Gloria Marcoccio – Certified Privacy Consultant and Privacy Officer
Il 23 febbraio la European Banking Authority (EBA) ha pubblicato la versione finale delle “Draft regulatory technical standards (RTS) on strong customer authentication and common and secure communication under Directive 2016/2366 (PSD2)“: le RTS saranno definitivamente emesse dalla Commissione Europea come Regolamento e come tali direttamente applicabili in tutti i Paesi Membri.
I processi sottesi ai pagamenti elettronici ed in particolare quelli richiesti dalle RTS comportano il trattamento di rilevanti quantità e tipi di dati personali, per cui risulta interessante leggere le RTS alla luce delle prescrizioni in materia di trattamento dati personali di cui al nuovo regolamento privacy europeo 2016/679 (noto con l’acronimo GDPR).
Tenendo presente l’ampia definizione di legge dei dati personali[1], molti dei dati da utilizzare ai fini delle RTS sono appunto dati personali (incluso l’indirizzo IP associato al mezzo con il quale un utente interagisce con un servizio di pagamento) e pressoché tutti i trattamenti previsti dalle RTS comportano le necessità di conformarsi a specifiche prescrizioni GDPR. I requisiti RTS richiedono infatti e tra l’altro il monitoraggio e la profilazione[2] del comportamento degli utenti dei servizi di pagamenti allo scopo di mitigare i rischi di frodi ed in generale di uso illecito dei servizi, sia nel contesto dell’applicazione della Strong Customer Authentication (SCA) sia quando i PSP (i fornitori di servizi di pagamento soggetti alla PSD2) si avvalgono delle esenzioni alla SCA. Ulteriormente le RTS richiedono l’implementazione di misure di sicurezza sia già stabilite nelle RTS stesse (vedasi ad esempio Articoli 4, 5, 30, …) sia misure da individuare a cura dei PSP con una apposita analisi per contrastare i rischi specifici (vedasi ad esempio quanto richiesto con gli Articoli 6, 7, 8, 20, 25, …).
Questa nota evidenzia quindi alcune delle principali prescrizioni GDRP applicabili ai trattamenti RTS che i PSP dovranno tenere presenti per non incorrere nelle consistenti sanzioni amministrative previste (fino a 20 milioni di euro o 4% del fatturato se superiore).
Base legale, Informativa e Diritti degli Interessati
Le RTS stesse, in quanto Regolamento, forniranno la base di liceità per il trattamento dati personali (GDPR Articolo 6(1)(c)), in quanto ‘il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento’. Ciò significa che i PSP non saranno obbligati ad ottenere il consenso degli utenti dei servizi di pagamento, o a far riferimento al rapporto contrattuale con essi, per poter effettuare lecitamente i trattamenti dati ai fini RTS.
Le RTS comportano anche trattamenti del tipo “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione” (GDPR Articolo 22) in particolar modo quando i PSP devono monitorare determinati parametri e caratteristiche delle transazioni e/o prendere decisioni in base alla ‘storia’ delle transazioni effettuate da un utente, ad esempio per: implementare i meccanismi di monitoring per rilevare transazioni fraudolente e/o non autorizzate o per avvalersi delle esenzioni alla SCA (Strong Customer Authentication) in caso di ‘Low value transaction‘ (RTS Articolo 15). Essendo la base di liceità costituita dalla necessità di conformarsi ad un obbligo legale (le RTS), non sarà applicabile il diritto dell’ Interessato “di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.
La Liceità del trattamento basata sull’obbligo legale di conformarsi alle RTS è valido solo per trattare dati esclusivamente ai fini RTS: ogni altro diverso utilizzo dei dati raccolti e trattati inizialmente pro RTS richiederà l’esistenza di altra appropriata base di liceità: da tenere presente che il Consenso e l’esistenza del Rapporto Contrattuale potrebbero esporre i PSP all’applicazione di particolari obblighi GDPR come ad esempio quello di riconoscere il diritto alla Portabilità dei dati, uno dei nuovi, importanti e controversi diritti riconosciuti dal GDPR (Articolo 20) agli Interessati. Il trattamento dei dati per altri scopi (GDPR Articolo 6(4)) potrebbe essere lecito se basato sul cosiddetto ‘legittimo interesse’ perseguito dal PSP nel suo ruolo di Titolare (GDPR Articolo 6(1)(f)): in tal caso il PSP dovrà svolgere un’analisi (ed essere in grado di documentarla in accordo al principio di ‘Responsabilizzazione’ GDPR Articolo 5(2)) cosi da assicurare che il suo interesse non sia superato dagli interessi o i diritti fondamentali nonché libertà degli Interessati.
