Nella relazione annuale del Garante per la protezione dei dati per l’anno 2019, particolare rilievo hanno assunte le tematiche trattate dal sottogruppo “Financial matters” che, nell’ambito del Comitato, è incaricato di approfondire le diverse questioni legate all’applicazione della disciplina sulla protezione dei dati nel settore finanziario. Tra i tanti punti caldi toccati, uno riguarda il rapporto – controverso a dir poco- tra il GDPR e la Direttiva (UE) 2015/2366 sui servizi di pagamento (cd. PSD2), due normative chiave della legislazione europea degli ultimi anni.
La direttiva PSD2
La direttiva PSD2 presenta, come si sa, novità̀ importanti nel sistema dei pagamenti consentendo a nuovi soggetti di attuare servizi che un tempo erano prerogativa pressoché́ esclusiva delle banche. Questi nuovi soggetti, una volta ottenuta l’autorizzazione dalla Banca d’Italia, potranno accedere a una mole considerevole di dati finanziari non solo dei clienti, ma anche di soggetti terzi, ad esempio dei beneficiari di ordini di pagamenti. Il Comitato, che si era già occupato di alcune questioni legate alla PSD2 con la risposta a una lettera dell’europarlamentare Sophie in’t Veld, fornendo prime indicazioni su alcuni punti controversi del rapporto tra tale direttiva e il GDPR, ha ritenuto necessario avviare una riflessione più̀ approfondita sul tema anche alla luce degli esiti di un workshop, organizzato dal segretariato e tenutosi a Bruxelles il 27 febbraio 2019, nel corso del quale i diversi stakeholders si sono confrontati, senza tuttavia un riscontro chiaro sull’interazione tra PSD2 e GDPR.
Se è vero infatti che, da un lato, la progressiva digitalizzazione dei servizi non può e non deve trovare un freno nell’applicazione troppo restrittiva delle disposizioni in materia di protezione dei dati personali, è altrettanto vero che questi processi dovranno essere gestiti in maniera accountable e compliant, nel rispetto dei diritti fondamentali che le istituzioni europee mirano ad assicurare ai cittadini degli stati membri.
Open banking e trattamenti dei dati sono quindi più connessi di quanto si possa pensare: non soltanto per la mole ingente di dati personali, identificativi certo, ma anche e soprattutto di natura sensibile (rectius particolare), che si possono desumere dall’accesso indiscriminato ai dati bancari dei diretti interessati e di eventuali terzi beneficiari (si pensi, ad esempio, a ricorrenti pagamenti o donazioni a partititi politici o sindacati, ad abbonamenti a riviste di stampo religioso o ancora al dettaglio dei bonifici per visite mediche specialistiche) ma anche per il rischio che tali informazioni possano essere oggetto di successive elaborazioni, basate su decisioni automatizzate e quindi potenzialmente rientranti nell’ambito di applicazione dell’art 22 GDPR.
Si tratterà dunque di far convivere le due normative, operando un giudizio di bilanciamento non solo tra gli interessi coinvolti ma anche, e ben più gravosamente, tra i due strumenti normativi in questione.
PSD2 e GDPR
L’asse di tensione che sembra profilarsi è in primo luogo di natura temporale: la direttiva PSD2 risale al 25 novembre 2015 e pubblicata in gazzetta il 23 dicembre 2015, in piena epoca pre-GDPR, e infatti fa esplicito riferimento alla Direttiva Dati del 95; la normativa italiana di recepimento, il d.lgs n. 218/2017 risale invece al 13 gennaio 2018, in un epoca in cui “esisteva” già il GDPR, ma non era attuativo fino al 25 maggio dello stesso anno.
Infine, per completare l’excursus storico, a partire dal 14 settembre 2019 la PSD2 è entrata in vigore in Italia, ma l’European Banking Authority (EBA) ha concesso una proroga di 15 mesi alle banche, fino a dicembre 2020, per adeguarsi.
A questo contesto incerto si aggiunge il dubbio circa la natura dei trattamenti di dati in questione: sarà da sciogliere il nodo sull’individuazione della corretta base giuridica per il trattamento dei dati relativi ai terzi effettuato dai TPP (Thirdy Party Providers) – i nuovi operatori nei servizi di pagamento – nonché l’attribuzione dei ruoli privacy a essi ascrivibili.
