Rivista Orizzonti del Diritto CommercialeISSN 2282-667X
G. Giappichelli Editore

indietro

stampa articolo indice fascicolo pdf articolo pdf fascicolo


Il trattamento dei dati personali dell'utente dei servizi di pagamento tra PSD2 e GDPR (di Flaminia Marasà, Dottoressa di ricerca in Business, Institution and markets)


Il lavoro verte sull’interferenza tra la disciplina del Regolamento (Ue) 679/2016 sul trattamento dei dati personali delle persone fisiche (GDPR) e quella della Direttiva (Ue) 2015/2366 sui servizi di pagamento elettronici (PSD2) per ciò che riguarda il trattamento dei dati personali dell’utente. In particolare, l’attenzione si focalizza sul ruolo svolto dagli intermediari bancari (PSP) e dai nuovi prestatori dei servizi di pagamento (Third Party Provider), sui limiti loro posti da entrambe le normative al trattamento dei dati degli utenti dei servizi di pagamento e sulla verifica se dal combinato disposto di tali normative consegua effettivamente una loro maggior tutela.

The processing of personal data of payment service users between PSD2 and GDPR

This article focuses on the overlapping between Regulation no. 679/2016 on the processing of personal data of natural persons (GDPR) and Directive no. 2015/2366/EU on electronic payment services (PSD) with reference to users’ personal data processing. Special attention is devoted to the role played by PSP banks and new payment service providers (Third Party Providers), and to the restrictions imposed on these intermediaries by both GDPR and PSD2 in processing personal data of payment service users. The aim is to determine whether the combined provisions of these regulations achieve a more effective protection for payment service users.

Keywords: processing of personal data – electronic payment services

Sommario/Summary:

1. Premesse. - 2. Dalla PSD alla PSD2: i Third Party Provider (TPP). - 3. Segue: La disciplina in tema di sicurezza [Psd2 e Regolamento (Ue) 389/2018]. - 4. Dati personali dell’utente dei servizi di pagamento e GDPR. - 5. Segue: il ruolo del PSP di radicamento del conto e dei TPP nel trattamento dei dati personali. - 6. Utilizzo e limiti al trattamento dei dati personali da parte degli intermediari. - 7. Il trattamento dei dati personali del beneficiario. - NOTE


1. Premesse.

Negli ultimi anni, il continuo progresso della tecnologia ha portato alla diffusione dell’e-commerce, cambiando le abitudini dei consumatori e degli imprenditori e inducendoli anche all’utilizzo di nuove modalità di pagamento. Da qui il rapido affermarsi dei servizi di pagamento elettronici che ha suggerito al legislatore comunitario di elaborare un quadro normativo in grado di conciliare l’esigenza di servizi di pagamento rapidi ed efficienti con la necessità di garantire la sicurezza degli stessi. Com’è noto, il primo testo normativo unitario, teso a disciplinare in maniera uniforme le diverse attività riferibili ad un’operazione di pagamento – intesa come «l’atto disposto dal pagatore o per suo conto o dal beneficiario, di collocare, trasferire o ritirare fondi, indipendentemente da eventuali obblighi sottostanti tra il pagatore e il beneficiario» (art. 4, par. 1, n. 5, PSD) - è stato la Direttiva (Ce) 2007/64, (Payment Service Directive – PSD) [1], attuata in Italia con il d.lgs. n. 11/2010. Tuttavia, a pochi anni di distanza dalla sua emanazione, le nuove opportunità offerte dall’innovazione tecnologica e i rischi ad esse connessi, hanno reso necessario, nel 2015, un nuovo intervento sul tema da parte del legislatore comunitario [2]. La PSD2 [Direttiva (Ue) 2015/2366] [3], recepita in Italia con il d.lgs. n. 218/2017 [4] , pur mantenendo l’impostazione generale della precedente Direttiva [5], ha posto l’attenzione sulla regolazione dei nuovi player operanti nel mercato dei pagamenti e sulla sicurezza delle operazioni, temi che devono essere analizzati parallelamente. Infatti, i servizi di pagamento offerti dai TPP (Third Party Provider) da una parte, accentuano l’aspetto di disintermediazione – nel senso che i TPP si sostituiscono in parte al PSP di radicamento del conto (ASPSP – Account Servicing Payment Service Provider) – d’altra parte, ampliano la frammentazione del procedimento di pagamento, visto che la loro attività è circoscritta ad un determinato segmento del procedimento stesso. La presenza sul mercato di questi nuovi soggetti rende necessario uno scambio di dati e informazioni tra gli intermediari [6], aumentando così i rischi relativi alla sicurezza e alla riservatezza delle informazioni relative agli utenti. La questione assume [...]


