IL TRATTAMENTO DEI DATI DEI CLIENTI NELLA RELAZIONE TRA THIRD PARTY PROVIDERS E BANCHE - CETIF, DIGITAL BANKING HUB - DATA ANALYTICS 4 BUSINESS 8 ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Il trattamento dei dati dei clienti nella relazione tra Third Party Providers e Banche CeTIF, Digital Banking HUB – Data Analytics 4 Business 8 maggio 2018
I nuovi Third Party Providers (TPP) Payment Initiation Service Provider Account Information Service Provider («PISP») («AISP») I. Il PISP intermedia il rapporto tra il cliente e I. L’AISP consente al cliente di consultare la sua banca, avviando per conto del le informazioni relative a tutti i conti di primo un’operazione di pagamento a pagamento detenuti (anche presso valere sul conto di pagamento detenuto diverse banche) attraverso un’unica presso la banca in favore di un terzo interfaccia on line. beneficiario. II. Tutte le banche presso le quali il cliente II. Il cliente può disporre per mezzo del PISP intrattiene un conto di pagamento hanno un pagamento online con addebito diretto l’obbligo di consentire all’AISP di sul proprio conto di pagamento, senza che accedere al conto di pagamento on line il PISP entri mai in possesso dei fondi del del pagatore. cliente. III. La banca del cliente ha l’obbligo di consentire al PISP di accedere al conto di pagamento del cliente. 2
PSD2 e Access to account rule AS IS TO BE Banca Banca PISP AISP Front - end Front - end Cliente Cliente Tutte le operazioni di pagamento sono avviate dalla Banca, che I TPP avviano le operazioni di pagamento (nel caso dei PISP) e controlla l’intera esperienza del cliente (salvo casi limitati, aggregano le informazioni relative ai conti del Cliente (nel caso quali l’utilizzo dello screen scraping). degli AISP). Previa autorizzazione del cliente, i TPP hanno il diritto di accedere ai conti di pagamento detenuti dal cliente presso le banche (e ai relativi dati) in maniera obiettiva, proporzionata e non discriminatoria. Per accedere ai conti di pagamento presso le banche, i TPP non sono obbligati a concludere alcun contratto con le banche stesse. 3
La ripartizione della responsabilità tra Banca e TPP • Nel caso in cui sia stata disposta un’operazione di pagamento non autorizzata dal cliente a seguito Comunicazione dell’intervento di un TPP, la banca presso cui il cliente operazione fraudolenta e richiesta di rimborso intrattiene il conto è obbligata a rimborsare immediatamente il cliente. • Se il TPP è responsabile dell’operazione non autorizzata, è obbligato a risarcire «immediatamente» la banca per le perdite subite o gli importi pagati in Banca conseguenza del rimborso al cliente. La banca rimborsa il cliente entro 24h • Spetta al TPP dimostrare che, nell’ambito delle sue competenze, l’operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze di guasti tecnici o altri inconvenienti riguardanti il servizio di pagamento del quale è stato incaricato, ma… • …non sono previsti automatismi (necessità di un la Banca si rivale sul TPP TPP giudizio).
PSD2 e accesso dei TPP ai dati dei clienti I TPP hanno diritto di accedere ai servizi relativi ai conti di pagamento del cliente presso le banche in maniera obiettiva, proporzionata e non discriminatoria. L’accesso deve essere sufficientemente ampio da consentire al TPP di fornire i propri servizi in modo agevole ed efficiente. I TPP: i. non possono conservare dati sensibili relativi ai pagamenti del cliente; ii. non possono chiedere alla banca dati diversi da quelli «necessari a prestare i servizi di pagamento»; iii. non possono usare né conservare dati né vi possono accedere per fini diversi dalla prestazione dei servizi di pagamento «come esplicitamente richiesto dal cliente, conformemente alla disciplina sulla protezione dei dati». 5
PSD2 e accesso dei TPP ai dati dei clienti: gli standard di secure communication dell’EBA Ai sensi degli standard in materia di secure communication dell’EBA, le Banche – attraverso un’interfaccia dedicata o quella utilizzata dai clienti - devono: a. consentire agli AISP di accedere alle stesse informazioni relative al conto di pagamento oggetto della richiesta di accesso e alle relative operazioni di pagamento rese disponibili al cliente quando quest’ultimo interroga direttamente i sistemi della banca, a condizione che tali informazioni non comprendano dati sensibili; b. fornire ai PISP le medesime informazioni relative all’avvio e all’esecuzione dell’operazione di pagamento fornite o rese disponibili al cliente quando quest’ultimo avvia direttamente un’operazione di pagamento; c. consentire agli AISP di accedere ai conti dei clienti: i. ogni volta che lo richieda il cliente; ii. quando l’accesso non è richiesto dal cliente, non più di 4 volte ogni 24 ore, salvo diverso accordo tra Banca e AISP, con il consenso del cliente. 6
