In questo articolo, esploriamo l’evoluzione legislativa nell’Unione Europea riguardante le proposte di nuova Direttiva PSD3 (Payment Services Directive) e il Regolamento PSR (Payment Services Regulation), focalizzandoci sulle recenti raccomandazioni del Garante europeo della protezione dei dati (EDPS), proposte in un documento datato 16 novembre 2023.
Analizziamo in dettaglio come tali raccomandazioni influenzino la struttura e l’implementazione di queste normative, con particolare attenzione alla protezione dei dati personali e alla conformità con il GDPR. Il contributo, inserito nella serie che PagamentiDigitali propone per una migliore analisi della PSD3, offre una visione chiara e professionale su questi sviluppi legislativi. Attraverso una disamina del parere dell’EDPS, miriamo a delineare le implicazioni per il settore dei servizi di pagamento, evidenziando le sfide e le opportunità che esse presentano.
Il contesto di riferimento: PSD3 e PSR
Il 28 giugno 2023, la Commissione Europea ha introdotto due iniziative legislative cruciali nel settore dei servizi di pagamento: la Proposta di Regolamento sui servizi di pagamento nel mercato interno (PSR Proposal) e la Proposta di Direttiva sui servizi di pagamento e servizi di moneta elettronica (PSD3 Proposal).
Queste proposte rappresentano un passo significativo nella regolamentazione dei servizi di pagamento digitali, mirando a modernizzare e rafforzare il quadro normativo esistente.
Accompagnate da tre allegati ciascuna, i testi PSR e PSD3 forniscono un quadro dettagliato dei servizi di pagamento e di moneta elettronica. Questi allegati sono fondamentali per comprendere l’ambito e la portata delle nuove normative, delineando specificamente i tipi di servizi interessati.
Le bozze diffuse dalla Commissione Europea a fine giugno sembrano mantenere una continuità con la precedente direttiva PSD2, coprendo essenzialmente gli stessi tipi di servizi. Ciò suggerisce un approccio di evoluzione piuttosto che di rivoluzione nel settore dei servizi di pagamento.
Sintesi delle proposte PSR e PSD3
Per consentire un migliore raccordo al lettore che non avesse letto i precedenti contributi a firma di chi scrive, condividiamo una breve sintesi delle proposte di regolamento PSR e nuova PSD3 del 28 giugno 2023.
La proposta di PSR
La proposta di regolamento europeo sui servizi di pagamento si concentra su quattro aree chiave:
- Protezione e fiducia degli utenti
Miglioramento dell’Autenticazione Forte del Cliente (SCA), creazione di una base legale per lo scambio di informazioni sulle frodi, estensione della verifica dell’IBAN, e potenziamento dei diritti e delle informazioni per gli utenti. - Competitività dei servizi di Open Banking
Implementazione di interfacce di accesso ai dati e dashboard per la gestione delle autorizzazioni. - Miglioramento dell’attuazione e dell’applicazione del quadro legislativo
Sostituzione della PSD2 con un regolamento direttamente applicabile e miglioramento della cooperazione tra le autorità competenti. - Accesso ai Sistemi di Pagamento e ai conti bancari per i Prestatori di Servizi di Pagamento non bancari
Facilitazione per gli Istituti di Pagamento nell’apertura di conti presso banche e per l’accesso ai Sistemi di Pagamento con finalità di clearing & settlement.
La proposta di PSD3
La proposta di nuova direttiva sui servizi di pagamento PSD3 aggiorna e chiarifica le norme relative ai fornitori di servizi di pagamento, integrando gli Istituti di Moneta Elettronica e includendo disposizioni sui servizi di prelievo di contanti.
Consultazione e opinione del Garante europeo della protezione dei dati EDPS
In risposta a una consultazione della Commissione Europea del 29 giugno 2023, il Garante europeo della protezione dei dati (EDPS) ha espresso un parere favorevole, sottolineando l’importanza della consultazione nei processi legislativi e accogliendo positivamente il coinvolgimento nelle fasi preliminari della formulazione delle proposte.
