetrarsi: sia per
garantire la coerenza degli ordinamenti; sia per dare effettiva tutela a tutti
coloro che, effettuando transazioni online, potenzialmente mettono a rischio la
riservatezza, l’integrità e la disponibilità dei propri dati. Parliamo di dati
bancari che, se compromessi, possono essere usati anche per prosciugare le
nostre casse.

Il sistema normativo di riferimento vede al centro il GDPR ed
intorno gravitare la Dir. 2015/2366/UE (nota come PSD2 – Payment Services
Directive), emanata allo scopo di disciplinare servizi di pagamento, che
dev’essere interpretata alla luce del GDPR. Nella PSD2 trovano disciplina due
diverse tipologie di provider di sevizi di pagamento (PISP e AISP) i quali,
poiché autorizzati dall’utente finale, devono avere accesso ai conti correnti online
e di conseguenza alle informazioni dell’utente in possesso delle banche.

Il consenso esplicito dell’utente è cruciale affinché il prestatore
di servizi sia legittimano all’accesso, al trattamento e alla conservazione dei
dati personali (co. 2, art. 94 PSD2). L’EDPB è dell’idea che detto consenso sia
tanto significativo da considerarsi fonte di obblighi di natura contrattuale[1]:
obbligo di fornire un’informativa chiara, completa e intellegibile; obbligo di
effettuare trattamenti compliance alla disciplina generale del GDPR; obbligo
di adempiere a specifiche normative di settore e strategie di sicurezza che mirano
a dare maggior tutela alla gestione dei dati personali.

Se quanto detto è senz’altro vero per le tutele accordate
all’utente pagatore, che acconsente esplicitamente a mettere a disposizione del
prestatore di servizi di pagamento i propri dati bancari, la posizione che in
questo triangolo assume il “silent party data” - destinatario di un pagamento,
che invece non ha fornito il proprio consenso, affinché il prestatore del
servizio potesse trattare anche i suoi dati personali - è meno chiara. Infatti,
per chiarire le tutele a favore del “silent party data”, occorre riferirsi
all’art. 6, co. 1, lett. f) del GDPR, in quanto disciplina la liceità dei trattamenti
di dati personali in virtù della necessità di perseguire l’interesse legittimo
del titolare o di parti terze, fintanto che non vengono pregiudicati i diritti
e le libertà fondamentali dell’interessato.

Ad ogni modo, l’EDPB sottolinea la doverosità che ciascun
trattamento di dati personali, fondato sui principi del GDPR, sia effettuato
perché necessario: dev’essere proporzionato, nonché in linea con gli altri
principi di conservazione limitata nel tempo, di minimizzazione del dato e di
trasparenza. Inoltre, le informazioni e i dati dell’utenza non possono essere
utilizzati per scopi ulteriori rispetto a quelli per cui sono raccolti,
confermano gli artt. 66, co. 3, lett. g) e l’art 67, co.2, lett. f) della PSD2.

Articolo di
Dott. Giacomo De Simio - Data Protection Specialist

[1] https://edpb.europa.eu/sites/edpb/files/files/news/psd2_letter_en.pdf