GDPR Vs PSD2: una possibile antinomia nella legislazione UE

#oneyeartoGDPR – Manca un anno all’applicazione del Regolamento europeo sulla data protection; da un anno se ne parla augurandoci che le imprese sappiano cogliere l’attimo. Se fosse necessaria un po’ di pressione, un countdown dedicato alla GDPR può essere utile.

Questo giusto per far capire come la data del maggio 2018 sarà un vero e proprio spartiacque tra quello che c’era prima, ovevro le molte (per la precisione 28) legislazioni discendenti dalla c.d. Direttiva madre in ambito Data Protection (la n°95/46) e tutto quello che verrà dopo, ovvero l’applicazione di un quadro normativo comune a tutto il territorio UE, volto ad uniformare la disciplina della tutela dei dati personali.

Sembra però che l’Unione Europea nel perseguire il suo obiettivo di armonizzazione non abbia fatto i conti con se stessa e con la miriade di altri obiettivi che, a livello legislativo si pone.

La nuova direttiva PSD2 Payment Service Directive 2 potrebbe infatti presentare alcuni punti di attrito con quelli che sono i dettami della General Data Protection Regulation.

La PSD2, che è già stata recepita con legge del 12 agosto 2016 n°170, mira in sintesi all’attivazione di un unico standard Europeo al fine di favorire lo sviluppo delle transazioni di pagamento digitali, per l’implementazione di un mercato unico integrato, uniformando le regole tra prestatori di servizi di pagamento, i Payment service Provider, nuovi soggetti del mercato, ad oggi non ancora regolamentati, nell’ottica di rafforzare la sicurezza del sistema e mirando a garantire un elevato livello di concorrenza e trasparenza nei confronti dei consumatori.

L’entrata in vigore della direttiva, infatti, introduce, per tutti i soggetti che utilizzano un conto corrente online, la possibilità di compiere operazioni di pagamento o di accedere a rendicontazione bancaria attraverso i c.d. Third Party Provider i quali, previa autorizzazione potranno eseguire operazioni sui conti correnti dei clienti finali, ponendosi appunto come nuovi intermediari tra le banche e i loro correntisti.

E’ il cosìdetto “Level Playing Field, l’ampliamento del campo di gioco” uno degli obiettivi al quale si punta, per consentire la nascita di nuovi strumenti di pagamento ma anche di nuovi attori e player del settore Fintech che possano accrescere dinamica e competitività del settore e quindi creare una miglior offerta per il consumer.

Ma che cosa sono i Third Party Provider?

I TPP vengono principalmente suddivisi in Account Information Services Providers (AISP) ed in Payment Initiation Service Provider (PISP).

I primi potranno collegarsi a conti correnti bancari al fine di recuperare informazioni, ad esempio gli utenti potranno usare gli AISP per avere un corretta visione di insieme della propria situazione finanziaria. I secondi, i PISP, appunto, permettono invece di effettuare una transazione di pagamento dal proprio conto verso un altro soggetto mediante un software che, di fatto, si comporta come un ponte tra i due account bypassando l’utilizzo della carta di credito.

Un primo rilievo legato all’ambito Data Protection e che può essere mosso alla direttiva in questione, lo si rinviene nell’art. 94 rubricato “Protezione dei dati personali” dove nessuna menzione è fatta alla GDPR che sebbene al momento non sia applicabile è già in vigore; un primo indice del fatto che l’Unione, non ha probabilmente preso in debita considerazione il suo stesso obiettivo di uniformare la disciplina sulla protezione dei dati personali quando ha implementato la direttiva PSD2.

La conseguenza

Ora anche al meno attento degli osservatori non sfuggirà come, per realizzare i servizi di cui sopra da parte dei TPP, agli stessi debbano essere comunicati tutta una serie di dati personali dei clienti finali da parte delle banche, con tutto ciò che questo comporta in termini di compliance al Regolamento Europeo.

Un secondo rilievo potrebbe essere fatto circa la vexata quaestio del diritto alla portabilità dei dati e conseguentemente del diritto alla interoperabilità previsti dall’art. 20 della GDPR. I dati richiesti dai TPP, infatti, sono soggetti alla titolarità da parte delle banche e di conseguenza, al fine del rispetto del principio dell’accountability, che ricorre in tutto il nuovo regolamento, esse devono necessariamente garantirne la sicurezza in un’ottica di protezione dell’interessato stesso.

Come si comporterà la banca in casa di sospetto che la richiesta provenga effettivamente da un soggetto (leggi TPP) che non è in grado di garantire le misure necessarie alla protezione del dato? Potrebbe, la stessa, rifiutarsi di rispondere alla richiesta violando quindi l’art. 20 del GDPR esponendosi ad un rischio di sanzione fino a 20.000.000 di € o fino al 4% del fatturato mondiale totale annuo avuto riguardo all’esercizio precedente se superiore?

Questi sono solo alcuni degli interrogativi che possiamo porci ma ad un livello ancora più alto, quale sarà l’impatto diretto della GDPR sui TPP, in un’ottica di Privacy by Design e Privacy By Default, sulle App o sulle categorie di App di tali provider?

E’ innegabile che un migliore coordinamento sarebbe auspicabile, per non lasciare gli operatori del settore completamente in balia di possibili antinomie che, inevitabilmente, potrebbero verificarsi.