Questo contesto fornisce una base solida per comprendere l’importanza e l’impatto delle proposte PSR e PSD3 nel panorama dei servizi di pagamento europei, evidenziando il ruolo cruciale del Garante nel valutare e guidare l’evoluzione di queste normative.
Nella formulazione del parere, inoltre, il Garante ha considerato anche la proposta di regolamento nota come FIDAR, che disciplina tra l’altro all’accesso a dati finanziari diversi dai dati sui conti di pagamento, anch’essa diffusa dalla Commissione Europea il 28 giugno 2023.
Le raccomandazioni del Garante europeo della protezione dei dati
Le raccomandazioni dell’EDPS diffuse a novembre si concentrano in particolare sulla proposta di regolamento PSR e mirano a rafforzare la protezione dei dati personali nel contesto dei servizi di pagamento, assicurando l’allineamento con i principi del GDPR.
Di seguito, proponiamo una sintesi delle raccomandazioni, organizzate per aree d’intervento:
- Distinzione tra “permesso” e “consenso”;
- Accesso e sicurezza dei dati;
- Trattamento e protezione dei dati personali;
- Gestione dei permessi e informazioni legali;
- Compliance normativa.
Per ognuna delle aree attenzionate, condivideremo inoltre alcune riflessioni al fine di offrire una comprensione più profonda delle implicazioni delle raccomandazioni per la protezione dei dati personali nel settore dei servizi di pagamento.
Distinzione tra “permesso” e “consenso”
In questo paragrafo di approfondimento, esaminiamo le raccomandazioni del Garante europeo della protezione dei dati (EDPS) in relazione al PSR, concentrandoci su tre aspetti chiave: la differenziazione tra il termine “permesso” e le basi legali per il trattamento dei dati secondo il GDPR, il chiarimento sul conferimento del permesso da parte degli utenti dei servizi di pagamento, la riconsiderazione della proibizione per gli ASPSP di verificare il permesso.
In dettaglio, nel documento di novembre 2023, l’EDPS formula i seguenti pareri:
- Differenziazione dei termini di “permesso” e base legale per il trattamento dei dati
È essenziale chiarire che il “permesso” non deve essere interpretato come “consenso” o “consenso esplicito” oppure “necessità per l’esecuzione di un contratto” come definito nel GDPR, distinguendo chiaramente tra il termine “autorizzazione” e la base giuridica per il trattamento. - Chiarimento sul conferimento del permesso da parte dell’utente
Il conferimento del permesso da parte dell’utente dei servizi di pagamento non deve pregiudicare gli obblighi dei fornitori di servizi di Payment Initiation (I cosiddetti PISP) e di servizi di Account Information (gli AISP), in relazione alla liceità del trattamento (Art. 6 del GDPR) e al trattamento di categorie particolari di dati personali (Art. 9 del GDPR). - Riconsiderazione della proibizione per gli ASPSP di verificare il permesso introdotta dal PSR
È necessario riconsiderare la proibizione[1] imposta agli ASPSP (banche o, in generali, prestatori di servizi di radicamento dei conti) di verificare il permesso, o, in alternativa, introdurre salvaguardie alternative per proteggere gli utenti dai rischi di condivisione illecita di dati personali.
La comprensione delle raccomandazioni del Garante richiede un’analisi attenta di alcuni concetti chiave nel contesto della protezione dei dati e dei servizi di pagamento. Al seguito proponiamo alcune riflessioni su ciascuno dei punti menzionati.
Riflessioni sulla distinzione tra “permesso” e “consenso”
Nel GDPR, il “consenso” implica una scelta libera, specifica, informata e inequivocabile da parte dell’utente. Confondere il “permesso” con il “consenso” potrebbe portare a una comprensione errata delle aspettative e dei diritti degli utenti.
Le organizzazioni, pertanto, devono assicurarsi che quando chiedono il “permesso” agli utenti, questo non venga interpretato come un consenso GDPR. Ciò aiuta a prevenire malintesi legali e garantisce che i diritti degli utenti siano rispettati.
