Nell’era digitale, la gestione dei dati personali è diventata una questione centrale, con implicazioni che vanno ben oltre la semplice interazione online. La recente proposta di Meta di introdurre un abbonamento per l’accesso a piattaforme come Facebook e Instagram in Europa, rappresenta un punto di svolta significativo in questo contesto. Con tariffe previste di 10 euro per l’accesso da desktop e 13 euro per dispositivi mobili, l’iniziativa non è solo una risposta alle esigenze commerciali, ma anche un tentativo di “restare a galla” nel complesso panorama normativo europeo.
Il settore finanziario, con la sua crescente digitalizzazione, ha reso la protezione dei dati finanziari un tema centrale. Il Regolamento FIDAR emerge come una risposta anche a tale esigenza. Questo regolamento stabilisce norme chiare per la condivisione e l’utilizzo dei dati finanziari, garantendo che gli istituti finanziari, assicurativi e i gestori di fondi d’investimento e prodotti pensionistici, operino con la massima trasparenza. Una delle disposizioni fondamentali del regolamento diffuso dalla Commissione europea il 28 giugno 2023[1] è che tali soggetti possono condividere i dati finanziari solo a fronte di esplicita autorizzazione dell’utente, conferita al momento in quest’ultimo decide di far accedere i propri dati, garantendo così un controllo completo e incontestabile sui propri dati.
In questo breve articolo proponiamo una disamina e un raffronto fra le previsioni di due diversi dispositivi legislativi, il Digital Market Act DMA[2] e il FIDAR, mediate dal GDPR[3], comprendendo gli impatti che producono sul mercato dell’Open Finance, nella più ampia cornice definita dal legislatore comunitario che indirizza la strategia sui dati, la cosiddetta EU Data Strategy[4]. Ci soffermeremo in particolare sulla disparità di condizioni fra istituti finanziari e grandi piattaforme tecnologiche che operano nei social media, con riferimento alla possibilità-opportunità di condivisione dei dati e impiego dei medesimi per l’offerta di servizi a valore aggiunto.
Il regolamento GDPR e l’importanza del consenso
Il Regolamento Generale sulla Protezione dei Dati (GDPR) ha stabilito nuovi standard per la protezione dei dati in Europa, sottolineando l’importanza del consenso informato.
Nel gennaio 2023, il Garante irlandese ha inflitto una multa di 380 milioni di euro a Meta. Il motivo? L’ente sostiene che Meta avrebbe dovuto ottenere il consenso degli utenti prima di proporre pubblicità personalizzate basate sulle loro attività online.
La sanzione comminata al gigante di Menlo Park è una chiara testimonianza dell’impegno dell’UE a far rispettare queste norme. Il passaggio da un modello basato sull'”interesse legittimo” a uno basato sul “consenso” rappresenta, quindi, un cambiamento fondamentale nella modalità con cui le aziende trattano i dati dei loro utenti.
Non solo GDPR
Il panorama normativo non si ferma al GDPR.
Il Digital Markets Act (DMA) introduce ulteriori restrizioni, in particolare riguardo alla combinazione di dati provenienti da diverse fonti. Questo regolamento, insieme all’altro regolamento europeo Digital Services Act[5] (entrato in vigore nel mese di agosto 2023), riflettono una crescente consapevolezza dell’importanza della privacy e della necessità di proteggere i diritti degli individui in un mondo sempre più connesso.
Il dilemma “Pagare o farsi tracciare dalle big tech?” pone una questione cruciale: quale prezzo siamo disposti a pagare per la nostra privacy?
Da un lato, l’idea di pagare per servizi che erano precedentemente gratuiti (o meglio, che molti pensano sia davvero gratuiti, sottovalutando il valore immenso dei propri dati), potrebbe sembrare sgradita a molti. Dall’altro, la crescente consapevolezza dell’importanza della privacy potrebbe spingere gli utenti a considerare l’abbonamento come un piccolo prezzo da pagare per proteggere i propri dati personali.
In un mondo in cui le informazioni sono potere, la decisione di come e quando condividere i propri dati diventa una scelta personale e informata.
Ciò comprende anche quelli di natura finanziaria e la trasparenza nell’uso dei medesimi sono diventate questioni di primaria importanza. Ed è su questo punto, ora, che nel prosieguo di questo contributo ci soffermeremo in dettaglio.
