Garante europeo della protezione dei dati: sotto la lente dati finanziari e servizi di pagamento

Il Garante europeo della protezione dei dati (GEPD) ha diffuso i pareri sulla proposta di regolamento relativo a un quadro per l’accesso ai dati finanziari, e su quella di regolamento e direttiva sui servizi di pagamento nel mercato interno dell’UE.

Due proposte al parere del GEPD

Il Garante europeo della protezione dei dati (GEPD) ha pubblicato due pareri: 

• uno sulla proposta di regolamento relativo a un quadro per l’accesso ai dati finanziari,
• uno sulla proposta di regolamento e direttiva sui servizi di pagamento nel mercato interno dell’UE.

Entrambe le proposte mirano a favorire la condivisione dei dati per ampliare l’offerta di servizi e prodotti finanziari, fornendo al contempo, a individui o organizzazioni, il controllo sul trattamento dei propri dati finanziari.

Secondo le proposte, gli individui e le organizzazioni gestirebbero l’accesso ai propri dati finanziari utilizzando dashboard forniti dagli istituti finanziari. 

Ciò consentirebbe alle persone interessate di monitorare, limitare o concedere l’accesso alle proprie informazioni. 

Il GEPD sottolinea che, per raggiungere tale obiettivo, le persone o le organizzazioni dovrebbero ricevere informazioni complete, precise e chiare sul fornitore del servizio finanziario che richiede l’accesso ai loro dati. 

Dovrebbero essere comunicate anche informazioni sul tipo di prodotto, pagamento o servizio per il quale verrebbero utilizzati i dati personali di un individuo e sui tipi di dati richiesti.

Il GEPD ha accolto con favore gli sforzi compiuti per garantire la coerenza delle proposte con il regolamento generale sulla protezione dei dati (GDPR).  

Autorizzazione all’accesso non è consenso privacy

Tuttavia ambedue le proposte dovrebbero specificare che la concessione di “autorizzazioni” al fine di accedere ai dati finanziari non equivale a fornire il consenso ai sensi del GDPR. 

Allo stesso modo, tutti i trattamenti di dati personali a seguito di una richiesta di accesso ai dati finanziari di un individuo devono avere una base giuridica adeguata ai sensi del GDPR.

Raccomandazioni specifiche

Oltre alle osservazioni generali, il GEPD ha formulato raccomandazioni specifiche per ciascuna proposta.

Considerati i dati personali altamente sensibili che possono essere condivisi nel contesto del proposto quadro per l’accesso ai dati finanziari, il GEPD raccomanda di circoscrivere in modo chiaro le tipologie di dati personali che possono essere trattati e di escludere i dati ottenuti tramite la profilazione di un individuo.

Il GEPD ha accolto con favore lo sviluppo di linee guida per stabilire i limiti per il trattamento dei dati personali delle persone in relazione ai servizi finanziari. 

Per garantire che tali linee guida siano conformi alla normativa sulla protezione dei dati, compreso il GDPR, il GEPD ha consigliato che il comitato europeo per la protezione dei dati, che comprende le autorità di protezione dei dati dell’UE/EAA, venga formalmente consultato prima della loro adozione. 

Il GEPD, inoltre, ha consigliato che le linee guida approfondiscano i limiti della combinazione delle informazioni finanziarie delle persone con ulteriori tipologie di informazioni personali, quali i dati personali ottenuti da fonti terze, come le reti di social media. 

Tale pratica risulta già esplicitamente vietata nella legislazione settoriale su determinati servizi finanziari, sottolinea il GEPD.

Affrontando il Regolamento e la Direttiva sui servizi di pagamento, il GEPD ha fornito raccomandazioni sulla prevenzione delle frodi, chiarendo che le categorie di dati personali che i prestatori di servizi di pagamento trattano in tale contesto dovrebbero essere chiaramente definite e limitate a quanto strettamente necessario.

Il GEPD ha raccomandato, altresì, che il regolamento specifichi quale tipo di servizio di pagamento e quali prestatori di servizi di pagamento sarebbero autorizzati a trattare categorie particolari di dati personali.

Monitoraggio

In qualità di consulente del legislatore dell’UE in materia di protezione dei dati, il GEPD continuerà a monitorare lo sviluppo di queste proposte e di eventuali ulteriori misure di attuazione previste.