Riflessioni sul conferimento del permesso dell’utente
Riteniamo opportuno un chiarimento sul conferimento del permesso da parte dell’utente che articoliamo nelle seguenti riflessioni:
- Equilibrio tra permesso dell’utente e obblighi legali: il permesso concesso dall’utente per l’utilizzo dei suoi dati nei servizi di Payment Initiation (PISP) e Account Information (AISP) non deve esonerare questi fornitori dai loro obblighi legali. È fondamentale che il trattamento dei dati personali sia sempre conforme ai principi di liceità, correttezza e trasparenza come stabilito dall’Art. 6 del GDPR.
- Trattamento di categorie particolari di dati: l’Art. 9 del GDPR impone restrizioni aggiuntive sul trattamento di categorie particolari di dati personali. I fornitori di servizi devono assicurarsi che il permesso ottenuto dagli utenti sia adeguatamente informato e specifico per queste categorie di dati, garantendo così una maggiore protezione.
Riflessioni sulla riconsiderazione della proibizione per gli ASPSP di verificare il permesso
Anche in questo caso, vogliamo condividere alcune riflessioni sull’opportunità di riconsiderare quanto la bozza di PSR prevede in relazione alla proibizione per le banche di verificare il permesso, come suggerita dal parere dell’EDPS:
- Rischi di condivisione illecita di dati: la proibizione per gli ASPSP (banche o altri prestatori di servizi di radicamento dei conti) di verificare il permesso può portare a rischi di condivisione illecita di dati personali. Ciò potrebbe minare la fiducia degli utenti nei servizi di pagamento e aumentare il rischio di frodi e abusi.
- Necessità di salvaguardie alternative: è essenziale valutare l’introduzione di misure di sicurezza alternative che possano bilanciare la necessità di proteggere la privacy degli utenti con la necessità di prevenire l’uso improprio dei dati. Tali misure potrebbero includere sistemi di monitoraggio e verifica più robusti, che permettano agli ASPSP di svolgere un ruolo attivo nella protezione dei dati degli utenti senza violare le normative sulla privacy.
In estrema sintesi, il conferimento del permesso da parte degli utenti e la verifica di tale permesso da parte degli ASPSP sono aspetti critici che richiedono un’attenta considerazione nel contesto dei servizi di pagamento. È fondamentale garantire che i diritti e la sicurezza degli utenti siano salvaguardati, mantenendo al contempo la conformità con le normative sulla protezione dei dati. Detto equilibrio è essenziale per mantenere la fiducia nel settore dei pagamenti digitali e per assicurare che i servizi siano sia sicuri che rispettosi della privacy degli utenti.
Accesso e sicurezza dei dati
In questo paragrafo, esaminiamo due aspetti critici relativi alla sicurezza dei dati nei servizi di Payment Initiation e Account Information: l’accesso ai dati di sicurezza personalizzati e la definizione di “dati sensibili relativi ai pagamenti” secondo la proposta di regolamento PSR.
Sui temi in discorso, il parere del Garante si esprime come al seguito evinto per punti:
- Accesso ai dati di sicurezza personalizzati
I fornitori di servizi di Payment Initiation e Account Information non dovrebbero accedere alle credenziali di sicurezza personalizzate degli utenti. In tal senso, il Garante si riferisce espressamente all’articolo 46, paragrafo 2, lettera a), e all’articolo 47, paragrafo 2, lettera a) della proposta di regolamento PSR. - Chiarimento sulla definizione di “dati sensibili relativi ai pagamenti” inclusa nella proposta di PSR
È necessario specificare i tipi di dati personali inclusi nella definizione di “dati sensibili relativi ai pagamenti”[2].