Possibili limitazioni al diritto di accesso dei TPP ai dati dei clienti (1/2) La PSD 2 non prevede esplicitamente la possibilità che i TPP accedano ai dati del cliente che non siano necessari alla prestazione dei servizi di pagamento da parte di TPP. D’altra parte, le banche hanno interesse a limitare, per quanto consentito dalla PSD 2, l’accesso dei TPP ai dati della propria clientela, in quanto: i. dal punto di vista commerciale, la maggiore disponibilità di dati potrebbe consentire ai TPP di offrire servizi concorrenti a valore aggiunto (ad esempio, in materia di profilatura della clientela e valutazione del merito creditizio); ii. poiché la banca continua a essere avvertita dal cliente come la «vera» controparte contrattuale di tutte le operazioni di pagamento, l’eventuale violazione della disciplina in materia di data protection in connessione con l’accesso dei TPP al conto del cliente espone la banca a rischi legali e reputazionali estremamente elevati, anche qualora la violazione sia imputabile al TPP. In ragione di quanto sopra, le banche potrebbero valutare l’opportunità di concludere con i TPP specifici accordi commerciali, nell’ambito dei quali definire con precisione, tra l’altro, (x) i limiti e le condizioni (che dovranno essere naturalmente compliant non solo con la PSD 2, ma anche con la normativa privacy) entro cui i TPP possono accedere ai dati dei clienti, (y) le ipotesi in cui la banca possa legittimamente negare ai TPP l’accesso ai dati dei clienti, nonché (z) le conseguenze di un eventuale inadempimento (penali, clausole di compensazione) e la disciplina della risoluzione delle controversie (procedure di escalation, ricorso a esperti indipendenti, deferimento a un collegio arbitrale). Gli accordi commerciali di cui sopra potrebbero inoltre favorire l’avvio di partnership tra banche e TPP in grado di ridurre il time to market e incrementare la scalabilità delle iniziative dei player coinvolti, favorendo la convergenza dell’interesse di ciascuna parte all’accesso a una base dati sempre maggiore verso la promozione di progetti condivisi. 7
Possibili limitazioni al diritto di accesso dei TPP ai dati dei clienti (2/2) Sempre al fine di circoscrivere – nei limiti concessi della PSD 2 – l’accesso ai dati dei clienti da parte dei TPP, le banche potrebbero valutare di acquisire dai propri clienti un esplicito consenso preventivo a vietare ai TPP l’accesso a determinate categorie di dati relative ai conti di pagamento dei clienti (in ipotesi, non necessari ai fini della prestazione dei servizi di pagamento da parte dei TPP). Punti di approfondimento a. Nel caso in cui il cliente abbia rilasciato al TPP il suo consenso ad accedere ai dati oggetto di esclusione nell’accordo con la banca, quale consenso prevale? Le modalità di risoluzione del contrasto potrebbero essere disciplinate nell’ambito degli accordi tra banca e TPP (v. slide precedente). b. Quale forma deve avere la sottoscrizione del cliente relativa al consenso a limitare l’accesso ai dati dei TPP? Da un punto di vista strettamente legale, la sottoscrizione mediante firma elettronica avanzata / digitale non sembrerebbe necessaria. 8
I profili privacy e data protection
La configurazione dei ruoli e delle responsabilità (1/2) Il tema dei ruoli e delle responsabilità con riferimento al trattamento dei dati personali è fondamentale e prioritario: la definizione della governance del dato e la corretta configurazione delle funzioni svolte da ciascun soggetto nel contesto del trattamento deve sempre rappresentare il punto di partenza. Ed anche il Legislatore europeo, al Considerando n. 79 del GDPR, suggerisce esattamente di tenere un simile approccio: «La protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento e dei responsabili del trattamento, anche in relazione al monitoraggio e alle misure delle autorità di controllo, esigono una chiara ripartizione delle responsabilità ai sensi del presente regolamento». 10
La configurazione dei ruoli e delle responsabilità (2/2) Per quanto concerne il rapporto che verrebbe ad instaurarsi tra la banca e i TPP, questo dovrà pertanto essere opportunamente valutato caso per caso (titolarità autonoma, contitolarità, titolarità-responsabilità). È tuttavia verosimile ritenere che tanto la banca quanto i TPP agiscano tutti generalmente come autonomi titolari del trattamento. Questo, perché sia la banca che i TPP eserciterebbero un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento. Al contrario, invece, sarebbe difficile riuscire a configurare – e, conseguentemente, a giustificare da un punto di vista giuridico – un rapporto da titolare a responsabile esterno tra banca e TPP, dal momento che ciascuno agirebbe per finalità autonomamente decise e gestite. 11
