Linee guida dell’EDPB sul rapporto tra PSD2 e obblighi privacy

L’adozione della PSD2 è stato un passo decisivo per lo sviluppo del Fintech e l’EDPB ha ora emesso delle linee guida sul suo rapporto con gli obblighi privacy, generando certezze, ed alcune incertezze, sull’argomento.

Le principali modifiche introdotte dalla PSD2 riguardano l’obbligo per le banche di consentire a fornitori di servizi di pagamento di

  • avere accesso alle informazioni relative al conto dei loro clienti e
  • avviare i pagamenti per conto di un cliente, indipendentemente dall’esistenza di un accordo tra il fornitore e la banca interessata, al verificarsi di particolari condizioni che mirano ad evitare qualsiasi comportamento anti-competitivo.

Tale flusso continuo di dati avviene attraverso le “famose” API aperte che devono conformarsi con specifici standard tecnici determinati dall’Autorità bancaria europea. Questa circostanza fa scattare inevitabilmente alcune preoccupazioni in materia di protezione dei dati.

La PSD2 richiede già che il trattamento dei dati venga effettuato nel rispetto degli obblighi previsti dalla normativa sul trattamento dei dati personali, ma il Comitato europeo per la protezione dei dati (l’EDPB) ha ora emesso delle sue linee guida per chiarire alcune aree grigie.

I punti principali delle linee guida dell’EDPB sull’interazione tra la PSD2 e gli obblighi privacy sono i seguenti:

    1. l’esecuzione del contratto ai sensi dell’articolo 6.1 (b) del GDPR è, nella maggior parte dei casi, la base giuridica del trattamento delle informazioni sui conti di pagamento strettamente necessarie per la fornitura del servizio richiesto da parte dei prestatori di servizi di avvio dei pagamenti e dei prestatori di servizi di informazione sui conti;
    2. il consenso esplicito dell’utente dei servizi di pagamento richiesto dalla PSD2 per accedere, trattare e conservare i dati personali necessari per la fornitura dei servizi di pagamento non è la base giuridica del trattamento dei dati ai sensi del GDPR, ma è un requisito aggiuntivo di natura contrattuale che richiede tuttavia lo stesso livello di trasparenza fornito dal GDPR affinché il consenso sia libero. Ciò vuole dire che si tratta di un consenso necessario ai fini della fornitura del servizio, mentre qualora fosse stata la base giuridica del trattamento non avrebbe potuto essere necessario;
    3. i silent party data (ossia i dati personali relativi a un interessato che non è l’utente di uno specifico prestatore di servizi di pagamento, ma i cui dati personali sono trattati da quel particolare prestatore di servizi di pagamento per l’esecuzione di un contratto tra il prestatore e l’utente dei servizi di pagamento) possono essere trattati sulla base di un interesse legittimo entro i limiti strettamente necessari per la fornitura del servizio e non possono mai includere categorie particolari di dati. Inoltre, non ne è consentito alcun utilizzo per ulteriori finalità, se non espressamente previsto dalle leggi vigenti;
    4. la necessità di conformarsi con un obbligo di legge è la base giuridica del trattamento dei dati personali da parte delle banche e consiste nel concedere l’accesso ai dati personali richiesti dai prestatori di servizi di avvio del pagamento e dai prestatori di servizi di informazione sul conto per l’esecuzione del servizio di pagamento all’utente dei servizi di pagamento;
    5. il principio della minimizzazione dei dati deve essere rispettato nel consentire l’accesso alle informazioni sul conto di pagamento. Pertanto, i prestatori di servizi di informazione sul conto devono indicare espressamente le categorie di dati necessarie per la fornitura del servizio; e
    6. il prestatore di servizi di pagamento deve attuare periodi di conservazione dei dati personali limitati. I dati non devono essere conservati dal prestatore di servizi per un periodo di tempo superiore a quello necessario per le finalità richieste dall’utente dei servizi di pagamento.

Un altro aspetto molto rilevante delle linee guida sul rapporto tra PSD2 e obblighi privacy è che, secondo l’EDPB, “attraverso la somma delle transazioni finanziarie, potrebbero essere rivelati diversi tipi di modelli comportamentali, comprese categorie particolari di dati personali e servizi aggiuntivi che sono facilitati dai servizi di informazione contabile potrebbero basarsi sulla profilazione come definita dall’articolo 4, paragrafo 4, del GDPR. Pertanto, è molto probabile che un fornitore di servizi che elabora informazioni sulle transazioni finanziarie degli interessati elabori anche categorie particolari di dati personali”. Da questa circostanza l’EDPB deduce che il trattamento di tali dati richiederebbe una base giuridica ai sensi dell’articolo 9 del GDPR che potrebbe essere solo il consenso esplicito o la presenza di motivi di sostanziale interesse pubblico. Ma se tali soluzioni non sono realizzabili, “i prestatori di servizi di pagamento possono esplorare le possibilità tecniche per escludere particolari categorie di dati personali e consentire un accesso selezionato”.

Questa interpretazione è piuttosto pericolosa, poiché lo stesso problema si porrebbe per le banche o le società di carte di credito che non possono semplicemente cancellare i dati del destinatario del pagamento. Per evitare contestazioni, le banche dovrebbero “obbligare” i loro clienti a concedere il consenso esplicito al trattamento di categorie particolari di dati personali. Ma tale approccio invaliderebbe il consenso fornito in quanto non sarebbe libero.

Le aziende possono adottare soluzioni che limitano l’analisi dei modelli basati su alcune categorie di destinatari dei pagamenti e chiedere ai clienti di evitare che le descrizioni dei pagamenti rivelino, ad esempio, informazioni relative alla salute. Tuttavia, riteniamo che il potenziale accesso a tali informazioni non debba essere considerato come un trattamento di categorie particolari di dati personali da parte delle banche e dei fornitori di servizi di pagamento.

Infatti, come indicato dall’EDPB, le categorie particolari di dati personali non derivano dalle informazioni in sé, ma dal modello di comportamento che può essere desunto dall’analisi di tali informazioni. Di conseguenza, se le banche e i prestatori di servizi di pagamento non analizzano tali informazioni per identificare i modelli di comportamento, i dettagli di un pagamento effettuato a favore di un ospedale o di una donazione a un partito politico sarebbero, per le loro finalità, equivalenti all’elaborazione di qualsiasi altro dato accessibile attraverso i loro servizi e quindi non richiederebbero una base giuridica ai sensi dell’articolo 9 del GDPR.

C’è tempo fino al 16 settembre 2020 per sottoporre eventuali commenti e l’aspetto da ultimo analizzato è centrale per la conformità delle banche e degli istituti finanziari alla normativa sul trattamento dei dati personali.