Ai sensi dell’art. 6 del GDPR, un trattamento di dati è lecito nella misura in cui è supportato da una delle basi giuridiche previste dal Regolamento stesso. I servizi di pagamento disciplinati dalla PSD2 sono erogati sulla base di un contratto con l’utente. La possibilità di poter trattare i dati personali dell’utente è una delle condizioni necessarie per l’erogazione del servizio oggetto del contratto.
I servizi di disposizione di ordini di pagamento
Per quanto riguarda i servizi di disposizione di ordini di pagamento e i servizi di informazione sui conti, i contratti con l’utente possono includere clausole che stabiliscono condizioni relative a servizi aggiuntivi non disciplinati dalla PSD2.
In tali casi il titolare del trattamento deve stabilire quali operazioni di trattamento siano effettivamente necessarie per l’esecuzione del contratto. La necessità di trattare dati personali dell’utente non può trovare fondamento nella mera esistenza di una clausola contrattuale che preveda una tale operazione, ma deve essere valutata in ragione dell’oggettiva impossibilità di erogare il servizio senza quel particolare tipo di trattamento.
Ciò comporta che un trattamento non necessario, benché utile, non può avere come base giuridica il contratto, ma deve fondarsi su un’altra base giuridica di quelle citate all’art.6 GDPR.
Per quanto riguarda l’attività di prevenzione delle frodi, l’art. 94 par.1 della PSD2 prevede che gli Stati membri devono autorizzare il trattamento dei dati personali per prestatori di servizi di pagamento quando ciò è necessario a garantire la prevenzione, l’indagine e l’individuazione di casi di frode nei pagamenti. La base giuridica in questo potrebbe quindi essere l’obbligo di legge ovvero l’interesse legittimo del titolare del trattamento.
Per gli ulteriori trattamenti che possono essere svolti dagli AISP o PISP, l’art. 6 del GDPR chiarisce le condizioni in cui i dati personali possono essere trattati anche per una finalità diversa rispetto a quella per cui sono stati raccolti. L’ulteriore trattamento può aver luogo se:
- si basa su un atto legislativo dell’Unione o di uno Stato membro;
- se l’interessato ha prestato il proprio consenso;
- se il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti è compatibile con la finalità iniziale.
Relativamente all’ultima condizione, gli artt. 66, par. 3, lett. g) e 67, par. 2, lett. f) vietano espressamente a PISP e AISP di usare o conservare dati per finalità diverse da quelle indicate all’utente. Ciò comporta che il trattamento per un’altra finalità effettuato da questi soggetti è lecito unicamente quando l’utente ha prestato il proprio consenso oppure un atto legislativo lo renda legittimo (ad esempio nel caso di obbligo di prevenzione dell’uso del sistema finanziario ai fini di riciclaggio o finanziamento del terrorismo).
Chiarite le basi giuridiche che possono legittimare il trattamento effettuato da AISP e PISP, occorre indagare i rapporti intercorrenti tra questi e gli ASPSP (generalmente le banche) che devono concedere l’accesso ai conti. Ebbene, stabilendo l’art. 66, par. 1 e l’art. 67, par. 1 della PDS2 il diritto dell’utente a usufruire di servizi di disposizione di ordine di pagamento e di informazione sui conti, è naturale l’esistenza per gli ASPSP dell’obbligo di consentire l’accesso alle informazioni detenute.
Il diritto di accesso trova quindi fondamento in un obbligo giuridico.
Il consenso esplicito
L’interpretazione della locuzione “consenso esplicito” è complessa, poiché la nozione figura sia nel GDPR che nella PSD2.
L’art. 4 GDPR definisce il consenso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento“. Il consenso, a norma del GDPR, costituisce un’idonea base giuridica solo quando l’utente ha l’effettiva possibilità di scegliere se accettare o meno i termini proposti. Il titolare deve essere in grado di dimostrare l’effettiva esistenza di un consenso valido, che deve quindi essere “esplicito”.
L’art. 94 della PSD2 stabilisce che il trattamento dei dati personali deve essere conforme al GDPR e che i prestatori di servizi di pagamento possono avere accesso, trattare e conservare i dati personali necessari alla prestazione dei rispettivi servizi di pagamento solo dietro consenso esplicito dell’utente di servizi di pagamento.
