Immagine stilizzata dell'unione europea affiancata da un lucchetto come simbolo del GDPR

COMPLIANCE GDPR E DIRETTIVA EUROPEA PSD2: IL RISPETTO DELLA PRIVACY NEI SISTEMI DI PAGAMENTO

In questo articolo andremo ad analizzare gli aspetti principali di compliance tra il GDPR e la direttiva europea PSD2, analizzeremo le principali differenze e affinità tra le due in ottica privacy e con particolare focus sui sistemi di pagamento.

1. GDPR E PSD2, IL REGOLAMENTO E LA NORMATIVA A CONFRONTO

Il GDPR e la PSD2 sono rispettivamente un regolamento e una normativa europee entrambe in vigore dal 2016 ma recepite e operative negli stati membri dal 2018.

Come ben sappiamo in tema di compliance GDPR, questo dirige la normativa in materia di trattamento dei dati personali delle persone fisiche; in sostanza il regolamento pone in equilibro due esigenze potenzialmente in conflitto, ovvero quella di favorire e promuovere la libera circolazione dei dati e assicurare allo stesso tempo la totale protezione e rispetto della privacy.

La PSD2 (Payment Services Directive 2) è la nuova direttiva europea sui sistemi di pagamento introdotta in sostituzione della oramai obsoleta PSD.

La PSD2 consente la realizzazione di un ambiente bancario più “democratico” in quanto impone alle banche di condividere le informazioni sui conti e sui dati in loro possesso a terze parti autorizzate, introducendo così il c.d. open banking.

Nello specifico, in ottica compliance GDPR, la normativa PSD2 offre ad aziende e privati la possibilità di utilizzare provider di operatori terzi utili per gestire le proprie finanze, le operazioni di pagamento o semplicemente al fine di accedere alle informazioni sui propri conti anche se essi si trovano in banche diverse

In pratica entra in gioco un elemento di assoluta novità grazie alla quale per effettuare pagamenti dal proprio conto corrente online non è più necessario passare per il proprio istituto di credito, ma ci si può facilmente servire di siti e/o app di soggetti autorizzati.

2. COMPLIANCE GDPR E PSD2, UN MECCANISMO COMPLESSO

Giungere a un’effettiva compliance tra i dettami del GDPR e della PSD2 appare un processo sicuramente periglioso e decisamente intricato in quanto il GDPR e la PSD2 presentano alcuni aspetti che evidenziano profili di complessità applicativa frutto di una mancanza di coordinamento delle norme.

Se entrambi ambiscono all’agevolazione e facilitazione della condivisione di dati e informazioni personali, il primo si impegna irremovibilmente e prepotentemente nel promuovere la trasparenza e la responsabilizzazione rispetto al trattamento dei dati personali dedicandosi alla tutela del diritto fondamentale alla protezione degli stessi e del rispetto della privacy.

Naturalmente l’esigenza di favorire il mercato digitale promosso dalla PSD2 e quella di rafforzare la protezione dei dati personali del GDPR non sempre coincidono e, in alcuni casi, finiscono per entrare in conflitto, rendendo il raggiungimento della compliance faticoso.

È necessario, pertanto, trovare un punto di equilibrio tra le due normative assicurando un’adeguata compliance rispetto ad entrambi i fronti, tenendo presente come il settore bancario sia uno tra i più “colpiti” dall’impatto del GDPR; le banche, infatti, nello svolgimento della propria attività, acquisiscono per ogni cliente un numero elevato di dati personali.

Vediamo e analizziamo di seguito quali sono i passi necessari da muovere nel cammino verso una corretta compliance. con lo scopo appunto di inviare loro offerte commerciali personalizzate.

3. COMPLIANCE GDPR E PSD2, LA LOTTA TRA PRIVACY E IL MERCATO DEI SISTEMI DI PAGAMENTO

In ottica compliance GDPR e PSD2, nel settore bancario, è necessario evidenziare ed anticipare come le esigenze di favorire il mercato digitale e rafforzare la protezione dei dati personali non sempre sono in linea e non in tutti i casi coincidono, posto che, in molti casi, addirittura collidono.

Ma perché questo accade?.

Il GDPR già di per se bilancia due esigenze che potenzialmente potrebbero entrare in conflitto

  • a) favorire la libera circolazione dei dati
  • b) assicurare la protezione di tali dati.

Nell’ottica compliance GDPR e PSD2 la nuova disciplina non sembrerebbe costituire dunque un ostacolo al trattamento dei dati ma, al contrario, permette che tale trattamento sia effettuato in maniera trasparente, garantendo all’interessato il diritto di essere sempre informato sull’esistenza di un trattamento avente ad oggetto propri dati personali, nonché sulle modalità di svolgimento di tale trattamento e dei diritti dell’interessato.

GDPR ha avuto, ed è destinato ad avere un notevole impatto in tutti i settori in cui avviene un trattamento di dati personali vista la sua natura e la sua origine, il settore bancario è uno dei settori il GDPR ha avuto un impatto sicuramente maggiore: tutto gli operatori bancari, svolgendo le propria attività, trattano e acquisiscono per ogni cliente/partner/prospect un numero elevato di dati personali, così come acquisiscono e trattano dati per quanto concerne sistemi di pagamento e dati bancari.

GDPR e PSD2 compliance è la profilazione:
ogni operatore bancario, nel corso della propria attività acquisisce e archivia tutti i dati relativi alle operazioni di pagamento del cliente, e, da questo, può ottenere un’analisi sufficientemente dettagliata delle spese, delle operazioni di pagamento, degli acquisti effettuati etc.

4. GDPR E PSD2, QUALE DOCUMENTAZIONE È NECESSARIA?

In ottica GDPR e PSD2 compliance, e secondo quanto analizzato sopra, l’operatore bancario è messo nella condizione di poter facilmente creare una scheda profilo personale del cliente da inserire all’interno di determinate categorie o classi commerciali di clientela.

La scelta del legislatore europeo, in linea con la visione generale del GDPR, è quella di permettere la profilazione, ma solo con alcuni accorgimenti volti ad assicurare una adeguata tutela delle persone coinvolte.

Per tale ragione sarà fondamentale fornire predisporre una documentazione che sia compliance al GDPR in tutti gli aspetti e in tutti i punti richiesti e nello specifico sarà quindi necessario predisporre:

  • a) Un’informativa privacy dettagliata, che fornisca tutti i dati necessari, le finalità del trattamento e il periodo di conservazione dei dati.
  • b) Svolgere un’adeguata valutazione d’impatto per valutare la sicurezza e lo stato attuale in ottica protezione dati.
  • c) Predisporre il registro del trattamento dati;
  • d) Nominare, qualora sia necessario, un DPO come previsto dal GDPR, garantendo così un’adeguata compliance per la società in cui si opera.