La proposta di Regolamento FIDAR: quale consenso?
Parallelamente alle evoluzioni nel settore tecnologico, il regolamento FIDA (Financial Information Data Access) diffuso in bozza il 28 giugno 2023 (di cui abbiamo trattato in questo articolo a firma dell’autore “FIDA: la rivoluzione del settore finanziario nell’economia dei dati”), stabilisce che gli istituti finanziari, assicurativi, i gestori di fondi d’investimento e altri soggetti attratti nell’ambito applicativo del dispositivo, possono condividere i dati dei clienti con terze parti solo con il consenso esplicito dell’utente manifestato tramite il rilascio di una specifica autorizzazione. Questa enfasi sul “consenso”, qui ripresa nella forma dell’autorizzazione, riecheggia la crescente importanza della trasparenza e della consapevolezza nel panorama digitale europeo.
Trasparenza e innovazione: due pilastri fondamentali
La trasparenza nell’uso dei dati non è solo una questione etica, ma rappresenta anche una necessità di business. Le aziende, sia nel settore tecnologico che in quello finanziario, sono spinte a diversificare i loro modelli di business.
L’approccio di Meta di cui vi abbiamo dato breve cenno più sopra, da un lato, DMA, GDPR e l’introduzione del FIDAR dall’altro, sono esempi di come le aziende e il legislatore comunitario stiano facendo fronte all’evoluzione di un ambiente tecnologico e sociale, in cui la consapevolezza dell’utente e la protezione dei dati sono centrali.
FIDAR: nuovi attori e nuovi modelli di business
Se Meta può (o potrà) rimandare all’utente finale il compito di scegliere (auspicando, diciamo noi, in una sufficiente contezza) se pagare il prezzo di una non-condivisione dei propri dati, le entità attratte nel perimetro soggettivo del regolamento FIDA, come le banche, gli istituti di pagamento, le assicurazioni e i gestori di fondi d’investimento, nel ruolo di titolari dei dati (ovvero detentori dei dati), dovranno invece consentire all’utente di esercitare il proprio diritto a condividere (o non condividere) le informazioni di natura finanziaria, creditizia e pensionistica e assicurativa, riconducibili ai propri dati (gestiti dalle stesse entità), acciocché possano essere impiegate da terzi, nel ruolo di utilizzatori dei dati (ovvero utenti di dati).
La novità chiamata FISP
L’uso di tali informazioni è agevolato anche per il tramite di nuovi soggetti che il FIDAR chiama FISP Fornitore di servizi di informazioni finanziarie”(o “Financial Information Service Provider”), ossia entità autorizzate ai sensi del regolamento FIDA ad accedere ai dati del cliente, per la fornitura di servizi di informazioni finanziarie.
La sostenibilità del modello di business
Nel caso di FIDAR, quale potrà essere il modello di compensazione (se non vogliamo chiamarlo “modello di business”) che sostiene gli investimenti necessari per consentire questa condivisione?
Appare del tutto evidente che un istituto finanziario o assicurativo attratto nel FIDAR dovrebbe poter ricavare (non foss’altro che per coprire i costi) dalla messa a disposizione di terzi, i dati dei propri clienti allorquando questi ne abbiano consentito l’impiego, caricando gli oneri sul terzo, ossia, in prima battuta il FISP e, in ultimo, l’utilizzatore dei dati condivisi.
Tale previsione è riconosciuta più che legittima dalla proposta di FIDAR[6], laddove i titolari e gli utenti dei dati aderiscono a un sistema di condivisione dei dati finanziari[7], entro 18 mesi dall’entrata in vigore del Regolamento.
FIDAR: quale beneficio e per chi
Premesso quanto più sopra esaminato, è lecito interrogarsi sull’effettiva utilità per il cliente dell’istituto (banca o assicurazione che sia) di permettere, previo consenso, la condivisione delle proprie informazioni: a chi giova (ovvero gioverebbe) davvero questa abilitazione a procedere?
Si potrebbe, in prima istanza, ritenere che il beneficio per il cliente sia in qualche misura introdotto dal terzo, il quale dovrebbe essere in grado di giustificare più che esaustivamente la portata del (o dei) beneficio stesso.