I principi applicabili al trattamento dei dati personali Sulla base del combinato disposto tra il Considerando n. 89 della PSD2 e l’art. 5 del GDPR, i dati personali devono essere trattati nel rispetto di una serie di principi fondamentali espressamente previsti dal Legislatore europeo e che ciascun titolare del trattamento deve rispettare ed essere in grado di dimostrarlo (accountability). I dati personali devono pertanto essere: • trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»); • raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è generalmente considerato incompatibile con le finalità iniziali («limitazione della finalità»); • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); • esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); • conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal GDPR a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»); • trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»). 12
Informativa sul trattamento dei dati personali Il GDPR prevede che il titolare del trattamento adotti misure appropriate per fornire all’interessato tutte le informazioni necessarie relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Banca Il GDPR prevede che i titolari debbano obbligatoriamente fornire una serie di informazioni, sia se i dati vengono raccolti direttamente presso gli interessati, sia se i dati vengono raccolti presso terzi (finalità del trattamento, base giuridica del trattamento, fonte da cui i dati hanno origine, terzi a cui i dati possono essere comunicati, trasferimento all’estero, periodo di conservazione, diritti Informativa dell’interessato, revoca del consenso, trattamento per finalità ulteriore e diversa, etc.). Sia la banca che i TPP sono dunque obbligati ad informare opportunamente i clienti in merito al trattamento dei loro dati personali, con particolare attenzione alle TPP finalità, alla fonte di origine dei dati e soggetti terzi a cui i dati possono essere comunicati. 13
Consenso al trattamento dei dati personali (1/2) La PSD2 prevede espressamente che i TPP possano trattare i dati personali solo ed esclusivamente previo consenso esplicito dell’utente dei servizi di pagamento (art. 94 della PSD2). Questa previsione potrebbe, tuttavia, innescare potenziali sovrapposizioni con il GDPR, il quale prevede una serie di basi giuridiche alternative al consenso, ai fini del trattamento lecito dei dati personali degli individui (come, ad esempio, il legittimo interesse, l’adempimento di obblighi contrattuali di cui l’interessato è parte o l’esecuzione di misure precontrattuali adottate su richiesta dello stesso). Ed infatti, fondare il trattamento dei dati personali dell’utente dei servizi di pagamento sul consenso esplicito significherebbe, in pratica, dover gestire l’eventuale sua revoca, esercitabile in qualsiasi momento dall’interessato. A tal riguardo, il GDPR, all’art. 7(3), prevede espressamente che «L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato». Per quanto concerne, infatti, i TPP, non si comprende per quale ragione il Legislatore europeo abbia voluto fondare il trattamento da parte loro solo ed esclusivamente sul consenso esplicito dell’utente dei servizi di pagamento, quando il trattamento stesso dovrebbe invece ritenersi come necessario per (e, dunque, fondarsi su) l’adempimento di un obbligo contrattuale con gli stessi interessati. La richiesta esplicita di utilizzo di un determinato servizio per una specifica finalità (ad esempio quella dell’intermediazione nell’attività di pagamento) già rappresenterebbe, in effetti, una manifestazione di volontà rilevante ai sensi di legge. 14
Consenso al trattamento dei dati personali (2/2) Gli artt. 66 e 67 della PSD2 prevedono infatti che i TPP non possano: • chiedere all’utente dati ulteriori e diversi rispetto a quelli relativi alla prestazione del servizio; e • trattare i dati a cui hanno accesso per finalità ulteriori e diverse rispetto alla mera fornitura del servizio richiesto. Bisognerebbe dunque chiedersi se e in che misura i TPP possano: • trattare i dati degli utenti dei servizi di pagamento per finalità ulteriori che vadano oltre l’esecuzione del servizio richiesto; • trattare dati ulteriori e diversi a quelli strettamente necessari per l’esecuzione del servizio richiesto. A tal riguardo, guardando al GDPR, non si esclude effettivamente che i TPP possano effettivamente trattare i dati personali degli utenti per finalità ulteriori e diverse, a condizione che l’utente venga debitamente informato e presti il proprio consenso al trattamento ulteriore (ad esempio, per finalità di marketing, profilazione, etc.). Per quanto concerne invece il trattamento e in particolare la raccolta di dati ulteriori, ancora una volta non si esclude che i TPP possano raccogliere tali dati direttamente presso gli utenti, previa informativa e consenso, specificando che gli stessi non vengono trattati per le finalità della fornitura del servizio richiesto. 15
Puoi anche leggere