I PSP dovranno quindi fornire agli utenti dei servizi di pagamenti (questi nel loro ruolo di Interessati) le Informative riguardo al trattamento dei loro dati ai fini RTS, come da Articoli 13 e 14 del GDPR, e fornire informazioni ed implementare le opportune procedure per consentire l’esercizio degli applicabili diritti degli Interessati (GDPR Articoli 12 e 15-22).
Principi privacy, privacy by design e by default e Registro delle attività di trattamento
I PSP dovranno predisporre affinché i trattamenti dati personali svolti ai fini RTS rispettino i principi generali espressi nel GDPR con l’Articolo 5(1), ossia: liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati nei trattamenti e, con riferimento ai dati: loro esattezza, limitazione della conservazione, integrità e riservatezza.
L’adozione di apposite procedure per rispettare le prescrizioni ‘Privacy by Design e Privacy by Default’ di cui all’Articolo 25 del GDPR è aspetto pienamente applicabile al caso dei trattamenti svolti ai fini RTS. Inoltre tali trattamenti dovranno essere adeguatamente documentati nel Registro delle attività di trattamento, ai sensi dell’Articolo 30 del GDPR.
Misure di sicurezza
Tutti i requisiti RTS di fatto riguardano misure di sicurezza, in generale ben sintonizzate con l’Articolo 25 ‘Misure di sicurezza’ del GDPR. In ogni caso tutte le prescrizioni contenute in tale Articolo dovranno essere rispettate dai PSP, anche quelle non esplicitamente menzionate nelle RTS come ad esempio “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; “ applicata agli strumenti forniti dal PSP agli utenti allo scopo di consentire le interazioni con i servizi di pagamento (ad esempio le interfacce per accedere on line ad un conto bancario). Ulteriormente, tutte le misure adeguate richieste dalle RTS, che dunque devono essere individuate con una specifica analisi dei rischi (vedasi ad esempio Articoli 6-9 delle RTS), in ogni caso dovranno offrire un adeguato livello di sicurezza contro i rischi che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Data Protection Impact Assessment (DPIA)
L’ Articolo 35 del GDPR richiede l’esecuzione della Data Protection Impact Assessment (Valutazione di impatto sulla protezione dei dati) in particolare quando l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Nel caso dei servizi di pagamento, in particolare l’adozione delle misure richieste dalle RTS, essendo queste basate su un uso intensivo di monitoraggio e profilazione del comportamento degli utenti, in quanto input necessari per decidere, ad esempio, se bloccare una transazione sospettata di essere fraudolenta/illecita, comporta l’esecuzione della preventiva DPIA, in quanto il caso è chiaramente coperto nell’Articolo 35 (3) del GDPR, come minimo dalla condizione (a):
comporta ‘una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;’
Comunque, in accordo all’Articolo 35 (10) del GDPR, e considerando il rispetto dell’obbligo legale quale base di liceità per i trattamenti RTS, l’esecuzione della DPIA da parte di ogni singolo PSP potrebbe non essere necessaria qualora le rilevanti Autorità (ad esempio ECB/EBA a livello UE) o, meglio, una dichiarazione esplicita da inserire nella versione finale delle RTS che saranno adottate dalla Commissione, chiaramente potesse riportare che è la legge che disciplina il trattamento specifico o l’insieme di trattamenti in questione, e che è stata effettuata una DPIA nell’ambito di una valutazione d’impatto generale, già effettuata nel contesto dell’adozione della legge stessa.
Data Breach
Ultimi, ma non certo in ordine di importanza, sono gli aspetti che riguardano la Data Breach (Violazione dati personali[3]): gli Articoli 33 e 34 del GDPR si applicano anche nel contesto dei trattamenti RTS, e dunque è richiesto che i PSP, nel loro ruolo di Titolari, dovranno:
- notificare la violazione dati personali alla competente Autorità Garante per la protezione dei dati personali, senza indebito ritardo e, ove fattibile, entro 72 ore dalla presa conoscenza dell’evento,
- in caso di particolari circostanze di rischi elevati, comunicare la violazione anche agli Interessati. Tale obbligo non si applica se i Titolari hanno implementato misure in grado di soddisfare i requisiti di cui all’Articolo 34(3) del GDPR (ad esempio la cifratura dei dati): le misure RTS nel loro complesso potrebbero essere considerate adeguate per potersi avvalere della esenzione in oggetto, ma in ogni caso, a mia personale opinione, una specifica affermazione in tal senso dovrebbe essere fatta in modo formale dalle Autorità Bancarie Europee, così da evitare che ricada sul singolo PSP la responsabilità di decidere per l’applicabilità di questa esenzione in caso di Data Breach
- implementare un archivio per documentare ‘qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo [per la privacy] di verificare il rispetto del presente articolo [Articolo 33 del GDPR]’.
NOTE
[1] GDRP Articolo 4(1): ” «dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; ”
[2] GDRP Articolo 4(4): “«profilazione» :qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;”
[3] GDRP Articolo 4 (12): «violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;