ADEMPIMENTI PRIVACY

Trattamento di dati personali e PSD2: le nuove linee guida EDPB per l’open banking

La Direttiva PSD2 ha “sdoganato” il settore dei servizi di pagamento dando accesso a dati bancari anche a soggetti terzi in precedenza esclusi: ora, dopo due anni, arrivano le linee guida EDPB sul trattamento di dati personali proprio su questo tema che aiutano ad evitare “trappole” e zone grigie non risolte dal GDPR

29 Lug 2020
M
Andrea Michinelli

Studio Legale d’Ammassa & Partners, CIPP/E, CIPM, FIP (IAPP)


Da tempo si avvertiva l’esigenza di chiarimenti da fonte autorevole circa il trattamento di dati personali connesso ai servizi di pagamento “sdoganati” dalla Direttiva PSD2 (Payments Service Directive 2, recepita in Italia con D.lgs. 218/2017 ed entrata in vigore dal gennaio 2018).

È noto che tale innovazione ha rivoluzionato il settore, varando il c.d. open banking e dando così accesso a dati bancari e di pagamento (oltre che delle annesse API – Application Programming Interfaces, utilizzate dagli istituti nella gestione dei conti e degli account) a soggetti terzi in precedenza esclusi, oltre ad ampliare l’offerta al pubblico dei servizi di pagamento.

Con annesse preoccupazioni e dubbi circa la correlata gestione dei flussi di dati, rivelati a soggetti diversi da quelli che li hanno raccolti inizialmente: due filosofie a confronto, quella di “chiusura” del GDPR e quella di “apertura” della PSD2, con prevedibili tensioni applicative.

Dopo due anni di incertezze e un workshop con gli stakeholder nel 2019 – oltre a una importante lettera di primo chiarimento nel luglio 2018, diretta alla parlamentare Veld e che riprenderemo in seguito – l’EDPB (l’ente che raccoglie tutti i Garanti comunitari, cioè l’European Data Protection Board) ha rilasciato solo in questi giorni le Linee guida sul trattamento di dati personali proprio su questo tema, a concretizzare quella soft law utile per evitare le trappole e zone grigie non risolte dal GDPR.

Vediamo di illustrarne i punti fondamentali, per comprendere il contributo apportato in questa occasione dall’EDPB.

L’accesso ai dati di pagamento da parte dei terzi: PISP, AISP e ASPSP

Il framework disegnato dalla PSD2 comprende, quali soggetti coinvolti che possono avere libero accesso ai dati di conto:

  • PISP (Payment Initiation Service Providers): si tratta dei veri fornitori di servizi di pagamento all’utenza – collocandosi tra il cliente e il suo conto di pagamento presso terzi; esempi sul mercato sono quelli di Sofort, Trustly, iDEAL o lo stesso PayPal;
  • AISP (Account Information Service Providers): sono i prestatori di servizi di aggregazione, in un unicum, dei molteplici dati bancari riconducibili al medesimo soggetto – un servizio dunque precipuamente informativo o di analisi e non operativo, basato sulla situazione di conto del cliente; un esempio è offerto da Experian;
  • ASPSP (Account Servicing Payment Service Providers): è sostanzialmente il soggetto che garantisce la provvista necessaria ai pagamenti, usualmente è una banca presso cui il cliente ha depositato il proprio denaro in conto corrente – deve far accedere AISP e PISP ai conti per le finalità di servizio previste dalla legge.

PSD2 e trattamento dei dati personali: il quadro normativo

La PSD2 menziona il trattamento dei dati personali, in particolare al Considerando 89 e all’art. 94. Tali norme si limitano a prevedere che il trattamento sia rispettoso delle normative comunitarie (in passato la Direttiva 95/46/CE, oggi il GDPR) sulla data protection.

Il Considerando 89 recita: “In particolare, qualora ai fini della presente direttiva vi sia trattamento di dati personali, è opportuno che sia specificato lo scopo preciso, siano citate le basi giuridiche pertinenti, vi sia conformità con i requisiti di sicurezza pertinenti di cui alla direttiva 95/46/CE e siano rispettati i principi di necessità, proporzionalità, limitazione delle finalità e proporzionalità del periodo di conservazione dei dati. Inoltre, la protezione dei dati fin dalla progettazione e la protezione dei dati di default dovrebbero essere integrate in tutti i sistemi di trattamento dei dati sviluppati e utilizzati nel quadro della presente direttiva”.

L’art. 94, invece, puntualizza che “gli Stati membri autorizzano il trattamento dei dati personali da parte di sistemi di pagamento e di prestatori di servizi di pagamento se necessario per garantire la prevenzione, l’indagine e l’individuazione dei casi di frode nei pagamenti”. Non troviamo altri chiarimenti e ulteriori norme della PSD2 fanno sorgere ambiguità, di seguito chiamate in causa nella nostra analisi.

