Approfondimenti sui ruoli di titolari e fornitori di servizi di pagamento, le misure di sicurezza da adottare, come basare il trattamento per prevenire le frodi. La versione definitiva delle linee guida EDPB chiarisce alcuni aspetti del rapporto tra la normativa PSD2 relativa ai pagamenti e il regolamento per la protezione dei dati GDPR. Vediamo i punti principali.
Il contenuto delle linee guida EDPB
A fine luglio erano state pubblicate le linee guida EDPB (versione 1.0) sul rapporto del GDPR con la normativa PSD2, importante tassello per gestire gli adempimenti previsti dai due universi normativi in combinazione. Ricordiamo che la normativa PSD2 (recepita in Italia con D.Lgs. 218/17) innova il mercato con nuovi soggetti e attività, liberalizzando il settore dei pagamenti che potrà espandersi a favore di soggetti diversi da quelli tradizionali come le banche.
Dopo diversi mesi e un confronto con il pubblico, l’EDPB ha rilasciato la versione definitiva 2.0 di tali linee guida, tenendo conto proprio del feedback degli stakeholder consultati. Il documento, nella sua essenza, è rimasto lo stesso della versione 1.0, tuttavia sono state introdotte alcune variazioni da porre all’attenzione degli esperti del settore.
PSD2 e GDPR, cosa cambia
Le modifiche più rilevanti del nuovo documento sono le seguenti:
- punto 1.2.12: è stata aggiunta la specifica circa il ruolo di titolari dei fornitori di servizi di pagamento che, da soli o insieme ad altri, determinano le finalità e le modalità del trattamento dei dati personali, rimandando alle linee guida EDPB 7/2020 per maggiori approfondimenti sui ruoli privacy;
- punto 2.3: è stato introdotto un nuovo paragrafo di accenno alle basi di trattamento per la prevenzione delle frodi: ex art. 94 par. 1 la PSD2 stabilisce che gli Stati membri consentono il trattamento dei dati personali da parte dei sistemi di pagamento e dei prestatori di servizi di pagamento anche quando necessario per salvaguardare la prevenzione, l’indagine e l’individuazione delle frodi nei pagamenti; in tal caso, il trattamento dei dati personali strettamente necessari ai fini della prevenzione delle frodi potrebbe costituire un legittimo interesse del prestatore di servizi di pagamento, a condizione (come sempre accade con questa base di trattamento) che tali interessi siano prevalenti (con apposito test di bilanciamento, caso per caso) sugli interessi o i diritti e dalle libertà fondamentali dell’interessato; oppure il trattamento potrebbe basarsi su specifici obblighi di legge quando richiedano il trattamento dei dati personali;
- punto 4.2.47: si chiarisce che nel caso di trattamento di trattamento da parte di PISP (intermediari tra il cliente e l’istituto di credito) e AISP (prestatori dei servizi di aggregazione dei dati bancari), la parte “silente” (ovvero quella passivamente beneficiaria del pagamento disposto attivamente da un utente terzo) può trattare i dati sulla base del legittimo interesse (vedi quanto appena prescritto al punto precedente) ma le relate misure da adottare a salvaguardia degli interessati dovranno essere decise da tutte le parti coinvolte (dunque PISP e AISP);
- punto 5.1.51: circa il trattamento di dati particolari, si chiarisce meglio l’ambito di applicazione: il trattamento di tali dati nell’ambito dei pagamenti (ad es. nel caso di pagamento di prestazioni mediche) può comportare anche profilazione, derivante dall’accumularsi di informazioni pertinenti a varie transazioni che vanno così a costituire un profilo specifico dell’interessato; l’EDPB rimanda alle linee guida del WP29 sul tema [https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053];
- punto 5.4.56: si è eliminata l’indicazione che – sempre nel caso di dati particolari – vi sia necessità di un consenso esplicito anche per la parte “silente” coinvolta, dunque per entrambe le parti coinvolte (pagatore e beneficiario); parrebbe far propendere comunque per la necessità, da tale parte, di acquisire tale consenso in proprio;
- punto 6.3: viene introdotto un nuovo esempio (il secondo nel testo), a proposito delle misure di sicurezza che è possibile implementare nel rispetto del GDPR; in tale caso un AISP desidera garantire che vengano trattati solo i dati personali del conto a cui sono interessati i suoi utenti (parliamo dunque di minimizzazione applicata), pertanto lascia agli utenti stessi la scelta dei dati rilevanti. Nella sua applicazione, un utente che desidera ad es. una panoramica della sua spesa negli ultimi due mesi presso due istituti di credito (ASPSP nel nostro caso, ovvero l’istituto di credito o che comunque garantisce la provvista), chiede informazioni su tutte le transazioni di competenza, selezionando – tra i dati possibili – l’importo della transazione, la data di esecuzione e il nome del destinatario, tramite spunte in apposita dashboard fornita dall’AISP. Successivamente l’AISP richiede ai rispettivi ASPSP solo le informazioni corrispondenti ai campi impostati dall’utente e solo per il periodo selezionato degli ultimi due mesi. Pertanto gli ASPSP dovranno, a loro volta, permettere di parametrare l’accesso dell’AISP a tutti i valori possibili d’interesse del correntista, in particolare quanto al range temporale.
- punto 6.4.74: si ricorda che il GPDR propende per la minimizzazione dei trattamenti, per la riduzione dei dati al minimo necessario, per cui qualora si trattino dati ad es. pseudonimizzati che non richiedono l’identificazione degli interessati, non si dovrà – di conseguenza – richiedere ulteriori dati per identificare gli interessati, seppure in occasione del loro esercizio di diritti ex artt. 15-22 GDPR.
