Con lettera del 5 luglio scorso indirizzata al Parlamento Europeo, lo European Data Protection Board che ha sostituito il WP29, ha fornito rilevanti delucidazioni in relazione alle questioni conflittuali che il GDPR sta ponendo sull’applicazione della direttiva riferita ai sistemi di pagamento digitali (PSD2 - Payment System Direction 2). Ricordiamo che la direttiva UE n. 2366/2015 che regola i servizi di pagamento interno e che ha modificato le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010 e abrogato la direttiva 2007/64/CE, nonché adeguato le disposizioni interne al regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento cartacee, è stata recepita nel nostro Paese con il decreto legislativo n. 218/2017 che è entrato in vigore lo scorso gennaio.
Prima di tutto, nella lettera, l’EDPB afferma che tutti i riferimenti contenuti nella PSD2 alla vecchia direttiva n. 95/46 devono oggi essere ascritti al GDPR.
In relazione all’individuazione della corretta base legale per il trattamento dei dati personali effettuato da parte di un prestatore di servizi di disposizione di ordine di pagamento (PISP) che tratta i dati di un soggetto destinatario di un pagamento che non ha alcuna relazione contrattuale con lui perché si limita a trasferirgli denaro in base ad un ordine di pagamento effettuato da un suo cliente, lo EDPB ritiene che questi, come anche il prestatore di servizi di informazione sui conti (AISP), può trattare i dati del soggetto destinatario del pagamento, in base all’interesse legittimo, secondo quanto disposto dall’art. 6 (1) f) del GDPR, sempre che vengano rispettati i principi di minimizzazione, limitazione e trasparenza e che quei dati vengano usati solo ed esclusivamente per tale finalità di trattamento. L’interesse legittimo non può essere comunque usato come base legale del trattamento per ulteriori finalità di trattamento dei soggetti non clienti, in quanto, in tale circostanza, l’interessato non si aspetta l’ulteriore finalità di trattamento.
Chiarisce inoltre il Comitato che il concetto di “consenso espresso” contenuto nell’art. 94 paragrafo 2 della PSD2 è un consenso diverso rispetto alla nozione di consenso prevista dal GDPR all’art. 6. Secondo quanto stabilito dall’art. 94 (2) della PSD2 i prestatori di servizi di pagamento «hanno accesso, trattano e conservano i dati personali necessari alla prestazione dei rispettivi servizi di pagamento, solo dietro consenso esplicito dell’utente (...)». A tal proposito, lo EDPB precisa che il concetto di consenso indicato dal suddetto art. 94 paragrafo 2 è un consenso di natura contrattuale riferito al rapporto esistente tra un fornitore di servizi di pagamento ed un suo cliente. Pertanto, il comitato ritiene che l’art. 94 paragrafo 2 dovrebbe essere interpretato nel senso che quando si entra nel contesto di contratti di servizi di pagamento regolati dalla PSD2 l’interessato deve essere messo nelle condizioni di conoscere la finalità per cui i suoi dati sono trattati e deve espressamente concordare con i termini del trattamento. Ogni condizione dovrebbe essere pertanto distinta dalle altre e facilmente individuabile rispetto agli altri temi del contratto, condizioni che devono essere espressamente accettate dall’interessato. Ad ogni modo, il concetto di consenso espresso di cui all’art. 94 paragrafo 2 della PSD2 è pertanto un elemento aggiuntivo richiesto dalla natura del contratto e non è il consenso espresso di cui parla il GDPR.
Ragion per cui, ulteriori trattamenti di dati per altre finalità di trattamento, non necessari all’esecuzione contrattuale, potranno essere effettuati solo con il consenso espresso dell’interessato di cui parla l’art. 6 del GDPR, ammesso che siano pienamente rispettate le condizioni previste dagli articoli 7 e 4 (11) del GDPR. Tale richiesta di consenso deve dunque essere prevista in una clausola a parte e specifica.
Lo EDPB raccomanda gli istituti bancari di effettuare l’analisi dei rischi, adottando le misure di sicurezza proporzionate agli stessi, nel rispetto di quanto disposto dall’art. 32 del GDPR e sottolinea che di certo l’applicazione della direttiva PSD2 porterà a far emergere altre importanti questioni e dubbi sul trattamento dei dati personali, pertanto si riserva di esprimere future valutazioni in merito.