Mediante le Linee guida n. 6/2020, adottate (in modo definitivo) in data 17.7.2020, l’EDPB (European Data Protection Board) ha inteso fornire alcuni orientamenti e chiarimenti circa l’applicazione del Regolamento UE n. 679/2016 (GDPR) e della Direttiva n. 2002/58/CE sulla vita privata e sulle comunicazioni elettroniche (Direttiva E-Privacy) nel contesto della seconda Direttiva n. 2015/2366/CE sui servizi di pagamento (PSD2)[1], la quale ha introdotto un quadro giuridico per i nuovi servizi di disposizione di un ordine di pagamento e dei servizi di informazione sui conti all’interno del mercato interno eurocomunitario.
PSD2: quali sono i tre player del settore
Ai fini della piena comprensione del presente contributo, occorre, innanzitutto, osservare (o meglio, ricordare) che la PSD2 disciplina (e, in alcuni casi, introduce) l’operatività dei seguenti tre “player” del settore:
- Prestatore di servizi di informazione sui conti (AISP): prestatore di un servizio online che fornisce informazioni consolidate relativamente a uno o più conti di pagamento detenuti dall’utente di servizi di pagamento presso un altro prestatore di servizi di pagamento o presso più prestatori di servizi di pagamento;
- Prestatore di servizi di pagamento di radicamento del conto (ASPSP): prestatore di un servizio di pagamento che fornisce ed amministra un conto di pagamento per un pagatore;
- Prestatore di servizi di disposizione di ordine di pagamento (PISP): prestatore di un servizio che dispone l’ordine di pagamento su richiesta dell’utente di servizi di pagamento relativamente a un conto di pagamento detenuto presso un altro prestatore di servizi di pagamento.
GDPR e PSD2: trattamento di dati personali da parte degli AISP e dei PISP
Tanto premesso, giova anticipare che le Linee Guida in analisi si concentrano principalmente sul trattamento dei dati personali da parte degli AISP e dei PISP, con particolare focus sulle condizioni necessarie affinché gli PISP ed AISP possano procedere al trattamento dei dati personali; inoltre, viene preso in considerazione il trattamento dei “dati dei taciti interessati” e delle categorie particolari dei dati personali ex art. 9 paragrafo 1) del GDPR da parte dei PISP e degli AISP.
In primo luogo, l’applicabilità del GDPR alla PSD2, stante la precedente entrata in vigore di quest’ultima (rispetto al regolamento comunitario sulla protezione dei dati personali), si rinviene dall’analisi combinata (e speculare) tra l’art. 94 paragrafo 1)[2] della PSD2 e l’art. 94[3] del GDPR, supportata, poi, dalla lettura (seppur, in via secondaria) del punto 4.3.)[4] delle Linee Guida EBA/GL/2017/17.
Chiarito tale (fondamentale) aspetto, l’EDPB osserva (o meglio, ricorda) che un PISP e/o un AISP agisce in qualità di Titolare del trattamento ex artt. 4 n. 7) e 24 del GDPR, e che, soprattutto, tratta i dati personali dei relativi utenti in forza della base giuridica costituita dall’art. 6 paragrafo 1) lettera b) del GDPR (da leggersi nella sua portata restrittiva, così come già evidenziato dall’EDPB medesimo all’interno delle proprie Linee guida n. 2/2019), oltre che, in ragione dell’interesse legittimo ex art. 6 paragrafo 1) lettera f) del GDPR, costituito dalla prevenzione, indagine ed individuazione dei casi di frode.
Linee guida n.6/2020: trattamento dei “dati dei taciti interessati”
Un’ulteriore questione su cui si sofferma l’EDPB consiste nel trattamento dei “dati dei taciti interessati” (silent party data), ovverosia quei dati personali di soggetti interessati che non sono utenti di uno specifico prestatore di un servizio di pagamento, ma i cui dati personali sono trattati, da parte di quest’ultimo, ai fini dell’esecuzione di un contratto tra il prestatore e un utente di un servizio di pagamento[5]: in merito, l’EDPB ha suggerito che una base giuridica per il trattamento dei dati personali riconducibili a questa categoria di soggetti interessati può essere rinvenuta nell’interesse legittimo ex art. 6 paragrafo 1) lettera f) del GDPR, consistente nel dare esecuzione al contratto stipulato tra il PISP e/o l’AISP e l’utente del servizio di pagamento.
Infine, l’ultimo aspetto (degno di particolar rilievo, a parere di chi scrive) consiste nel (potenziale) trattamento (anche diretto, in alcuni casi) di dati personali cd. particolari ex art. 9 paragrafo 1) del GDPR racchiusi all’interno di operazioni finanziarie oggetto di trattamento da parte del PISP e/o dell’AISP (es. affiliazione a un sindacato rivelata dall’addebito di una quota associativa annuale sul conto bancario di una persona): a tal proposito, l’EDPB non ha preso una posizione precisa, bensì si è limitata a ricordare le condizioni di applicabilità delle deroghe previste dall’art. 9 paragrafo 2) del GDPR, sottolineando, peraltro, la (nota) assenza, all’interno del medesimo art. 9 del GDPR, di un’eccezione di natura contrattuale.
Note
- Ha abrogato la precedente Direttiva n. 2007/64/CE. Ciascuno Stato membro dell’UE era tenuto a recepire, nei rispettivi ordinamenti nazionali, la PSD2 entro il 13.1.2018: l’Italia l’ha resa operativa il 13.1.2018 con la pubblicazione, all’interno della Gazzetta Ufficiale, del D.Lgs. n. 218/2017. ↑
- L’art. 94 della PSD2: “Gli stati membri autorizzano il trattamento dei dati personali da parte di sistemi di pagamento e di prestatori di servizi di pagamento se necessario per garantire la prevenzione, l’indagine e l’individuazione dei casi di frode nei pagamenti. La fornitura di informazione a persone fisiche in merito al trattamento dei dati personali e al trattamento di tali dati personali e di qualsiasi altro trattamento di dati personali ai fini della presente direttiva è effettuata in conformità della direttiva 95/46/CE, delle norme nazionali di recepimento della direttiva 95/46/CE e del regolamento (CE) n. 45/2001”. ↑
- L’art. 94 del GDPR: “1. La direttiva 95/46/CE è abrogata a decorrere dal 25 maggio 2018. 2. I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento. I riferimenti al gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituto dall’articolo 29 della direttiva 95/46/CE si intendono fatti al comitato europeo per la protezione dei dati istituito dal presente regolamento”. ↑
- Punto 4.3.) delle Linee Guida EBA/GL/2017/17: “I prestatori di servizi di pagamento dovrebbero garantire la riservatezza, l’integrità e la disponibilità delle loro risorse logiche e fisiche critiche, e dei dati sensibili per i servizi di pagamento relativi ai loro utenti, sia che essi siano inutilizzati, in transito o in uso. Se i dati comprendono dati personali, tali misure dovrebbero essere attuate conformemente al regolamento (UE) 2016/679 o, se applicabile, al regolamento (CE) n. 45/2001”. ↑
- Esempio: un utente di un servizio di pagamento, interessato “A”, si avvale dei servizi di un AISP, e l’interessato “B” ha effettuato una serie di operazioni di pagamento sul conto di pagamento dell’interessato “A”: in questo caso, l’interessato “B” è considerato un “tacito interessato” e i suoi dati personali (es. numero del conto corrente) sono considerati “dati del tacito interessato”. ↑