2. Dalla PSD alla PSD2: i Third Party Provider (TPP).

Come già riferito, l’emanazione della PSD2 è stata la diretta conseguenza del diffondersi, pressoché contemporaneamente all’introduzione della prima Direttiva, di nuovi servizi di pagamento, prestati da soggetti estranei al sistema bancario; questi svolgevano la loro attività senza alcuna regolazione, dato che di essi non si occupava la PSD. Perciò, la PSD2, da una parte, ha preso una posizione favorevole al fenomeno dell’open banking [9], dall’altra, ha dettato precise disposizioni per disciplinare l’ingresso nel mercato dei nuovi intermediari e per regolare i servizi da questi offerti, incrementando anche le regole inerenti alla sicurezza dell’operazione, già previste nella PSD [10]. Si deve, innanzitutto, rilevare che la PSD2 ha tipizzato due servizi di pagamento [11]: quello di disposizione di ordini di pagamento, ovvero «un servizio che dispone l’ordine di pagamento su richiesta dell’utente di servizi di pagamento relativamente a un conto di pagamento detenuto presso un altro prestatore di servizi di pagamento» – Payment Initiation Services Provider (PISP) – [art. 4, n. 15, PSD2 e art. 1, primo comma, lett. b-bis), d.lgs. n. 11/2010] e quello d’informazione sui conti, da intendersi come «un servizio online che fornisce informazioni consolidate relativamente a uno o più conti di pagamento detenuti dall’utente di servizi di pagamento presso uno altro prestatore di servizi di pagamento o presso più prestatori di servizi di pagamento» – Account Information Services Provider (AISP) – [art. 4, n. 16, PSD2 e art. 1, primo comma, lett. b-ter), d.lgs. n. 11/2010] [12]. Come si può evincere da queste definizioni, la caratteristica dei nuovi intermediari che possono svolgere tali servizi è che si tratta di soggetti terzi rispetto al rapporto intercorrente tra l’utente e il prestatore di servizi (Account Servicing Payment Service Provider – ASPSP) [13] presso il quale il primo ha radicato il proprio conto, tanto è che sono stati denominati Third Party Provider (TPP), proprio per sottolineare la loro estraneità alla custodia e alla gestione dei fondi in relazione ai quali il servizio viene eseguito. Tale estraneità costituisce una novità assoluta nel mercato dei pagamenti elettronici; infatti, benchè già con [...]


3. Segue: La disciplina in tema di sicurezza [Psd2 e Regolamento (Ue) 389/2018].

L’ultimo gruppo di disposizioni assume particolare importanza considerata anche la scelta del legislatore di attribuire alla sicurezza la funzione di incoraggiare l’uso e la diffusione dei pagamenti elettronici; ciò emerge in modo ancor più accentuato in relazione ai TPP che si frappongono tra l’utente e il suo PSP, acquisendo al posto di quest’ultimo tutte le informazioni sull’ope­ra­zio­ne da compiere. Per tale motivo, il legislatore è intervenuto su diversi piani: quello della tutela preventiva, volta ad evitare il verificarsi del danno, e quella della tutela successiva, tesa a ridurre le conseguenze pregiudizievoli per l’utente del servizio [25]. La volontà del legislatore di predisporre un sistema in grado di prevenire i rischi si riscontra sin dalle regole che disciplinano l’ingresso nel mercato dei pagamenti dei TPP, visto che, già nella domanda di autorizzazione o di iscrizione deve essere presentata una descrizione delle procedure di gestione del rischio adottate [art. 5, par. 1, lett. e), PSD2] [26] e di quelle predisposte per il monitoraggio e la gestione degli incidenti relativi alla sicurezza [art. 5, par. 1, lett. f), PSD2] [27]; inoltre, la domanda deve essere corredata da un documento attestante la politica di sicurezza adottata sulla base di una valutazione dei rischi relativi ai servizi di pagamento offerti, nonché una descrizione delle misure di controllo e di mitigazione che si intendono mettere in atto per tutelare gli utenti dai rischi inerenti i servizi offerti [art. 5, par. 1, lett. j), PSD2]. In sostanza, l’accesso al mercato dei pagamenti è riservato agli intermediari che dimostrino, ancor prima di aver iniziato la propria attività, di essere in grado di garantire misure di sicurezza idonee a prevenire i rischi insiti nell’attività di prestazione dei servizi di pagamento e procedure per minimizzare gli effetti negativi che eventuali incidenti potrebbero avere sugli utenti [28]. La sicurezza delle operazioni è stata, inoltre, rafforzata intervenendo su due elementi ritenuti fondamentali per prevenire il verificarsi di eventuali incidenti: l’autenticazione – ovvero la procedura che permette al PSP di verificare l’utilizzo di un determinato strumento di pagamento o delle credenziali di sicurezza personalizzate (art. 4, par. 1, n. 29, PSD) – e gli [...]


