I pagamenti elettronici ed i rapporti tra la seconda direttiva sui servizi di pagamento (direttiva Payments Service Directive 2, c.d. PDS2) ed il GDPR.Scopo della doirettiva è quallo di rafforzare la tutela degli utenti che usufruiscono dei servizi telematici e il GDPR può essere un valido aiuto anche in questo campo.
1. Studio Legale
Avv. Pietro Bilotta
Via T. Augruso n°6- 88022 Curinga (cz)
Cell. 3333081936
pietro.bilotta@avvlamezia.legalmail.it
GDPR e PDS2 (Payments Service Directive 2)
2. I pagamenti elettronici ed i rapporti tra la seconda direttiva sui servizi di
pagamento (direttiva Payments Service Directive 2, c.d. PDS2) ed il GDPR.
Il GDPR si applica anche nel contesto dei servizi di pagamento PSD2? SI
La direttiva (UE) 2015/2366 PDS2, contiene diverse disposizioni specifiche in
materia di tutela dei dati personali.
DIRETTIVA EUROPEA SUI SERVIZI DI
PAGAMENTO DIGITALI
3. La seconda direttiva sui servizi di pagamento (UE) 2015/2366 PDS2
(Payments Service Directive 2) confluita nel d.lgs. n. 218/2017, regola
l'accesso ai conti dell'utente da parte di provider di servizi di pagamento
quali i PISP (Payment Initiation Service Providers) e gli AISP (Account
Information Service Providers).
Segue…
4. L’EDPB è il comitato europeo per la protezione dei dati. È un organo
europeo indipendente, che contribuisce all’applicazione coerente delle
norme sulla protezione dei dati in tutta l’Unione europea e promuove la
cooperazione tra le autorità competenti per la protezione dei dati dell’UE.
I PISP (Payment Initiation Service Providers) eseguono ordini di pagamento
su richiesta dell'utente dei servizi di pagamento, ponendosi tra il cliente ed
un soggetto terzo, generalmente una banca, che fornisce la provvista del
pagamento e che è definito come ASPSP (Account Servicing Payment
Service Providers).
ACRONIMI
5. L’ASPSP (Account Servicing Payment Service Providers) soggetto che
controlla direttamente e nella sua totalità l’account di online banking del
cliente, e che ha un contratto di servizio diretto con il titolare del conto
corrente.
Gli AISP (Account Information Service Providers), forniscono servizi online
per consolidare le informazioni su uno o più conti dell'utente, al fine di
dargli una visione globale e immediata della sua situazione finanziaria o di
monitorare le spese.
Segue…
6. TRATTAMENTO DEI DATI
Il Comitato Europeo per la Protezione dei Dati (EDPB) ha affrontato il delicato
problema del trattamento dei dati personali della “silent party", ovvero delle
parti non contraenti, e sulle procedure relative alla concessione e alla
revoca del consenso, in prima battuta con una lettera e poi le linee guida
6/2020, che forniscono importanti indicazioni sulle condizioni per la
concessione dell'accesso alle informazioni sui conti di pagamento da parte
degli ASPSP e per il trattamento dei dati personali da parte dei PISP e degli
AISP.
7. L'European Data Protection Board affronta il tema della base giuridica del
trattamento arrivando a concludere che per i servizi di pagamento forniti
sulla base di un contratto stipulato tra l'utente e il prestatore dei servizi di
pagamento la base giuridica sarà costituita dall'art. 6 par. 1 lett. b) GDPR.
Il trattamento dei dati personali per scopi ulteriori da parte di AISP e PISP, è
fortemente limito dalle linee guida.
Segue…
8. L'operatore di servizi di pagamento potrebbero trattare i dati anche per finalità di
prevenzione delle frodi, sulla base di un legittimo interesse oppure in quanto soggetti ad
uno specifico obbligo di legge.