Tale considerazione non è banale, poiché chiama in causa, ancora una volta, la necessità di una responsabilizzazione del cliente che, autorizzando il terzo ad accedere ai propri dati, dovrebbe poter agire avendo piena contezza, similmente a quanto avviene (ovvero dovrebbe avvenire…), nel momento in cui esprime un consenso informato verso piattaforme come Facebook o X (già Twitter).
FIDAR: le autorizzazioni per l’accesso ai dati finanziari
Mentre nel caso di piattaforme tecnologiche come Meta, attratte nell’ambito del GDPR e del DMA, il consenso dovrà essere richiesto direttamente all’utente dalla piattaforma al momento di sottoscrizione dell’accordo di utilizza della piattaforma stessa, nel caso di soggetti attratti dal FIDAR deve essere raccolta un’autorizzazione prima dell’accesso ai dati ad opera del soggetto terzo, ossia l’utilizzatore (o utente) dei dati.
Tale terzo che può accedere ai dati finanziari richiederà al proprio cliente (al tempo stesso cliente-utente dell’istituto custode dei suoi dati che avrà raccolto previamente il consenso), motivando scientemente le ragioni per cui tale richiesta avviene, comunicando in totale trasparenza le finalità che si vogliono perseguire e conseguire.
Più in dettaglio, l’utente dei dati informa il titolare dei dati di una nuova autorizzazione concessa da un cliente relativa ai dati del cliente detenuti da tale titolare dei dati, tra cui:
- la finalità dell’autorizzazione concessa dal cliente;
- il periodo di validità dell’autorizzazione;
- le categorie di dati interessate.
Tali autorizzazioni saranno trasmesse in tempo reale per consentire al detentore dei dati acceduti di aggiornare i cosiddetti “pannelli delle autorizzazioni” (o, più semplicemente, “cruscotti”).
I dati personali e l’importanza del consenso anche nel FIDAR
Nel caso di dati personali, le disposizioni in materia di responsabilità del sistema di condivisione dei dati finanziari di cui abbiamo trattato nel precedente capitolo, sono conformi alle disposizioni del GDPR.
Il cruscotto, inoltre, rafforzerà il controllo dei clienti, in particolare quando il servizio richiesto prevede il trattamento di dati personali, sulla base del consenso o necessari per l’esecuzione di un contratto.
Obblighi dell’utente dei dati che riceve i dati del cliente
Per garantire una gestione efficace dei dati del cliente, l’utente dei dati, ossia il terzo che, ottenuta l’autorizzazione, accede ai medesimi, deve conformarsi ad alcune regole definite dal FIDAR all’articolo 6 della proposta diffusa il 28 giugno 2023. Tra queste, riportiamo in sintesi quelle rivenienti al comma 4 dello stesso articolo menzionato.
L’utente dei dati:
a) non tratta i dati del cliente per finalità diverse dall’esecuzione del servizio esplicitamente richiesto dal cliente;
b) rispetta la riservatezza dei segreti commerciali e dei diritti di proprietà intellettuale quando si accede ai dati del cliente;
c) mette in atto adeguate misure tecniche, giuridiche e organizzative al fine di impedire il trasferimento di dati del cliente non personali o l’accesso a questi ultimi nel caso in cui ciò sia illegale a norma del diritto dell’Unione o del diritto nazionale di uno Stato membro;
d) adotta le misure necessarie per garantire un livello adeguato di sicurezza per la conservazione, il trattamento e la trasmissione di dati del cliente non personali;
e) non tratta i dati del cliente a fini pubblicitari, fatta eccezione per il marketing diretto conformemente al diritto dell’Unione e nazionale;
f) se l’utente dei dati fa parte di un gruppo di imprese, solo l’entità del gruppo che agisce in qualità di utente dei dati può accedere ai dati del cliente e trattarli.
I dati acceduti non possono essere condivisi con piattaforme non autorizzate
Sull’ultima previsione in elenco è opportuno soffermarci.