4. Dati personali dell’utente dei servizi di pagamento e GDPR.

Per esaminare correttamente tali questioni è necessario svolgere alcune considerazioni preliminari sul Regolamento n. 679/2016 (GDPR), per chiarire prima quali dati relativi ai pagamenti devono essere considerati dati personali dell’utente, poi quale sia il ruolo assunto rispettivamente dal PSP di radicamento del conto e dai TPP (PISP e AISP) in ordine al trattamento degli stessi nel momento in cui l’utente si avvale del servizio di disposizione di ordini di pagamento o di quello di informazione sui conti. L’attenzione del legislatore al tema del trattamento dei dati personali dell’individuo non è recente [50] e le disposizioni dei precedenti testi normativi sul tema non sono andate esenti da dubbi e critiche [51]. In proposito, si deve sottolineare che l’avvento della tecnologia informatica ha determinato un’evo­luzione della nozione di privacy e del correlato diritto alla riservatezza, che oggi non possono più intendersi solo come una prerogativa assoluta dell’indi­viduo di impedire che alcune informazioni relative alla sua persona vengano divulgate a terzi, ma devono essere lette tenendo presente l’importanza acquisita dall’informazione in sé nel circuito economico [52]; la condivisione di alcuni dati personali dell’individuo è, infatti, necessaria per lo svolgimento di molte attività, sia nel campo scientifico, sia nel campo economico, e per poter usufruire di alcuni servizi (si pensi al cosiddetto e-commerce). Di conseguenza, quando si parla di privacy, oggi, si deve intendere il diritto dell’individuo non già ad una riservatezza assoluta sulle informazioni che lo riguardano, quanto piuttosto alla possibilità di controllarne l’utilizzo da parte di terzi e ad essere tutelato da eventuali abusi [53]. Il diritto alla protezione dei dati personali, pertanto, non è più «una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità» (Considerando n. 4, GDPR) [54]. Si tratta, quindi, di trovare un bilanciamento tra l’interesse individuale e quelli collettivi [55] non solo nell’ambito dell’esercizio delle attività imprenditoriali ed economiche [56] ma anche dell’uso a fini scientifici dei dati personali (per es. a [...]


5. Segue: il ruolo del PSP di radicamento del conto e dei TPP nel trattamento dei dati personali.

Un secondo aspetto da chiarire riguarda il ruolo assunto dal PSP di radicamento del conto e dai TPP in ordine al trattamento dei dati personali dell’u­ten­te che si avvalga del servizio di disposizione di ordini di pagamento o di quello di informazione sui conti. Com’è noto, il GDPR ha riformulato la nozione di titolare del trattamento, figura fondamentale nella disciplina del trattamento dei dati personali e, perciò, centro d’imputazione d’interessi, decisioni e responsabilità (art. 4, par. 1, n. 7) [62]. La sua presenza è sempre necessaria visto che, salva espressa deroga di legge, ogni qual volta vi sia un trattamento di dati di persone fisiche deve essere nominato un titolare. La sua principale prerogativa è l’autonomia, in quanto al titolare è espressamente attribuito l’esclusivo potere di determinare le finalità e i modi del trattamento. Proprio perché è lui a stabilire gli scopi per cui si svolge il trattamento e i metodi per eseguirlo, il legislatore gli impone una serie di obblighi sia di carattere generale sia specifici. In breve, i primi si desumono dai principi elencati nell’art. 5, par. 1, del GDPR che – come si è accennato – sebbene si riferiscano al trattamento identificano, di fatto, veri e propri obblighi per il titolare [63] al quale è richiesto non solo di osservarli ma anche e soprattutto di essere in grado di provarne il rispetto (art. 5, par. 2) [64]. Tra i principali obblighi specifici, invece, vi sono: quelli di comunicazione e informazione [65] sia nei confronti dell’interessato (artt. 13-22 e art. 34, GDPR) [66] sia nei confronti dell’Autorità Garante (art. 33, GDPR) [67]; quelli inerenti la sicurezza che riguardano sia la predisposizione di misure preventive atte a garantirne un livello adeguato al rischio (art. 32) [68] sia condotte da porre in essere nel caso in cui vi sia stata una violazione dei dati personali. A tal proposito, al titolare è attribuito il potere di designare, nel caso sia necessario, un responsabile del trattamento, ovvero «la persona fisica o giuridica, l’autorità pubblica, il servizio o l’ente che tratta dati personali per conto del titolare del trattamento» (art. 4, par. 1, n. 8, GDPR). La definizione evidenzia che la principale caratteristica dell’attività [...]


