IL TRATTAMENTO DEI DATI DEI CLIENTI NELLA RELAZIONE TRA THIRD PARTY PROVIDERS E BANCHE - CETIF, DIGITAL BANKING HUB - DATA ANALYTICS 4 BUSINESS 8 ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Il trattamento dei dati dei clienti nella relazione tra Third Party Providers e Banche CeTIF, Digital Banking HUB – Data Analytics 4 Business 8 maggio 2018
I nuovi Third Party Providers (TPP)
Payment Initiation Service Provider Account Information Service Provider
(«PISP») («AISP»)
I. Il PISP intermedia il rapporto tra il cliente e I. L’AISP consente al cliente di consultare
la sua banca, avviando per conto del le informazioni relative a tutti i conti di
primo un’operazione di pagamento a pagamento detenuti (anche presso
valere sul conto di pagamento detenuto diverse banche) attraverso un’unica
presso la banca in favore di un terzo interfaccia on line.
beneficiario.
II. Tutte le banche presso le quali il cliente
II. Il cliente può disporre per mezzo del PISP intrattiene un conto di pagamento hanno
un pagamento online con addebito diretto l’obbligo di consentire all’AISP di
sul proprio conto di pagamento, senza che accedere al conto di pagamento on line
il PISP entri mai in possesso dei fondi del del pagatore.
cliente.
III. La banca del cliente ha l’obbligo di
consentire al PISP di accedere al conto di
pagamento del cliente.
2PSD2 e Access to account rule
AS IS TO BE
Banca
Banca
PISP AISP
Front - end Front - end
Cliente Cliente
Tutte le operazioni di pagamento sono avviate dalla Banca, che I TPP avviano le operazioni di pagamento (nel caso dei PISP) e
controlla l’intera esperienza del cliente (salvo casi limitati, aggregano le informazioni relative ai conti del Cliente (nel caso
quali l’utilizzo dello screen scraping). degli AISP).
Previa autorizzazione del cliente, i TPP hanno il diritto di
accedere ai conti di pagamento detenuti dal cliente presso le
banche (e ai relativi dati) in maniera obiettiva, proporzionata e
non discriminatoria. Per accedere ai conti di pagamento presso
le banche, i TPP non sono obbligati a concludere alcun contratto
con le banche stesse.
3La ripartizione della responsabilità tra Banca e
TPP
• Nel caso in cui sia stata disposta un’operazione di
pagamento non autorizzata dal cliente a seguito Comunicazione
dell’intervento di un TPP, la banca presso cui il cliente operazione fraudolenta e
richiesta di rimborso
intrattiene il conto è obbligata a rimborsare
immediatamente il cliente.
• Se il TPP è responsabile dell’operazione non
autorizzata, è obbligato a risarcire «immediatamente»
la banca per le perdite subite o gli importi pagati in Banca
conseguenza del rimborso al cliente. La banca rimborsa il
cliente entro 24h
• Spetta al TPP dimostrare che, nell’ambito delle sue
competenze, l’operazione di pagamento è stata
autenticata, correttamente registrata e non ha subito le
conseguenze di guasti tecnici o altri inconvenienti
riguardanti il servizio di pagamento del quale è stato
incaricato, ma…
• …non sono previsti automatismi (necessità di un la Banca si rivale sul
TPP TPP
giudizio).PSD2 e accesso dei TPP ai dati dei clienti
I TPP hanno diritto di accedere ai servizi relativi ai conti di pagamento del cliente presso le banche in
maniera obiettiva, proporzionata e non discriminatoria. L’accesso deve essere sufficientemente
ampio da consentire al TPP di fornire i propri servizi in modo agevole ed efficiente.
I TPP:
i. non possono conservare dati sensibili relativi ai pagamenti del cliente;
ii. non possono chiedere alla banca dati diversi da quelli «necessari a prestare i servizi di
pagamento»;
iii. non possono usare né conservare dati né vi possono accedere per fini diversi dalla prestazione
dei servizi di pagamento «come esplicitamente richiesto dal cliente, conformemente alla
disciplina sulla protezione dei dati».
5PSD2 e accesso dei TPP ai dati dei clienti: gli
standard di secure communication dell’EBA
Ai sensi degli standard in materia di secure communication dell’EBA, le Banche – attraverso
un’interfaccia dedicata o quella utilizzata dai clienti - devono:
a. consentire agli AISP di accedere alle stesse informazioni relative al conto di pagamento oggetto
della richiesta di accesso e alle relative operazioni di pagamento rese disponibili al cliente quando
quest’ultimo interroga direttamente i sistemi della banca, a condizione che tali informazioni non
comprendano dati sensibili;
b. fornire ai PISP le medesime informazioni relative all’avvio e all’esecuzione dell’operazione di
pagamento fornite o rese disponibili al cliente quando quest’ultimo avvia direttamente
un’operazione di pagamento;
c. consentire agli AISP di accedere ai conti dei clienti:
i. ogni volta che lo richieda il cliente;
ii. quando l’accesso non è richiesto dal cliente, non più di 4 volte ogni 24 ore, salvo diverso
accordo tra Banca e AISP, con il consenso del cliente.