La liceità del trattamento: il nodo della base giuridica
La norma specifica sul trattamento dei dati personali nella Direttiva è all’art. 94, che specifica:
1. Gli Stati membri autorizzano il trattamento dei dati personali da parte di sistemi di pagamento e di prestatori di servizi di pagamento se necessario per garantire la prevenzione, l’indagine e l’individuazione dei casi di frode nei pagamenti. La fornitura di informazione a persone fisiche in merito al trattamento dei dati personali e al trattamento di tali dati personali e di qualsiasi altro trattamento di dati personali ai fini della presente direttiva è effettuata in conformità della direttiva 95/46/CE, delle norme nazionali di recepimento della direttiva 95/46/CE e del regolamento (CE) n. 45/2001.
2. I prestatori di servizi di pagamento hanno accesso, trattano e conservano i dati personali necessari alla prestazione dei rispettivi servizi di pagamento, solo dietro consenso esplicito dell’utente dei servizi di pagamento.
Di difficile interpretazione se l’esplicito consenso così come previsto dalla presente disposizione debba essere inteso come l’unica base giuridica da porre in essere per questa tipologia di trattamenti e se, più in generale, questo sia equiparabile al regime del consenso previsto dal Regolamento Generale sulla protezione dei dati.
Se ad una prima analisi parrebbe che le due previsioni siano sullo stesso piano e quindi coincidano, è possibile scorgere una prospettiva di suddivisione non solo tra consenso di natura contrattuale per l’adesione al servizio e consenso per il trattamento dei dati personali, ma anche, tra l’esplicito consenso menzionato nel par.2 dell’art.94 della Direttiva e il consenso ai sensi del GDPR, così come definito ad esempio dal Considerando 32 del Regolamento : “Un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano” e così come previsto, all’art. 6 paragrafo 1 lettera a) “Il trattamento è lecito solo se l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”.
L’accesso e la gestione dei dati personali necessari alla prestazione dei servizi in questione potrebbe difatti integrare una condizione necessaria, ad esempio, per dare esecuzione agli obblighi contrattuali nascenti dal rapporto tra il cliente e prestatore di servizi di pagamento, dovendo questi applicare conseguentemente per i trattamenti nascenti dal servizio in esame, la base giuridica richiamata al paragrafo 1, lettera b) dell’art. 6 GDPR.
Anche questa impostazione però potrebbe andare incontro a contraddizioni: la Direttiva infatti, come specifica all’art. 66 comma 5, sancisce che: “La prestazione di servizi di disposizione di ordine di pagamento non è subordinata all’esistenza di un rapporto contrattuale a tale scopo tra i prestatori di servizi di disposizione di ordine di pagamento e i prestatori di servizi di pagamento di radicamento del conto.” Quindi non è sempre necessario un contratto tra PIPS e ASPSP, ma dovrebbe esserlo quantomeno tra l’interessato e il prestatore di servizi di pagamento.
A tal proposito il Considerando 87 della Direttiva chiarisce che: “La presente direttiva dovrebbe riguardare solo gli obblighi e le responsabilità̀ contrattuali tra l’utente dei servizi di pagamento e il corrispondente prestatore di servizi di pagamento. Tuttavia, ai fini del corretto funzionamento di bonifici e altri servizi di pagamento, è necessario che i prestatori di servizi di pagamento e i loro intermediari, quali i soggetti incaricati del trattamento dell’operazione, abbiano contratti in cui siano stabiliti diritti e obblighi reciproci. Le questioni relative alle responsabilità̀ costituiscono parte essenziale di tali contratti uniformi…”
Non solo: in una visione più estensiva anche ulteriori basi giuridiche previste dall’art.6 del GDPR potrebbero essere poste a fondamento di questi trattamenti; il consenso – certamente – ma anche l’adempimento di un obbligo legale o il perseguimento di un legittimo interesse, a seguito di un balance test, oltre alla già citata esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali.
A quel punto l’unico l’obbligo che permarrebbe in capo alla banca sarebbe quello di consentire l’accesso al PISP per l’operazione, a meno di motivi giustificati e debitamente comprovati ai sensi dell’art. 68 comma 5 della Direttiva.
Conseguentemente, da un punto di vista pratico, quando si attuano i sistemi di pagamento previsti dalla PSD2, sarà necessario implementare un meccanismo di consenso esplicito allineato ai requisiti della Direttiva, ma non necessariamente coincidenti con quelli del GDPR.
Il trattamento dei dati personali, dovrà invece essere giustificato e sorretto da ulteriori principi e meccanismi, tipici della normativa sulla protezione dei dati personali.
In tal senso va anche la lettera dell’EDPB in risposta all’europarlamentare Sophie in’t Veld: “The concept of explicit consent under Article 94(2) of PSD2 is therefore an additional requirement of a cantractual nature and is therefore not the same as (explicit) consent under the GDPR”.