Il trattamento per fini ulteriori potrà essere posto in essere solo ove il trattamento sia
previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il Titolare del
trattamento (es. per la normativa antiriciclaggio).
Segue…
9. L'EDPB chiarisce che il trattamento dei dati personali per eseguire il servizio
richiesto dall'utente da parte dell'ASPSP (Account Servicing Payment
Service Providers, ovvero il soggetto che controlla direttamente e nella
sua totalità l’account di online banking del cliente, e che ha un contratto
di servizio diretto con il titolare del conto corrente), che concedere
l'accesso ai dati personali richiesti dal PISP (Payment Initiation Service
Provider, ovvero il fornitore di servizi che, su richiesta dell’utente, dispone
l’ordine di pagamento su un conto corrente attivo presso un altro
provider) e dall'AISP (Account Information Service Provider, ovvero il
fornitori di servizi con accesso a tutti i conti bancari del cliente) ha come
base giuridica l'obbligo di legge ai sensi dell'art. 6 par. 1 lett. c del GDPR
(e, in particolare, dagli obblighi posti dalla normativa nazionale al fine di
garantire i diritti riconosciuti dalla PSD2).
Segue…
10. CONSENSO
L’art 94 della direttiva richiama il consenso esplicito dell’utente, secondo cui
i prestatori di servizi di pagamento devono accedere, trattare e conservare
solo i dati personali necessari per la fornitura dei loro servizi di pagamento,
si tratta di un requisito aggiuntivo di natura contrattuale non coincidente
con il consenso richiamato nel GDPR, ma comunque legato alla tutela dei
dati personali.
Infatti, nella stipula di un contratto con un fornitore di servizi di pagamento
gli interessati devono essere resi pienamente consapevoli delle specifiche
categorie di dati personali che saranno trattati e dello scopo specifico
perseguito.
11. Pertanto, il necessario consenso prestato dall’utente nella stipula un
contratto di servizi di pagamento è un consenso esplicito affinché il
fornitore dei servizi di pagamento possa accedere ai dati del conto
dell'utente (e trattati dalla banca).
Si tratta quindi di un consenso “contrattuale”, ma comunque legato alla
tutela dei dati personali.
Segue…
12. “SILENT PARTY”
Il trattamento dei dati della “silent party” ovvero del soggetto che sia
estraneo al rapporto tra utente e prestatore del servizio, si baserà sul
legittimo interesse del titolare del trattamento o di un terzo di eseguire il
contratto con l'utente dei servizi di pagamento, con il limite delle
ragionevoli aspettative di questi soggetti.
Il titolare del trattamento dovrà adottare le necessarie garanzie e misure di
sicurezza adeguate a tutelare i dati della “silent party”.
13. Non è invece consentito un trattamento ulteriore di questi dati, a meno che
non sia richiesto da obbligo di legge.
Non solo, nelle linee guida viene sottolineato che tramite le transazioni i
prestatori dei servizi di pagamento potrebbero avere accesso a categorie
particolari di dati (es. nel caso di spese mediche o di versamenti ai
sindacati).
Segue…
14. DEROGHE
Nel caso in cui il titolare tratti dati particolari per adempiere gli obblighi
contrattuali l'EDPB ritiene che si possano applicare le deroghe previste ai
sensi dell'art. 9 e segg del GDPR.
Se nessuna delle deroghe previste dall’art 9 richiamato non sono applicabili
il titolare deve adottare misure tecniche adeguate al trattamento di
categorie particolari di dati personali consentendo ai fornitori dei servizi un
accesso selezionato ai dati strettamente necessari ad espletare il loro
contratto.
15. Infine, l'EDPB fornisce indicazioni al fine di garantire la sicurezza dei dati
ed il rispetto dei principi di minimizzazione, responsabilizzazione e
trasparenza, specie nel caso in cui siano poste in essere attività di
profilazione o decisioni automatizzate ai sensi dell'art 22 GDPR.
Segue…