Il pregresso chiarimento dell’EDPB su silent party e consenso esplicito

Per ricapitolare, nella menzionata lettera del 2019 l’EDPB aveva già affrontato il tema della parte “silenziosa”, ovvero del trattamento di dati personali di un soggetto interessato che non ha rilasciato alcun consenso (silent party), riconducibile a operazioni di pagamento richieste da un diverso interessato che, invece, ha rilasciato un consenso esplicito – ma solo per sé – al proprio prestatore di servizi.

L’EDPB citava l’esempio – quale silent party – del destinatario di un pagamento richiesto da un interessato al proprio PISP.

Ebbene, in tal caso l’ente europeo ha ammesso come base giuridica quella del legittimo interesse (ex art. 6 comma 1 lett. f GDPR) del titolare o terzi all’esecuzione di un rapporto contrattuale (come quello di pagamento), sempre che sia limitato a quanto possa ragionevolmente attendersi tale silent party.

E pareva bocciare qualsiasi altra finalità diversa da quella fissata al momento della raccolta dati, ritenendo incompatibili nuovi trattamenti non previsti (anche in forza delle restrizioni di cui agli artt. 66 e 67 della Direttiva PSD2).

Va da sé che la silent party ha diritto – come non mai – a una forte protezione dei propri dati e alla riduzione dei rischi connessi al trattamento dei suoi dati, lato security, in particolare quanto a tecniche come la criptazione dei dati che possa garantire un livello idoneo di protezione.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Quanto sopra è confermato dall’EDPB nelle attuali Linee guida: i titolari potranno dunque svolgere i propri test di bilanciamento di interessi legittimi (sempre richiesti dal Considerando 69 del GDPR) utilizzando le indicazioni comunitarie come traccia.

Annesso a questo tema si era toccato quello del consenso “esplicito” richiesto sia dall’art. 9 GDPR (per i dati particolari) che dall’art. 94 comma 2 della Direttiva PSD2 (per garantire l’accesso ai dati da parte dei fornitori di servizi, chiarendo che non si tratta più di una silent party ma proprio dell’interessato richiedente il servizio): va inteso col medesimo significato in entrambi i contesti?

L’EDPB ha chiarito che quello della Direttiva è un “consenso” contrattuale, cioè un’accettazione esplicita delle condizioni di servizio (da incanalare in quanto previsto, piuttosto, dall’art. 6 comma 1 lett. b) del GDPR), a fronte di finalità ben definite e oggetto di adeguata informativa.

Le finalità saranno quelle di accesso ai dati di conto per il loro trattamento nei servizi resi al cliente, costituendo il presupposto che il PISP/AISP deve comprovare all’ASPSP per poter entrare nell’account utente.

L’eventuale trattamento di dati per finalità ulteriori, diverse da quelle contrattuali, si ammette a fronte di un eventuale specifico consenso (questa volta da intendere ai sensi dell’art. 6 comma 1 GDPR).

Nelle Linee guida del 2020 l’EDPB ha confermato anche tale approccio, sottolineando che la PSD2 non crea alcuna base di trattamento alternativa o difforme da quanto già statuito nel GDPR.

Dati particolari trattati nelle operazioni di conto e pagamento

Veniamo alle odierne Linee guida dell’EDPB: nel contesto delineato, è prevedibile che si possa dare trattamento di dati anche particolari (ex art. 9 GDPR, detti “sensibili” in passato) connessi alle operazioni di pagamento.

Un esempio può essere quello di un’operazione di pagamento a favore di un partito politico, chiaramente rivelatore delle opinioni politiche dell’interessato che lo ha disposto.

Non solo: l’EDPB segnala che anche un insieme di transazioni finanziarie può essere analizzato e rivelare determinati comportamenti così da consentire valutazioni anche sensibili dell’interessato, comportando una profilazione ex art. 4 n. 4 GDPR.

Viene ulteriormente chiarito un aggiuntivo, possibile malinteso terminologico: la PSD2 utilizza l’espressione “dati sensibili di pagamento”, la quale però identifica dati utili per potenziali frodi, come le credenziali di accesso al conto, non necessariamente i dati particolari scolpiti dal GDPR all’art. 9.

L’ente precisa che il trattamento di dati particolari nell’ambito PSD2 potrà avvenire – in pratica – solo sulla base di un consenso esplicito (ribadiamo, qui inteso come disciplinato dal GDPR) o per ragioni di pubblico interesse sostanziale (art. 9 comma 2 lett. g) GDPR) identificate dalla legge.

Quanto al predetto consenso, le Linee guida precisano velocemente qualcosa di grande impatto in una realtà aziendale: si ricorda che vale anche per l’eventuale silent party coinvolta.

Accennando ai risvolti pratici, ciò significa che il titolare dovrà anzitutto monitorare che tipo di dati personali eventualmente sono coinvolti nelle operazioni di conto, poi dovrà richiedere il consenso esplicito al correntista e/o alla silent party (non più silent, diremmo, a questo punto), a seconda dei casi, per dare corso alle operazioni in ambito PSD2.