6Possibili limitazioni al diritto di accesso dei TPP ai
dati dei clienti (1/2)
La PSD 2 non prevede esplicitamente la possibilità che i TPP accedano ai dati del cliente che non siano necessari alla
prestazione dei servizi di pagamento da parte di TPP.
D’altra parte, le banche hanno interesse a limitare, per quanto consentito dalla PSD 2, l’accesso dei TPP ai dati della propria
clientela, in quanto:
i. dal punto di vista commerciale, la maggiore disponibilità di dati potrebbe consentire ai TPP di offrire servizi concorrenti a
valore aggiunto (ad esempio, in materia di profilatura della clientela e valutazione del merito creditizio);
ii. poiché la banca continua a essere avvertita dal cliente come la «vera» controparte contrattuale di tutte le operazioni di
pagamento, l’eventuale violazione della disciplina in materia di data protection in connessione con l’accesso dei TPP al conto
del cliente espone la banca a rischi legali e reputazionali estremamente elevati, anche qualora la violazione sia imputabile al
TPP.
In ragione di quanto sopra, le banche potrebbero valutare l’opportunità di concludere con i TPP specifici accordi commerciali,
nell’ambito dei quali definire con precisione, tra l’altro, (x) i limiti e le condizioni (che dovranno essere naturalmente compliant non
solo con la PSD 2, ma anche con la normativa privacy) entro cui i TPP possono accedere ai dati dei clienti, (y) le ipotesi in cui la
banca possa legittimamente negare ai TPP l’accesso ai dati dei clienti, nonché (z) le conseguenze di un eventuale
inadempimento (penali, clausole di compensazione) e la disciplina della risoluzione delle controversie (procedure di escalation,
ricorso a esperti indipendenti, deferimento a un collegio arbitrale).
Gli accordi commerciali di cui sopra potrebbero inoltre favorire l’avvio di partnership tra banche e TPP in grado di ridurre il time to
market e incrementare la scalabilità delle iniziative dei player coinvolti, favorendo la convergenza dell’interesse di ciascuna parte
all’accesso a una base dati sempre maggiore verso la promozione di progetti condivisi.
7Possibili limitazioni al diritto di accesso dei TPP ai
dati dei clienti (2/2)
Sempre al fine di circoscrivere – nei limiti concessi della PSD 2 – l’accesso ai dati dei clienti da parte
dei TPP, le banche potrebbero valutare di acquisire dai propri clienti un esplicito consenso preventivo
a vietare ai TPP l’accesso a determinate categorie di dati relative ai conti di pagamento dei clienti (in
ipotesi, non necessari ai fini della prestazione dei servizi di pagamento da parte dei TPP).
Punti di approfondimento
a. Nel caso in cui il cliente abbia rilasciato al TPP il suo consenso ad accedere ai dati oggetto di
esclusione nell’accordo con la banca, quale consenso prevale?
Le modalità di risoluzione del contrasto potrebbero essere disciplinate nell’ambito degli accordi
tra banca e TPP (v. slide precedente).
b. Quale forma deve avere la sottoscrizione del cliente relativa al consenso a limitare l’accesso ai
dati dei TPP?
Da un punto di vista strettamente legale, la sottoscrizione mediante firma elettronica avanzata /
digitale non sembrerebbe necessaria.
8I profili privacy e data protection
La configurazione dei ruoli e delle responsabilità
(1/2)
Il tema dei ruoli e delle responsabilità con
riferimento al trattamento dei dati personali è
fondamentale e prioritario: la definizione della
governance del dato e la corretta configurazione
delle funzioni svolte da ciascun soggetto nel
contesto del trattamento deve sempre
rappresentare il punto di partenza.
Ed anche il Legislatore europeo, al Considerando
n. 79 del GDPR, suggerisce esattamente di
tenere un simile approccio: «La protezione dei
diritti e delle libertà degli interessati così come la
responsabilità generale dei titolari del trattamento
e dei responsabili del trattamento, anche in
relazione al monitoraggio e alle misure delle
autorità di controllo, esigono una chiara
ripartizione delle responsabilità ai sensi del
presente regolamento».
10La configurazione dei ruoli e delle responsabilità
(2/2)
Per quanto concerne il rapporto che verrebbe ad
instaurarsi tra la banca e i TPP, questo dovrà
pertanto essere opportunamente valutato caso
per caso (titolarità autonoma, contitolarità,
titolarità-responsabilità).
È tuttavia verosimile ritenere che tanto la banca
quanto i TPP agiscano tutti generalmente come
autonomi titolari del trattamento.
Questo, perché sia la banca che i TPP
eserciterebbero un potere decisionale del tutto
autonomo sulle finalità e sulle modalità del
trattamento.
Al contrario, invece, sarebbe difficile riuscire a
configurare – e, conseguentemente, a giustificare
da un punto di vista giuridico – un rapporto da
titolare a responsabile esterno tra banca e TPP,
dal momento che ciascuno agirebbe per finalità
autonomamente decise e gestite.