Come esposto nel paragrafo precedente, la base giuridica per il trattamento di dati personali per la prestazione di servizi di pagamento è il contratto.
Il consenso esplicito di cui all’art. 94 della PSD2 deve quindi considerarsi un requisito aggiuntivo, di natura contrattuale, non equivalente al consenso esplicito ai sensi del GDPR. Al momento di stipulare un contratto con un prestatore di servizi di pagamento ai sensi della PSD2, gli interessati devono essere pienamente informati delle tipologie di dati personali che saranno trattati e delle finalità specifiche (servizio di pagamento) per cui i loro dati personali saranno trattati e devono accettare esplicitamente tali clausole.
Il trattamento dei dati dei “taciti interessati”
Per “taciti interessati” si intendono quei soggetti che non sono utenti di uno specifico prestatore di servizi a pagamento, ma i cui dati personali sono trattati da quest’ultimo ai fini dell’esecuzione di un contratto tra il prestatore e un utente di servizi di pagamento.
Ciò si verifica ad esempio quando un soggetto A si avvale dei servizi di un AISP e ha effettuato una serie di operazioni sul conto con il soggetto B . B è considerato “tacito interessato”.
Il GDPR, all’art. 6, consente che il trattamento trovi la sua base giuridica nel legittimo interesse del titolare, purché questo non pregiudichi gli interessi o le libertà fondamentali dell’interessato.
La liceità del trattamento effettuato da AISP e PISP si fonda quindi sull’interesse legittimo del titolare, che deve però trovare il proprio limite nelle legittime aspettative degli interessati.
AISP e PISP devono quindi adottare misure tecniche volte ad assicurare che i dati dei taciti interessati non siano utilizzati per finalità ulteriori e diverse da quella per cui sono stati raccolti, a meno che ciò non sia previsto dal diritto dell’UE o degli Stati membri.
Il trattamento di categorie particolari di dati
Le operazioni finanziarie e i pagamenti effettuati mediante supporto di dispositivi elettronici, nonché i servizi di informazione svolti dagli AISP possono rivelare, infatti, molti dati sensibili sull’utente.
L’Art. 9 del GDPR impone un divieto di trattamento dei dati particolari. Il divieto tuttavia non è assoluto. I dati particolari possono essere trattati se è presente una delle deroghe citate all’art.9 par.2 GDPR. In ambito dei trattamenti che rientrano dei servizi di pagamento disciplinati dalla PSD2 è consentito trattare i dati particolari degli utenti quando:
- questi hanno prestato il proprio consenso (art. 9 par.2 lett. a);
- il trattamento è necessario per motivi di interesse pubblico sulla base del diritto dell’Unione o di uno Stato membro (art. 9 par.2 lett. g).
Quando è applicabile una delle deroghe sopra citate, l’EDPB nelle Linee guida 6/2020 raccomanda di mappare e classificare con precisione il tipo di dati personali oggetto di trattamento e di eseguire una valutazione di impatto ai sensi dell’art. 35 GDPR.
Occorre infine far attenzione alla difformità concettuale esistente tra la definizione di dato sensibile (o particolare) data dal GDPR e quella data dalla PSD2 che definisce come “sensibili” i dati relativi ai pagamenti che possono essere utilizzati per commettere frodi, incluse le credenziali di sicurezza personali. A tali informazioni, salvo non si tratti di dati particolari, non si applica il divieto di trattamento sopra descritto.
Misure di sicurezza applicabili nei trattamenti effettuati nell’ambito di servizi disciplinati dalla PSD2
Le procedure e misure di sicurezza previste nel GDPR trovano applicazione anche nei confronti dei trattamenti di dati effettuati nell’ambito dei servizi di pagamento disciplinati dalla PSD2.
In particolare:
- il principio di minimizzazione, che impone al titolare di trattare solo dati adeguati, pertinenti e limitati alle finalità sancite, è applicabile anche ai servizi di pagamento: la tipologia e quantità di dati trattati deve essere aderente alla finalità del contratto. AISP e PISP sono soggetti al principio di minimizzazione tanto quanto gli ASPSP. Gli ASPSP sono tenuti a condividere solo le informazioni strettamente necessarie dell’utente di servizi di pagamento quando questi intenda utilizzare un servizio di disposizione di ordine di pagamento o un servizio di informazione sui conti. A tale proposito è inoltre opportuno osservare che, a norma della PSD2, gli ASPSP possono fornire l’accesso solo alle informazioni sui conti di pagamento. La PSD2 non prevede alcuna base giuridica che consenta l’accesso ai dati personali contenuti in altri conti, quali conti di risparmio, conti ipotecari o conti di investimento.
