g-docweb-display Portlet

Nota del Presidente del Garante, Antonello Soro, al Presidente del Consiglio dei Ministri in tema di direttiva sui servizi di pagamento (cd. PSD2)

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Al Presidente del Consiglio dei ministri
On. Paolo Gentiloni

Al Ministro dell’interno
Sen. Marco Minniti

Al Ministro dell’economia e delle finanze
Prof. Pier Carlo Padoan

Al Ministro della giustizia
On. Andrea Orlando

È pervenuta a questa Autorità una nota con cui l’Associazione Bancaria Italiana evidenzia possibili antinomie e dubbi interpretativi (di cui sarebbero già state rese edotte anche alcune delle SS.LL.) tra la disciplina in oggetto e il regolamento (UE) 679/2016 sulla protezione dei dati personali (GDPR), pienamente operativo, come noto, a far data dal 25 maggio p.v..

Benché il Garante non abbia avuto modo di pronunciarsi formalmente sulla materia nemmeno in occasione del recepimento della previgente direttiva 2007/64/CE, nel condividere la preoccupazione derivante da potenziali conflitti tra le disposizioni contenute nelle discipline sopra richiamate, si evidenziano alcune questioni che emergono da una prima lettura combinata delle due normative.

In primo luogo, si evidenzia che non risultano chiaramente definiti i rapporti intercorrenti tra le varie categorie di soggetti individuate dalla direttiva (UE) 2015/2366 (PSD2), né risulta obbligatoria la stipula di contratti mediante i quali regolare i relativi rapporti; ciò comporta evidenti difficoltà, sul piano della protezione dei dati personali, nell’individuazione degli assetti e dei ruoli (titolare/responsabile del trattamento) in capo ai soggetti a diverso titolo coinvolti nell’erogazione dei servizi di pagamento. Non sfugge, infatti, che la fornitura di tali servizi presuppone la comunicazione ai TPP (Third Parties Providers, in particolare PISP–Payment Initiation Service Providers e AISP–Account Information Service Providers) di dati personali degli utenti finali da parte degli ASPSP (Account Servicing Payment Service Providers), con le relative conseguenze in termini di compliance al GDPR.

In secondo luogo, si rileva che il quadro di riferimento, anche dal punto di vista delle “regole tecniche” (Regulatory Technical Standards-RTS) e delle “linee guida” in via di adozione da parte dell’Autorità Bancaria Europea (EBA), non potrà non incidere sugli istituti di protezione dei dati previsti dal medesimo GDPR. In tal senso, ad esempio, il consenso dell’utente dei servizi di pagamento, allo stato previsto quale unico presupposto di liceità del trattamento dei dati personali da parte dei prestatori di servizi di pagamento (PSP) (art. 94, par. 2, della direttiva (UE) 2015/2366), potrebbe confliggere (o, quantomeno, andrebbe armonizzato), una volta definito compiutamente il sistema normativo in materia di servizi di pagamento, con le altre “condizioni” di liceità previste dall’art. 6 del GDPR (ove eventualmente applicabili). Analogamente, stante l’incidenza delle RTS sulle misure di sicurezza (art. 32 del GDPR), occorrerà attendere la compiuta definizione dei relativi procedimenti di adozione a cura della Commissione al fine di individuare l’insieme delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, anche per prevenire, circoscrivere e gestire eventuali “data breach” (artt. 33 e 34 del GDPR). Parimenti, la previa definizione del quadro normativo tramite RTS sarà indispensabile per consentire l’effettuazione della valutazione di impatto (art. 35 del GDPR).

Sotto altro profilo, si rileva che la disciplina tecnica dell’EBA comporterà la necessità, da parte dei PSP, di profilare (art. 22 del GDPR) gli utenti finali attraverso il monitoraggio dei parametri e delle caratteristiche delle transazioni, nonché la valutazione della “storia” di quelle già effettuate, al fine di rilevare operazioni fraudolente e/o non autorizzate. Resta da capire, al riguardo, con quali modalità verrà effettuata tale profilazione.

La nozione di “dati sensibili relativi ai pagamenti” prevista dall’art. 4, par. 32, della direttiva (UE) 2015/2366, inoltre, appare confliggere con la definizione di “particolari categorie di dati” accolta dall’art. 9 del GDPR.

Particolare attenzione, poi, dovrà essere prestata all’esercizio dei diritti degli interessati, con specifico riguardo al “nuovo” diritto alla portabilità dei dati (art. 20 del GDPR). In proposito, andrà infatti valutata, caso per caso, la compatibilità di tale diritto con altri diritti assimilabili previsti dalla direttiva (UE) 2015/2366, conformemente alle indicazioni già rese in argomento dal Gruppo art. 29 (cfr. Linee guida sul diritto alla portabilità dei dati del 13 dicembre 2016, WP 242, p. 8).

Tutta da valutare, infine, appare l’incidenza dei princìpi contenuti negli artt. 5 e 25 del GDPR rispetto a un mercato in forte espansione, caratterizzato da elevati standard tecnologici e da alti tassi di innovatività, oltre che da un’agevole interoperabilità dei sistemi.

Tenuto conto che, per i profili di protezione dei dati personali sottesi alla disciplina in esame –peraltro solo di recente sottoposti all’attenzione del sottogruppo “Financial Matters”−, appare imprescindibile un approccio condiviso con le altre autorità nazionali di protezione dei dati, non si può che segnalare, in assenza di un quadro normativo compiutamente definito a livello comunitario e nazionale non solo in materia di servizi di pagamento, ma anche in materia di protezione dei dati personali (v. al riguardo, l’art. 13 della legge n. 163/2017), le criticità sopra evidenziate, auspicando un intervento volto a definire un quadro normativo più chiaro e condiviso, presupposto indispensabile per il successivo rilascio di indicazioni in materia di protezione dei dati agli operatori coinvolti. In tal senso, la normativa che verrà adottata in attuazione del decreto legislativo definitivamente approvato dal Consiglio dei ministri in data 11 dicembre 2017 potrebbe costituire uno strumento idoneo per fornire prime precisazioni in merito.

Antonello Soro