Riflessioni su accesso e sicurezza dei dati nei servizi di Payment Initiation e Account Information
In merito all’accesso ai dati di sicurezza personalizzati rilevano le seguenti osservazioni:
- Rischi di sicurezza: l’accesso ai dati di sicurezza personalizzati, come le credenziali di accesso, da parte dei fornitori di servizi di Payment Initiation (PISP) e Account Information (AISP) presenta rischi significativi per la sicurezza. Se queste informazioni dovessero cadere in mani sbagliate, potrebbero verificarsi violazioni di sicurezza gravi, come l’accesso non autorizzato ai conti bancari degli utenti.
- Importanza della separazione dei ruoli: limitare l’accesso dei PISP e degli AISP alle credenziali di sicurezza personalizzate degli utenti è un passo fondamentale per mantenere una chiara separazione dei ruoli nel settore dei pagamenti. Questo aiuta a prevenire conflitti di interesse e potenziali abusi.
- Conformità normativa: il riferimento del Garante alle specifiche disposizioni del regolamento PSR sottolinea l’importanza della conformità normativa. Questo approccio garantisce che i fornitori di servizi rispettino i limiti stabiliti per la protezione dei dati degli utenti.
Chiarimento sulla definizione di “dati sensibili relativi ai pagamenti”
Con riferimento all’accesso ai dati di sicurezza personalizzati è opportuno soffermarsi sulla necessità di fare chiarezza per i seguenti punti:
- Ambiguità e potenziali confusioni: senza una definizione chiara di cosa costituisca “dati sensibili relativi ai pagamenti”, potrebbero sorgere ambiguità e confusioni sia per i fornitori di servizi che per gli utenti. Ciò potrebbe portare a interpretazioni errate e a una gestione inadeguata dei dati.
- Impatto sulla privacy dell’utente: la mancanza di chiarezza su quali dati rientrano in questa categoria potrebbe avere implicazioni significative sulla privacy e la sicurezza degli utenti. I dati sensibili richiedono livelli più elevati di protezione e gestione.
- Necessità di linee guida chiare: specificare chiaramente quali dati sono inclusi in questa categoria aiuterà i fornitori di servizi a comprendere meglio le loro responsabilità e a implementare misure di sicurezza adeguate. Ciò è essenziale per costruire fiducia tra gli utenti e per garantire la conformità con le normative sulla protezione dei dati.
In altri termini, l’accesso controllato ai dati di sicurezza personalizzati e una definizione chiara di “dati sensibili relativi ai pagamenti” sono cruciali per garantire la sicurezza e la protezione dei dati nel settore dei servizi di pagamento. Queste misure non solo aumentano la fiducia degli utenti nei servizi finanziari digitali, ma sono anche fondamentali per il rispetto delle normative sulla privacy e la protezione dei dati.
Trattamento e protezione dei dati personali
In questo parte del contributo, analizziamo le indicazioni del Garante espresse a novembre sul trattamento e la protezione dei dati personali all’interno dei Sistemi di Pagamento. Esaminiamo aspetti cruciali come la specificazione dei tipi di dati personali speciali, la giustificazione del loro trattamento, l’implementazione di salvaguardie per la sicurezza dei dati, la definizione delle categorie di dati utilizzabili per il monitoraggio delle transazioni e la determinazione dei periodi di conservazione dei dati.
In dettaglio, l’EDPS formula i seguenti pareri:
- Specificazione sui tipi di dati personali speciali
Occorre specificare quali categorie di dati personali speciali possono essere trattati in relazione ai Sistemi di Pagamento[3]. - Giustificazione del trattamento di categorie speciali di dati personali
Fornire giustificazioni sulla necessità e proporzionalità del trattamento di categorie speciali di dati personali per i Sistemi di Pagamento. - Inclusione di salvaguardie per la protezione dei dati
Includere riferimenti a meccanismi di registrazione degli accessi come salvaguardia per la protezione dei dati, tra le garanzie di protezione dei dati di cui all’articolo 80 della proposta PSR. - Categorie di dati personali per il monitoraggio delle transazioni
Determinare chiaramente le categorie di dati personali che possono essere trattate per il monitoraggio delle transazioni[4]. - Definizione dei periodi di conservazione dei dati
Stabilire periodi appropriati per la conservazione dei dati personali raccolti.
