GDPR Vs PSD2: una possibile antinomia nella legislazione UE

31/05/2017
di Lorenzo Colzi

#oneyeartoGDPR – Manca un anno all’applicazione del Regolamento europeo sulla data protection; da un anno se ne parla augurandoci che le imprese sappiano cogliere l’attimo. Se fosse necessaria un po’ di pressione, un countdown dedicato alla GDPR può essere utile.

Questo giusto per far capire come la data del maggio 2018 sarà un vero e proprio spartiacque tra quello che c’era prima, ovevro le molte (per la precisione 28) legislazioni discendenti dalla c.d. Direttiva madre in ambito Data Protection (la n°95/46) e tutto quello che verrà dopo, ovvero l’applicazione di un quadro normativo comune a tutto il territorio UE, volto ad uniformare la disciplina della tutela dei dati personali.

Sembra però che l’Unione Europea nel perseguire il suo obiettivo di armonizzazione non abbia fatto i conti con se stessa e con la miriade di altri obiettivi che, a livello legislativo si pone.

La nuova direttiva PSD2 Payment Service Directive 2 potrebbe infatti presentare alcuni punti di attrito con quelli che sono i dettami della General Data Protection Regulation.

stock-624712_1280La PSD2, che è già stata recepita con legge del 12 agosto 2016 n°170, mira in sintesi all’attivazione di un unico standard Europeo al fine di favorire lo sviluppo delle transazioni di pagamento digitali, per l’implementazione di un mercato unico integrato, uniformando le regole tra prestatori di servizi di pagamento, i Payment service Provider, nuovi soggetti del mercato, ad oggi non ancora regolamentati, nell’ottica di rafforzare la sicurezza del sistema e mirando a garantire un elevato livello di concorrenza e trasparenza nei confronti dei consumatori.

L’entrata in vigore della direttiva, infatti, introduce, per tutti i soggetti che utilizzano un conto corrente online, la possibilità di compiere operazioni di pagamento o di accedere a rendicontazione bancaria attraverso i c.d. Third Party Provider i quali, previa autorizzazione potranno eseguire operazioni sui conti correnti dei clienti finali, ponendosi appunto come nuovi intermediari tra le banche e i loro correntisti.

E’ il cosìdetto “Level Playing Field, l’ampliamento del campo di gioco” uno degli obiettivi al quale si punta, per consentire la nascita di nuovi strumenti di pagamento ma anche di nuovi attori e player del settore Fintech che possano accrescere dinamica e competitività del settore e quindi creare una miglior offerta per il consumer.

Ma che cosa sono i Third Party Provider?

I TPP vengono principalmente suddivisi in Account Information Services Providers (AISP) ed in Payment Initiation Service Provider (PISP).

I primi potranno collegarsi a conti correnti bancari al fine di recuperare informazioni, ad esempio gli utenti potranno usare gli AISP per avere un corretta visione di insieme della propria situazione finanziaria. I secondi, i PISP, appunto, permettono invece di effettuare una transazione di pagamento dal proprio conto verso un altro soggetto mediante un software che, di fatto, si comporta come un ponte tra i due account bypassando l’utilizzo della carta di credito.

Un primo rilievo legato all’ambito Data Protection e che può essere mosso alla direttiva in questione, lo si rinviene nell’art. 94 rubricato “Protezione dei dati personali” dove nessuna menzione è fatta alla GDPR che sebbene al momento non sia applicabile è già in vigore; un primo indice del fatto che l’Unione, non ha probabilmente preso in debita considerazione il suo stesso obiettivo di uniformare la disciplina sulla protezione dei dati personali quando ha implementato la direttiva PSD2.

La conseguenza

Ora anche al meno attento degli osservatori non sfuggirà come, per realizzare i servizi di cui sopra da parte dei TPP, agli stessi debbano essere comunicati tutta una serie di dati personali dei clienti finali da parte delle banche, con tutto ciò che questo comporta in termini di compliance al Regolamento Europeo.

Un secondo rilievo potrebbe essere fatto circa la vexata quaestio del diritto alla portabilità dei dati e conseguentemente del diritto alla interoperabilità previsti dall’art. 20 della GDPR. I dati richiesti dai TPP, infatti, sono soggetti alla titolarità da parte delle banche e di conseguenza, al fine del rispetto del principio dell’accountability, che ricorre in tutto il nuovo regolamento, esse devono necessariamente garantirne la sicurezza in un’ottica di protezione dell’interessato stesso.

Come si comporterà la banca in casa di sospetto che la richiesta provenga effettivamente da un soggetto (leggi TPP) che non è in grado di garantire le misure necessarie alla protezione del dato? Potrebbe, la stessa, rifiutarsi di rispondere alla richiesta violando quindi l’art. 20 del GDPR esponendosi ad un rischio di sanzione fino a 20.000.000 di € o fino al 4% del fatturato mondiale totale annuo avuto riguardo all’esercizio precedente se superiore?

Questi sono solo alcuni degli interrogativi che possiamo porci ma ad un livello ancora più alto, quale sarà l’impatto diretto della GDPR sui TPP, in un’ottica di Privacy by Design e Privacy By Default, sulle App o sulle categorie di App di tali provider?

E’ innegabile che un migliore coordinamento sarebbe auspicabile, per non lasciare gli operatori del settore completamente in balia di possibili antinomie che, inevitabilmente, potrebbero verificarsi.

Riproduzione riservata ©

ALTRE NEWS

Il diritto all’Oblio nel testo del Regolamento sulla Data Protection

Con “right to be forgotten” deve intendersi il diritto di un soggetto a non vedere pubblicate alcune notizie relative a vicende che lo riguardano, già… Leggi Tutto

Recepimento della Direttiva 45/2010/UE: cosa è cambiato

Con il recepimento della Direttiva 45/2010/UE del 13 Luglio 2010, recante modifiche alla Direttiva 2006/112/CE, anche l’Italia si è uniformata al resto d’Europa sul fronte… Leggi Tutto

Rapporto Clusit 2014. Criticità e tendenze per la sicurezza

Il Rapporto CLUSIT 2014 non lascia dubbi sulla situazione della in-sicurezza informatica a livello mondiale. La crescita esponenziale degli episodi di attacco grave deve stimolare… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form