Sebbene non sia ancora del tutto chiaro il significato, è possibile ritenere che il legislatore abbia voluto considerare il caso di soggetti che operano come istituiti di moneta elettronica o istituti di pagamento (entrambi attratti nell’ambito applicativo del FIDAR), ma facenti parte di un gruppo di imprese più ampio come ad esempio Meta, ossia le piattaforme tecnologiche che, in quanto tali, non possono accedere ai dati finanziari in quanto poiché non incluse nel FIDAR (ricordiamo, a tal proposito, che, alla data in cui si redige questo articolo, Facebook Payments International Limited è un istituto di moneta elettronica autorizzato in Irlanda).
Orbene, in queste circostanze, solo l’istituto di pagamento o di moneta elettronica può accedere e trattare i dati, mentre non può estenderne l’ambito di trattamento ad altre società del gruppo.
Un FIDAR anche per le piattaforme tecnologiche?
Un’impostazione improntata alla gestione delle autorizzazioni e dei cruscotti, sarebbe legittimo chiedersi se possa essere (chissà, in futuro?) applicata anche alle grandi piattaforme tecnologiche.
In definitiva, perché una banca o qualsiasi altro “terzo” che può beneficiare del FIDAR, non potrebbe accedere ai dati del cliente-utente della piattaforma, mentre una piattaforma, anch’essa terza ai sensi del FIDAR se autorizzata da parte dell’Autorità Competente, può accedere ai dati di natura finanziaria del suo utente?
Conclusione
L’era digitale ha portato a una maggiore consapevolezza dell’importanza della protezione dei dati. La strada verso un internet e un ecosistema finanziario più etici e trasparenti è ancora lunga, ma le iniziative come il DMA e il FIDAR rappresentano passi significativi in questa direzione.
Le aziende, ora più che mai, devono mettere la privacy e la trasparenza al centro delle loro strategie, garantendo un futuro in cui l’innovazione e la protezione dei dati coesistono armoniosamente.
Accanto a tali considerazioni, tuttavia, non possono essere colte e recepite altre di natura più prettamente sostanziale, la cui portata ha impatto sulle dinamiche concorrenziali.
Il dato in sé, lo sappiamo, non ha alcun valore se non nella sua proiezione naturale: l’informazione.
Dare un senso al dato significare riconoscerne il valore informativo che lo accompagna nelle transazioni sociali, commerciali ed economiche. Il vettore delle informazioni è il vero blockbuster e chi opera nei settori della comunicazione e dei social media ne è perfettamente conscio.
Alla pari, però, chi opera negli ambiti più propriamente finanziari, bancari, assicurativi, sa che può, altrettanto, essere un formidabile vettore informativo, in grado di portare valore aggiunto, potenzialmente remunerabile.
Non dovrebbe, in conclusione, esservi disparità fra istituti finanziari e grandi piattaforme tecnologiche nell’accesso, ovvero nella possibilità di accedere, ai dati dei rispettivi utenti-clienti.
L’economia dei dati, lo ricordiamo, è basata sull’accesso, ed è necessario che siano garantite parità di condizione, nel rispetto costante del consenso e delle autorizzazioni ricevute da chi, quei dati, li ha prodotti.
NOTE
[1] Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO relativo a un quadro per l’accesso ai dati finanziari e che modifica i regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010, (UE) n. 1095/2010 e (UE) 2022/2554
[2] Il Digital Markets Act (REGOLAMENTO (UE) 2022/1925 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 settembre 2022 relativo a mercati equi e contendibili nel settore digitale e che modifica le direttive (UE) 2019/1937 e (UE) 2020/1828) è il nuovo regolamento europeo sui mercati digitali, approvato dal Parlamento Europeo il 5 luglio 2022 insieme al Digital Services Act (DSA), il regolamento sui servizi digitali. Le due leggi compongono insieme il Digital Services Package, che entrerà in vigore nel corso del 2023.
[3] REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE
[4] La strategia europea sui dati mira a rendere l’UE leader in una società data-driven. La creazione di un mercato unico per i dati ne consentirà la libera circolazione all’interno dell’UE e tra i vari settori, a vantaggio delle imprese, dei ricercatori e delle amministrazioni pubbliche (https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_en ).
[5] Regolamento (UE) 2022/2065 del 19 ottobre 2022.
[6] Articolo 5, comma2.
[7] Articolo 10, comma 1, lettera h.