Riflessioni sul trattamento e la protezione dei dati personali
In questo segmento, esploriamo aspetti critici legati al trattamento e alla protezione dei dati personali nei sistemi di pagamento. Analizziamo la necessità di specificare i tipi di dati personali speciali trattati, la giustificazione del loro trattamento, l’implementazione di salvaguardie per la sicurezza dei dati, la definizione delle categorie di dati utilizzabili per il monitoraggio delle transazioni e la determinazione dei periodi di conservazione dei dati.
Sulla specificazione dei tipi di dati personali speciali
Al riguardo della specificazione dei tipi di dati personali speciali, rilevano le seguenti valutazioni:
- Importanza della specificazione: la chiarezza su quali dati personali speciali possono essere trattati nei Sistemi di Pagamento è fondamentale. Questo aiuta a garantire che solo i dati essenziali siano trattati, riducendo il rischio di violazioni della privacy.
- Impatto sulla sicurezza dei dati: la mancanza di specifiche chiare può portare a un’eccessiva raccolta di dati, aumentando il rischio di esposizione e abuso. La specificazione precisa aiuta a limitare l’accesso ai dati strettamente necessari.
Sulla giustificazione del trattamento di categorie speciali di dati personali
In merito alla giustificazione del trattamento di categorie speciali di dati personali è opportuno osservare quanto segue:
- Necessità e proporzionalità: qualsiasi trattamento di categorie speciali di dati personali deve essere giustificato in termini di necessità e proporzionalità. Un approccio siffatto assicura che il trattamento sia effettuato solo quando strettamente necessario e in modo proporzionato all’obiettivo perseguito.
- Valutazione del rischio: la valutazione della necessità e della proporzionalità implica un’attenta considerazione dei rischi associati al trattamento di tali dati, bilanciando la sicurezza con la funzionalità del sistema di pagamento.
Sulla inclusione di salvaguardie per la protezione dei dati
Per ciò che concerne l’inclusione di salvaguardie, valgono le considerazioni a seguire:
- Meccanismi di registrazione degli accessi: l’inclusione di meccanismi di registrazione degli accessi come salvaguardia è cruciale per tracciare e monitorare l’accesso ai dati personali. Ciò aumenta la trasparenza e aiuta a prevenire o identificare accessi non autorizzati.
- Rafforzamento della sicurezza: queste misure di sicurezza sono essenziali per costruire un ambiente di pagamento digitale sicuro e affidabile, dove gli utenti possono fidarsi della protezione dei loro dati.
Sulle categorie di dati personali per il monitoraggio delle transazioni
Per quanto attiene al monitoraggio delle transazioni, rileva osservare:
- Chiarezza nelle categorie di dati: è importante definire chiaramente quali dati personali possono essere utilizzati per il monitoraggio delle transazioni. Questo aiuta a garantire che solo i dati pertinenti siano utilizzati a tale scopo.
- Equilibrio tra sicurezza e privacy: mentre il monitoraggio delle transazioni è vitale per la prevenzione delle frodi, è altrettanto importante garantire che non si violino i diritti alla privacy degli utenti.
Sulla definizione dei periodi di conservazione dei dati
I periodi di conservazione dei dati dovrebbero interpretarsi nei termini che seguono:
- Periodi di conservazione appropriati: stabilire periodi di conservazione appropriati per i dati personali raccolti è fondamentale per la protezione della privacy. I dati non dovrebbero essere conservati per più tempo del necessario.
- Conformità e responsabilità: questa pratica è in linea con i principi del GDPR sulla limitazione della conservazione e sottolinea la responsabilità dei sistemi di pagamento nel gestire i dati personali in modo responsabile.
In sintesi, la specificazione, la giustificazione, la salvaguardia, la chiarezza e la limitazione temporale nel trattamento dei dati personali sono aspetti cruciali per garantire la sicurezza e la protezione dei dati nei sistemi di pagamento. Queste pratiche non solo rafforzano la fiducia degli utenti nei servizi di pagamento digitale, ma sono anche essenziali per il rispetto delle normative sulla privacy e la protezione dei dati.