11I principi applicabili al trattamento dei dati personali
Sulla base del combinato disposto tra il Considerando n. 89 della PSD2 e l’art. 5 del GDPR, i dati personali devono essere
trattati nel rispetto di una serie di principi fondamentali espressamente previsti dal Legislatore europeo e che ciascun titolare
del trattamento deve rispettare ed essere in grado di dimostrarlo (accountability).
I dati personali devono pertanto essere:
• trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
• raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali
finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o
storica o a fini statistici non è generalmente considerato incompatibile con le finalità iniziali («limitazione della finalità»);
• adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei
dati»);
• esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare
tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
• conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al
conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a
condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o
a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal GDPR a tutela dei diritti e
delle libertà dell’interessato («limitazione della conservazione»);
• trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure
tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno
accidentali («integrità e riservatezza»).
12Informativa sul trattamento dei dati personali
Il GDPR prevede che il titolare del trattamento adotti
misure appropriate per fornire all’interessato tutte le
informazioni necessarie relative al trattamento in forma
concisa, trasparente, intelligibile e facilmente accessibile,
con un linguaggio semplice e chiaro. Le informazioni sono
fornite per iscritto o con altri mezzi, anche, se del caso,
con mezzi elettronici.
Banca
Il GDPR prevede che i titolari debbano obbligatoriamente
fornire una serie di informazioni, sia se i dati vengono
raccolti direttamente presso gli interessati, sia se i dati
vengono raccolti presso terzi (finalità del trattamento,
base giuridica del trattamento, fonte da cui i dati hanno
origine, terzi a cui i dati possono essere comunicati,
trasferimento all’estero, periodo di conservazione, diritti Informativa
dell’interessato, revoca del consenso, trattamento per
finalità ulteriore e diversa, etc.).
Sia la banca che i TPP sono dunque obbligati ad
informare opportunamente i clienti in merito al trattamento
dei loro dati personali, con particolare attenzione alle TPP
finalità, alla fonte di origine dei dati e soggetti terzi a cui i
dati possono essere comunicati.
13Consenso al trattamento dei dati personali (1/2)
La PSD2 prevede espressamente che i TPP possano trattare i dati personali solo ed esclusivamente previo consenso
esplicito dell’utente dei servizi di pagamento (art. 94 della PSD2).
Questa previsione potrebbe, tuttavia, innescare potenziali sovrapposizioni con il GDPR, il quale prevede una serie di
basi giuridiche alternative al consenso, ai fini del trattamento lecito dei dati personali degli individui (come, ad esempio,
il legittimo interesse, l’adempimento di obblighi contrattuali di cui l’interessato è parte o l’esecuzione di misure
precontrattuali adottate su richiesta dello stesso).
Ed infatti, fondare il trattamento dei dati personali dell’utente dei servizi di pagamento sul consenso esplicito
significherebbe, in pratica, dover gestire l’eventuale sua revoca, esercitabile in qualsiasi momento dall’interessato. A tal
riguardo, il GDPR, all’art. 7(3), prevede espressamente che «L’interessato ha il diritto di revocare il proprio consenso in
qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della
revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa
facilità con cui è accordato».
Per quanto concerne, infatti, i TPP, non si comprende per quale ragione il Legislatore europeo abbia voluto fondare il
trattamento da parte loro solo ed esclusivamente sul consenso esplicito dell’utente dei servizi di pagamento, quando il
trattamento stesso dovrebbe invece ritenersi come necessario per (e, dunque, fondarsi su) l’adempimento di un obbligo
contrattuale con gli stessi interessati.
La richiesta esplicita di utilizzo di un determinato servizio per una specifica finalità (ad esempio quella
dell’intermediazione nell’attività di pagamento) già rappresenterebbe, in effetti, una manifestazione di volontà rilevante
ai sensi di legge.
14Consenso al trattamento dei dati personali (2/2)
Gli artt. 66 e 67 della PSD2 prevedono infatti che i TPP non possano:
• chiedere all’utente dati ulteriori e diversi rispetto a quelli relativi alla prestazione del servizio; e
• trattare i dati a cui hanno accesso per finalità ulteriori e diverse rispetto alla mera fornitura del servizio richiesto.
Bisognerebbe dunque chiedersi se e in che misura i TPP possano:
• trattare i dati degli utenti dei servizi di pagamento per finalità ulteriori che vadano oltre l’esecuzione del servizio
richiesto;
• trattare dati ulteriori e diversi a quelli strettamente necessari per l’esecuzione del servizio richiesto.
A tal riguardo, guardando al GDPR, non si esclude effettivamente che i TPP possano effettivamente trattare i dati
personali degli utenti per finalità ulteriori e diverse, a condizione che l’utente venga debitamente informato e presti il
proprio consenso al trattamento ulteriore (ad esempio, per finalità di marketing, profilazione, etc.).
Per quanto concerne invece il trattamento e in particolare la raccolta di dati ulteriori, ancora una volta non si esclude
che i TPP possano raccogliere tali dati direttamente presso gli utenti, previa informativa e consenso, specificando che
gli stessi non vengono trattati per le finalità della fornitura del servizio richiesto.
15Puoi anche leggere
