Tra GDPR e PSD2

La Privacy dell’utente che utilizza servizi di pagamento

L’inarrestabile digitalizzazione dei servizi bancari è accelerata dalle abitudini di una nuova clientela sempre più composta da nativi digitali; il rapporto tra istituti di credito e clienti vive di nuove sfide. I servizi di banking, finanza, nonché i servizi tecnologici a supporto dei sistemi bancari, sono il perno dello sviluppo di dinamiche socioeconomiche ed è essenziale comprendere come la contaminazione di discipline, afferenti a settori apparentemente diversi, debba necessariamente compenetrarsi: sia per garantire la coerenza degli ordinamenti; sia per dare effettiva tutela a tutti coloro che, effettuando transazioni online, potenzialmente mettono a rischio la riservatezza, l’integrità e la disponibilità dei propri dati. Parliamo di dati bancari che, se compromessi, possono essere usati anche per prosciugare le nostre casse.

Il sistema normativo di riferimento vede al centro il GDPR ed intorno gravitare la Dir. 2015/2366/UE (nota come PSD2 – Payment Services Directive), emanata allo scopo di disciplinare servizi di pagamento, che dev’essere interpretata alla luce del GDPR. Nella PSD2 trovano disciplina due diverse tipologie di provider di sevizi di pagamento (PISP e AISP) i quali, poiché autorizzati dall’utente finale, devono avere accesso ai conti correnti online e di conseguenza alle informazioni dell’utente in possesso delle banche.

Il consenso esplicito dell’utente è cruciale affinché il prestatore di servizi sia legittimano all’accesso, al trattamento e alla conservazione dei dati personali (co. 2, art. 94 PSD2). L’EDPB è dell’idea che detto consenso sia tanto significativo da considerarsi fonte di obblighi di natura contrattuale[1]: obbligo di fornire un’informativa chiara, completa e intellegibile; obbligo di effettuare trattamenti compliance alla disciplina generale del GDPR; obbligo di adempiere a specifiche normative di settore e strategie di sicurezza che mirano a dare maggior tutela alla gestione dei dati personali.

Se quanto detto è senz’altro vero per le tutele accordate all’utente pagatore, che acconsente esplicitamente a mettere a disposizione del prestatore di servizi di pagamento i propri dati bancari, la posizione che in questo triangolo assume il “silent party data” – destinatario di un pagamento, che invece non ha fornito il proprio consenso, affinché il prestatore del servizio potesse trattare anche i suoi dati personali – è meno chiara. Infatti, per chiarire le tutele a favore del “silent party data”, occorre riferirsi all’art. 6, co. 1, lett. f) del GDPR, in quanto disciplina la liceità dei trattamenti di dati personali in virtù della necessità di perseguire l’interesse legittimo del titolare o di parti terze, fintanto che non vengono pregiudicati i diritti e le libertà fondamentali dell’interessato.

Ad ogni modo, l’EDPB sottolinea la doverosità che ciascun trattamento di dati personali, fondato sui principi del GDPR, sia effettuato perché necessario: dev’essere proporzionato, nonché in linea con gli altri principi di conservazione limitata nel tempo, di minimizzazione del dato e di trasparenza. Inoltre, le informazioni e i dati dell’utenza non possono essere utilizzati per scopi ulteriori rispetto a quelli per cui sono raccolti, confermano gli artt. 66, co. 3, lett. g) e l’art 67, co.2, lett. f) della PSD2.

Articolo di
Dott. Giacomo De Simio – Data Protection Specialist


[1] https://edpb.europa.eu/sites/edpb/files/files/news/psd2_letter_en.pdf