- Privacy by design e by default: tali principi impongono a titolari e responsabili del trattamento di applicare i principi di protezione dei dati fin dalla progettazione del servizio che sarà poi erogato, quindi, con le misure di sicurezza già e sempre integrate.
- Misure di sicurezza: le violazioni di dati personali inerenti dati finanziari possono comportare notevoli rischi per i diritti e le libertà degli interessati. In qualità di titolari del trattamento, i prestatori di servizi di pagamento sono tenuti ad adottare tutte le misure necessarie a contenere i rischi derivanti dalle operazioni di trattamento effettuate.
- Trasparenza e responsabilizzazione: l’interessato deve essere informato ai sensi degli artt. 13 e 14 del GDPR sulla natura, finalità, base giuridica, modalità e durata del trattamento. Le informazioni possono essere fornite con i metodi classici (informative) o anche con strumenti aggiuntivi (es. dashboard di controllo della privacy). In base al principio di responsabilizzazione, il titolare deve sempre essere in grado di dimostrare la propria conformità al GDPR.
- Profilazione: il trattamento effettuato dai prestatori di servizi di pagamento può comportare la profilazione dell’utente. Il titolare del trattamento deve essere trasparente nei confronti dell’utente, informandolo sull’esistenza dei meccanismi di decisione automatizzati e sulla logica del loro funzionamento e deve garantire all’utente il diritto di non essere sottoposto ad una decisione giuridica che dipenda unicamente da un trattamento automatizzato.
I processi decisionali automatizzati, come la profilazione, sono consentiti solo quando sia applicabile cumulativamente l’esenzione di cui all’art. 22 par.2 GDPR ed una deroga di quelle citate all’art. 9, par.2 lett. a) o lett.g)
Conclusioni
Open banking e trattamenti dei dati sono tematiche strettamente interconnesse. La quantità e la tipologia di dati personali coinvolti, nonché la criticità delle operazioni di trattamento effettuate nell’ambito dei servizi di pagamento richiedono un importante sforzo (proporzionato ai rischi) agli operatori del settore, che dovranno far convivere le due normative, operando un giudizio di bilanciamento non solo tra gli interessi coinvolti ma anche tra i due strumenti normativi in questione. Le Linee Guida 6/2020 del EDPB costituiscono sicuramente un valido strumento teorico di supporto. Bisognerà, nel tempo, valutarne l’applicazione pratica.
Per chiarezza espositiva, si riportano di seguito le definizioni dei soggetti coinvolti nel trattamento di dati personali nel campo dei servizi di pagamento:
“Prestatore di servizi di informazione sui conti” (“AISP”): il prestatore di un servizio online che fornisce informazioni consolidate relativamente a uno o più conti di pagamento detenuti dall’utente di servizi di pagamento presso un altro prestatore di servizi di pagamento o presso più prestatori di servizi di pagamento.
“Prestatore di servizi di pagamento di radicamento del conto” (“ASPSP”): un prestatore di servizi di pagamento che fornisce e amministra un conto di pagamento per un pagatore (generalmente la banca).
“Prestatore di servizi di disposizione di ordine di pagamento” (“PISP”): il prestatore di un servizio che dispone l’ordine di pagamento su richiesta dell’utente di servizi di pagamento relativamente a un conto di pagamento detenuto presso un altro prestatore di servizi di pagamento.
“Prestatore di servizi di pagamento“: un organismo di cui all’articolo 1, paragrafo 1, della PSD2 o una persona fisica o giuridica che beneficia di un’esenzione ai sensi dell’articolo 32 o 33 della PSD2.
“Utente di servizi di pagamento“: persona fisica o giuridica che si avvale di un servizio di pagamento in qualità di pagatore, di beneficiario o di entrambi.
“Prestatori terzi“: sia i PISP che gli AISP.