Gestione dei permessi e informazioni legali
In questo parte dell’articolo, esaminiamo aspetti critici legati alla gestione dei permessi e alle informazioni legali nei Sistemi di Pagamento. Ricordiamo che, ai sensi del PSR, con “Sistemi di Pagamento” si definiscono i sistemi di trasferimento di fondi regolato da disposizioni formali e standardizzate e regole comuni per il trattamento, la compensazione o il regolamento di operazioni di pagamento (ad esempio BICOMP, TARGET2, TIPS).
Analizziamo inoltre la necessità di specificare chiaramente i Sistemi per cui gli utenti concedono il permesso, i requisiti sui dati richiesti dai prestatori di servizi di pagamento, la trasparenza nella comunicazione della base legale per l’accesso ai dati personali e l’importanza di un design etico delle dashboard per la gestione dei permessi.
Sui temi in discorso, a novembre il Garante ha formulato i seguenti pareri:
- Riferimento specifico ai Sistemi di Pagamento
Aggiungere riferimenti specifici ai Sistemi di Pagamento per i quali l’utente concede il permesso. Requisiti sui dati richiesti dai Prestatori di Servizi di Pagamento (PSP)
I fornitori di servizi di pagamento dovrebbero richiedere agli utenti solo i dati necessari per fornire il servizio richiesto. - Informazioni sulla base legale per l’accesso ai dati personali
I PSP dovrebbero informare gli ASPSP sulla base legale per l’accesso ai dati personali degli utenti. - Design delle dashboard per la gestione dei permessi
Le dashboard per la gestione dei permessi non dovrebbe incoraggiare o influenzare indebitamente gli utenti nella concessione o revoca dei permessi.
Riflessioni sulla gestione dei permessi e informazioni legali nei Sistemi di Pagamento
Condividiamo, in linea con quanto nei precedenti paragrafi abbiamo fatto, alcune riflessioni sul tema in parola.
Sul riferimento specifico ai Sistemi di Pagamento
In merito alla necessità, espressa dall’EDPS, di fare specifico riferimento ai Sistemi di Pagamento, possiamo riflettere sui seguenti aspetti.
- Chiarezza nella concessione dei permessi: l’aggiunta di riferimenti specifici ai Sistemi di Pagamento per i quali gli utenti concedono il permesso è cruciale. Questo assicura che gli utenti siano pienamente consapevoli dei sistemi ai quali stanno concedendo l’accesso ai loro dati.
- Definizione dei Sistemi di Pagamento: comprendere che i Sistemi di Pagamento, come definiti dal PSR, includono sistemi regolati da norme formali per il trasferimento di fondi, è fondamentale per apprezzare l’ampiezza e la complessità del contesto in cui i dati degli utenti vengono gestiti.
Sui requisiti sui dati richiesti dai Prestatori di Servizi di Pagamento (PSP)
Sui requisiti che i dati richiesti dai PSP devono avere, osserviamo:
- Limitazione nella raccolta dei dati: i PSP dovrebbero limitarsi a richiedere solo i dati strettamente necessari per erogare il servizio. Questo principio di minimizzazione dei dati è in linea con le migliori pratiche di protezione dei dati e riduce il rischio di esposizione dei dati.
- Protezione della privacy dell’utente: limitare la raccolta di dati aiuta a proteggere la privacy degli utenti, assicurando che solo le informazioni essenziali siano raccolte e trattate.
Sulle informazioni per la base legale per l’accesso ai dati personali
In relazione alle informazioni per la base legale per l’accesso ai dati personali, si osservano gli aspetti che seguono:
- Trasparenza e conformità legale: i PSP devono informare chiaramente gli ASPSP (Account Servicing Payment Service Providers) sulla base legale per l’accesso ai dati personali. Questa trasparenza è fondamentale per la fiducia degli utenti e per garantire la conformità con le normative sulla protezione dei dati.