6. Utilizzo e limiti al trattamento dei dati personali da parte degli intermediari.

Sulla base delle conclusioni raggiunte, si può ora analizzare il problema dell’utilizzo e degli eventuali limiti al trattamento dei dati personali da parte dei PSP. Come precedentemente appurato, la normativa specifica sui servizi di pagamento della PSD2, circoscrive l’utilizzo dei dati dell’utente a ciò che è necessario per l’esecuzione del servizio e lo subordina al suo esplicito consenso, rimandando, per ciò che riguarda l’informativa e qualsiasi altro trattamento alla Direttiva (Ce) 95/46 all’epoca vigente ed oggi abrogata e sostituita dal Regolamento (Ue) 679/2016. Oltre a queste vengono in considerazione anche le norme specifiche per i PISP e gli AISP che restringono ancor di più le possibilità dei TPP di chiedere informazioni e dati non necessari all’esecuzione dell’operazione e ne vietano un utilizzo per fini diversi dall’esecuzione dei propri impegni contrattuali. La disciplina di settore, pertanto, prevede un regime piuttosto rigido per gli intermediari; tuttavia, nella prassi si riscontra un utilizzo ben più ampio da parte dei PSP e dei TPP dei dati degli utenti, utilizzo la cui liceità deve essere verificata facendo riferimento anche alle disposizioni del GDPR. In proposito, l’art. 6, GDPR, contempla una serie di circostanze (le cosiddette basi giuridiche) che legittimano il trattamento dei dati personali della persona fisica (consenso dell’interessato, esecuzione di un contratto, obbligo legale, salvaguardia di interessi vitali dell’interessato o di altra persona fisica, esecuzione di compiti d’interesse pubblico o connessi all’esercizio di pubblici poteri, interesse del titolare o di terzi). Fra queste assume un ruolo residuale il consenso. Infatti, ogni qual volta il trattamento non sia ricollegabile ad una delle altre basi giuridiche specificamente contemplate, il trattamento è ammesso previo consenso dell’interessato, purché esso sia riferito a finalità specifiche e determinate [78]. Venendo, quindi, all’attività dei PSP e dei TPP, tre sono le circostanze che implicano normalmente il trattamento dei dati personali dell’utente. i) La prima è quando il trattamento dei dati personali dell’utente è necessario per l’esecuzione di un contratto di cui l’interessato è parte [art. 6, par. 1, lett. b)]; in questo [...]


7. Il trattamento dei dati personali del beneficiario.

Un ultimo aspetto che merita attenzione riguarda la posizione del beneficiario di un pagamento eseguito tramite servizi elettronici. Infatti, un’opera­zione, sia che venga eseguita direttamente tramite PSP di radicamento del conto sia che venga posta in essere tramite PISP, ha come indispensabile presupposto che i dati del beneficiario vengano comunicati dal pagatore al proprio intermediario o al PISP. In proposito, si ricorda che l’intermediario del pagatore non ha alcun rapporto giuridico o fattuale con il beneficiario del pagamento; questi, di conseguenza, pur essendo parte dell’operazione, non autorizza esplicitamente l’intermediario del pagatore a trattare i suoi dati e non può esercitare un controllo diretto sul trattamento eventualmente eseguito. Ciò ha posto la questione del trattamento dei dati del beneficiario, la cosiddetta “parte silente”, da parte dell’intermediario del pagatore e delle norme applicabili. Sul punto la PSD2 non prende alcuna posizione e le uniche disposizioni che possono essere utili all’interprete per ricostruire la disciplina sono quelle riguardanti l’obbligo dell’intermediario del beneficiario di fornire al proprio cliente, subito dopo l’esecuzione di un’operazione, un rapporto che gli permetta di individuare, ove opportuno, tutte le informazioni che sono state trasmesse con l’operazione stessa [artt. 49, par. 1, lett. a) e art. 58, par. 1, lett. a), PSD2]. Così il beneficiario avrà la possibilità di conoscere quali sono i dati personali che gli intermediari si sono scambiati per eseguire l’operazione. Per quanto riguarda il GDPR, un’utile indicazione circa le disposizioni applicabili si riscontra nella lettera del 5 luglio 2018 con la quale l’EDPB [92] individua la condizione di liceità – cioè la base giuridica che legittima il trattamento dei dati del beneficiario [art. 6, par. 1, lett. f), GDPR] - nell’interesse legittimo del titolare (ovvero l’intermediario del pagatore) a poter eseguire la prestazione dedotta nel contratto stipulato con il pagatore. Inoltre, l’EDPB si preoccupa di specificare che, in linea generale, tutti i trattamenti devono essere eseguiti tenendo sempre presenti i principi di minimizzazione, limitazione e trasparenza, che sono principi cardine del GDPR (art. 5). Tali principi, nel contesto dei pagamenti elettronici, [...]


NOTE