Ruoli privacy: contitolare o responsabile del trattamento?
I Third Party Providers, in quanto soggetti autorizzati a erogare e fornire servizi di pagamenti per specifiche finalità, saranno identificabili dal punto di vista privacy, come contitolari del trattamento ai sensi dell’art. 26 del GDPR, piuttosto che come responsabili.
Ciò fornirebbe una maggiore autonomia alle parti sulla definizione delle rispettive responsabilità, previste da un apposito accordo, in merito all’osservanza degli obblighi derivanti dal GDRP, anche con riguardo all’esercizio dei diritti dell’interessato.
Particolarmente rilevante sarà inoltre la definizione delle rispettive funzioni di comunicazione delle informazioni di cui agli artt. 13 e 14 agli interessati, cui i titolari del trattamento saranno soggetti.
L’accordo interno tra le parti dovrà necessariamente riflettere anche i vincoli posti dalla Direttiva PSD2, con particolare riferimento, in primis, al regime di divieto generale previsto dall’art. 66 comma 3 lettere e) e g) della Direttiva per qualsiasi altro utilizzo, accesso, conservazione dei dati per fini diversi dalla prestazione del servizio da parte dei prestatori di servizi di ordini di pagamento (PISP).
Ancora, l’art.67 comma 2, in riferimento al prestatore di servizi di informazione sui conti (AISP), dispone che questo:
d) accede soltanto alle informazioni sui conti di pagamento designati e sulle operazioni di pagamento a questi associati;
e) non richiede dati sensibili relativi ai pagamenti, collegati ai conti di pagamento;
f) non usa, accede o conserva dati per fini diversi da quelli della prestazione del servizio di informazione sui conti esplicitamente richiesto dall’utente dei servizi di pagamento, conformemente alle norme sulla protezione dei dati.
Anche a livello interno, il D.lgs n. 218/2017 prevede, all’art. 5-ter comma 2 lett. e) che:
“Il prestatore di servizi di disposizione di ordine di pagamento non chiede al pagatore dati diversi da quelli necessari per prestare il servizio di disposizione di ordine di pagamento; non usa ne’ conserva dati ne’ vi accede per fini diversi dalla prestazione del servizio di disposizione di ordine di pagamento e non conserva dati sensibili relativi ai pagamenti del pagatore” e, all’ art. 5-quater comma 2 lett. e), che: “Il prestatore di servizi di informazione sui conti non usa, né conserva dati, né vi accede per fini diversi dalla prestazione del servizio di informazione sui conti, conformemente alle norme sulla protezione dei dati.”
Uno sguardo alla giurisprudenza comunitaria
Dal punto di vista comunitario, l’unico riferimento a possibili impatti privacy sul trattamento di dati nell’ambito della PSD2 è stato avanzato dal Garante olandese per la protezione dei dati che ha comunicato, con il Provvedimento nr. 10431 del 21.02.2019, di aver avviato indagini su alcune società in possesso di un’autorizzazione per operare come AISP, avendo queste la possibilità di accedere ed elaborare le informazioni dei clienti di istituti bancari in un’unica piattaforma propria.
Il vaglio del Garante Privacy verte sulla presunta non consapevolezza, da parte dei suddetti operatori, dei rischi per la protezione dei dati associati all’elaborazione di tali informazioni sui conti correnti dei clienti, e sui possibili impatti con la normativa del GDPR.
Nella sua indagine l’Autorità Olandese chiarisce che l’accesso ai dettagli finanziari di un individuo può fornire una visione dettagliata e spesso intima della vita di tale dello stesso; gli AISP dovrebbero quindi prendere in debita considerazione che non stanno solo elaborando i dati dei loro clienti, ma anche i dati delle transazioni tra questi clienti e altre persone.
Quello olandese sembra però essere l’unico caso isolato di “avvertimento” da parte delle Autorità, in un settore ancora in espansione e assestamento.
Prospettive future dell’interazione tra GDPR e PSD2
Nell’attesa di indicazioni più precise anche da parte del legislatore europeo nell’ambito del processo di interazione tra queste due normative chiave a livello comunitario, il Comitato Europeo per la protezione dei dati conclude la lettera di risposta all’europarlamentare Sophie in’t Veld con l’auspicio di una costante collaborazione con le altre Autorità per un approccio coordinato alle sfide che il contesto normativo odierno e lo sviluppo tecnologico presentano, in una prospettiva che assicuri una tutela e una protezione dei diritti dei cittadini europei ancora maggiore.