- Responsabilità dei PSP: questo requisito sottolinea la responsabilità dei PSP nel garantire che ogni accesso ai dati personali sia giustificato e conforme alla legge.
Sul design delle dashboard per la gestione dei permessi
Sul design della dashboard è opportuni considerare alcuni aspetti:
- Influenza sulle decisioni degli utenti: è importante che le dashboard per la gestione dei permessi siano progettate in modo da non influenzare indebitamente le decisioni degli utenti. Questo assicura che le scelte di concessione o revoca dei permessi siano effettivamente libere e informate.
- Etica del design e protezione dell’utente: il design etico delle dashboard è un aspetto cruciale per proteggere i diritti e le libertà degli utenti, evitando pratiche manipolative o ingannevoli.
In conclusione, la gestione responsabile e trasparente dei dati personali nei Sistemi di Pagamento è fondamentale. Questo include la chiarezza nella concessione dei permessi, la limitazione nella raccolta dei dati, la trasparenza sulla base legale dell’accesso ai dati e un design etico delle interfacce utente. Queste pratiche non solo rafforzano la fiducia e la sicurezza degli utenti ma sono anche essenziali per il rispetto delle normative sulla privacy e la protezione dei dati.
Compliance normativa
In questa ultima parte dell’approfondimento, esaminiamo la definizione di “accordo di condivisione delle informazioni” proposta nel PSR, la limitazione del trattamento dei dati personali per la prevenzione delle frodi e il ruolo delle autorità di supervisione nella protezione dei dati.
Al riguardo, il Garante formula i seguenti pareri:
- Definizione di “accordo di condivisione delle informazioni”
Includere una definizione di “Accordo di condivisione delle informazioni” nelle definizioni presenti nella proposta di PSR[5]. - Limitazione del trattamento dei dati personali per la prevenzione delle frodi
Specificare che il trattamento dei dati personali per la prevenzione delle frodi non deve influenzare negativamente il rapporto con il PSP o l’onboarding con un altro fornitore di servizi di servizi di pagamento. - Menzione delle autorità di supervisione per la protezione dei dati
Includere un riferimento esplicito alle autorità di supervisione responsabili del monitoraggio e dell’applicazione della legge sulla protezione dei dati.
Riflessioni sulla compliance normativa
Proponiamo anche in questo caso alcune riflessioni utili a comprendere meglio le raccomandazioni del Garante.
Sulla definizione di “accordo di condivisione delle informazioni”
Una definizione di “accordo di condivisione delle informazioni” come suggerita dall’EDPS, chiama in causa alcune necessità avvalorate dalle seguenti considerazioni:
- Chiarezza e trasparenza: l’inclusione di una definizione chiara di “accordo di condivisione delle informazioni” nella proposta di PSR è fondamentale per garantire trasparenza e comprensione tra tutte le parti coinvolte. Ciò aiuta a stabilire parametri chiari su come i dati possono essere condivisi e utilizzati.
- Protezione dei dati e privacy: una definizione ben articolata contribuisce a proteggere la privacy degli utenti, assicurando che la condivisione dei dati avvenga in modo responsabile e conforme alle normative sulla protezione dei dati.
Sulla limitazione del trattamento dei dati personali per la prevenzione delle frodi
La prevenzione delle frodi, spesso, chiama in causa la necessità di raccogliere un insieme di informazioni relative all’utente dei servizi di pagamento, fra i quali non si può escludere la presenza di dati personali. Al riguardo rileva osservare:
- Equilibrio tra sicurezza e relazioni con i clienti: è essenziale che il trattamento dei dati personali per la prevenzione delle frodi non danneggi il rapporto tra gli utenti e i Prestatori di Servizi di Pagamento (PSP) o influenzi negativamente l’onboarding con altri fornitori. Questo equilibrio è cruciale per mantenere la fiducia dei clienti.