Una bella sfida, qualora non ci si possa appoggiare sul pubblico interesse.

L’accesso ai dati di pagamento: i trattamenti ulteriori di dati

Le Linee guida procedono analizzando le condizioni alle quali l’ASPSP può concedere l’accesso all’account dei propri clienti a PISP e AISP, sottolineando da una parte la granularità di tale accesso ai singoli attori coinvolti (il cliente bancario può consentire l’accesso a determinati PISP e AISP, non fornire un consenso buono per tutti, inoltre può revocare tale autorizzazione verso alcuni o tutti i precedenti oppure espressamente chiedere alla banca di non far accedere determinati soggetti), dall’altra che la base di trattamento utile per l’ASPSP è quella dell’obbligo di legge cioè della legge nazionale di recepimento della Direttiva PSD2 (art. 6 comma 1 lett. c) GDPR).

Inoltre, si chiarisce che gli artt. 66 e 67 della PSD2 non ammettono ulteriori trattamenti di dati – esaurito l’accesso per l’esecuzione dei servizi contrattualmente richiesti, nella misura strettamente necessaria a questi – se non in forza di un consenso specifico oppure di un obbligo di legge (come l’AML, cioè l’antiriciclaggio).

Difatti l’art. 66 recita al comma 3 che “Il prestatore di servizi di disposizione di ordine di pagamento [cioè il PISP]: […] e) non conserva dati sensibili relativi ai pagamenti dell’utente di servizi di pagamento; f) non chiede all’utente dei servizi di pagamento dati diversi da quelli necessari a prestare il servizio di disposizione di ordine di pagamento; g) non usa né conserva dati né vi accede per fini diversi dalla prestazione del servizio di disposizione di ordine di pagamento come esplicitamente richiesto dal pagatore”. Mentre l’art. 67 sancisce al comma 2 che “Il prestatore di servizi di informazione sui conti [ovvero l’AISP]: […] e) non richiede dati sensibili relativi ai pagamenti, collegati ai conti di pagamento; f) non usa, accede o conserva dati per fini diversi da quelli della prestazione del servizio di informazione sui conti esplicitamente richiesto dall’utente dei servizi di pagamento, conformemente alle norme sulla protezione dei dati”.

Pertanto, anche casi di bundle di servizi, ove si mischiassero in un’accettazione unica servizi in parte di pagamento e in parte di altro tipo, ognuno di questi dovrebbe trovare distinta base giuridica di trattamento con relativi adempimenti.

Inoltre, il tentativo di applicare l’art. 6 comma 4 GDPR, ovvero di trattamento per ulteriori finalità non previste inizialmente, in forza di un test di compatibilità tra le finalità, sarebbe fallimentare a causa dello stretto corridoio d’utilizzo dati progettato dagli artt. 66 e 67 della PSD2, come già analizzato dall’ente europeo.

Minimizzazione, security, trasparenza, accountability e profilazione

Il documento si chiude con un capitolo dedicato a tali temi che qui menzioniamo soltanto, non certo per una minor importanza pratica – anzi – bensì per la mancanza di chiarimenti precipui, propri del contesto PDS2, da parte dell’EDPB.

Ci limitiamo a un richiamo interessante quanto alla minimizzazione e al ruolo di eventuali silent party: considerato che non tutti i dati sono “necessari” per i servizi di pagamento e dati loro pertinenti, non dovrebbero essere forniti i dati identificativi, l’IBAN o le caratteristiche della transazione della silent party.

Un’altra bella sfida soprattutto per le banche nel loro ruolo di ASPSP, dovendo impostare i loro sistemi e relativi flussi di dati in maniera rigorosa e attenta all’ambito di comunicazione verso gli altri soggetti PSD2. L’EDPB indica l’uso di filtri digitali per selezionare caso per caso i dati effettivamente necessari.

Conclusioni

Alcune questioni restano aperte sul tema, ad es. sul non sempre chiaro ruolo dei tanti soggetti coinvolti (pensiamo ad es. all’eventuale ruolo da responsabile o titolare dei soggetti summenzionati nelle tante ipotesi possibili di transazione), a fronte di un documento che comunque dissipa alcune nebbie che da tempo imperavano sull’applicazione della Direttiva e che certamente hanno frenato la sua applicazione.

Come da art. 70 del GDPR, l’EDPB ha posto in consultazione pubblica le Linee guida che abbiamo appena illustrato.

Si dovranno attendere 60 giorni per avere la versione definitiva che, al netto di stravolgimenti poco probabili, non si dovrebbe distanziare significativamente da quanto già previsto.

Possiamo dire che il contributo dell’EDPB costituisce fin d’ora un passo avanti significativo su temi già sollevati e che trovano così – per gli operatori del settore – una maggior sicurezza applicativa che possa consentire un marcato sviluppo dell’open banking: tocca ai soggetti coinvolti rimboccarsi le maniche per passare dalla teoria alla realtà.

WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

@RIPRODUZIONE RISERVATA

Articolo 1 di 4