- Prevenzione delle frodi senza compromessi: la prevenzione delle frodi è vitale, ma deve essere bilanciata con il rispetto dei diritti degli utenti. Le strategie di prevenzione delle frodi devono essere efficaci senza compromettere i diritti alla privacy e senza causare effetti negativi ingiustificati sui clienti.
Sulla menzione delle autorità di supervisione per la protezione dei dati
La necessità di menzionare le autorità di supervisione negli accordi rileva in questi termini:
- Ruolo delle autorità di supervisione: l’inclusione di un riferimento esplicito alle autorità di supervisione responsabili del monitoraggio e dell’applicazione della legge sulla protezione dei dati sottolinea l’importanza del loro ruolo nel garantire che i PSP aderiscano alle normative sulla protezione dei dati.
- Garanzia di conformità e responsabilità: questo riferimento assicura che ci sia un livello di responsabilità e un meccanismo di controllo per garantire che i PSP operino in conformità con le leggi sulla protezione dei dati, rafforzando la fiducia nel sistema di pagamento nel suo complesso.
In definitiva, la definizione di accordi di condivisione delle informazioni, la limitazione nel trattamento dei dati per la prevenzione delle frodi e il chiaro riferimento alle autorità di supervisione sono elementi cruciali per garantire una gestione dei dati responsabile e conforme alle normative. Questi aspetti non solo rafforzano la sicurezza e la fiducia nel settore dei pagamenti digitali, ma assicurano anche che i diritti alla privacy degli utenti siano salvaguardati.
Conclusioni e considerazioni finali
Le raccomandazioni del Garante europeo della protezione dei dati (EDPS) sulle proposte di regolamento PSR e direttiva PSD3 rappresentano un passaggio cruciale verso un rafforzamento significativo della protezione dei dati personali nel settore dei servizi di pagamento. Queste raccomandazioni, che enfatizzano la necessità di una chiara distinzione tra il concetto di “permesso” e le basi legali per il trattamento dei dati in conformità con il GDPR, evidenziano l’importanza di una maggiore trasparenza e sicurezza per gli utenti dei servizi di pagamento.
Attraverso un’analisi approfondita delle proposte e delle raccomandazioni dell’EDPS, emerge un impegno costante nell’adattare il quadro normativo europeo alle sfide emergenti nel settore finanziario digitale. Questo equilibrio tra innovazione e sicurezza dei dati è fondamentale per promuovere un ambiente di pagamento più sicuro e competitivo, proteggendo al contempo i diritti degli utenti.
Per gli esperti in materia di privacy e servizi di pagamento, è evidente che il futuro del settore sarà profondamente influenzato da queste evoluzioni normative. La PSD3 e il PSR non sono solo strumenti normativi, ma rappresentano anche dei catalizzatori per un cambiamento più ampio nel modo in cui i dati personali vengono gestiti e protetti nel contesto finanziario.
L’adozione e l’implementazione efficace di queste raccomandazioni saranno fondamentali per assicurare che il settore dei servizi di pagamento rimanga resiliente, sicuro e all’avanguardia nell’era digitale. Questo processo non solo rafforzerà la fiducia dei consumatori nei servizi di pagamento, ma stabilirà anche nuovi standard per la protezione dei dati personali a livello globale.
In conclusione, le raccomandazioni dell’EDPS rappresentano un passo importante verso la creazione di un ambiente di pagamento digitale che sia non solo innovativo e efficiente, ma anche sicuro, trasparente e rispettoso dei diritti fondamentali degli utenti. La loro implementazione sarà decisiva per plasmare il futuro dei servizi di pagamento, garantendo che i progressi tecnologici vadano di pari passo con la protezione dei dati personali e la fiducia degli utenti.
NOTE
[1] Articolo 49, paragrafo 4, della proposta PSR.
[2] Aticolo 3, paragrafo 38, della proposta PSR.
[3] Articolo 80 della proposta PSR.
[4] Articolo 83 – Meccanismi di monitoraggio delle operazioni e condivisione dei dati sulle frodi, della proposta di PSR.
[5] Articolo 3 della proposta di PSR.