Non sono pochi i siti di e-commerce che usano, in vari modi, i dati di pagamento delle carte dei propri clienti, anche per una certa comodità sia dei clienti che del titolare stesso. Ma le prassi in uso sono tutte lecite? Le nuove raccomandazioni dell’EDPB, Recommendations 02/2021 on the legal basis for the storage of credit card data for the sole purpose of facilitating further online transactions, intervengono sul tema per fornire urgenti indicazioni e conseguenti adeguamenti, additando recisamente alcune prassi molto diffuse.
Specie in tempi dove i data breach sono all’ordine del giorno e i dati di pagamento sono tra le categorie più bersagliate, l’EDPB mostra un certo rigore e rigidità che, d’altro canto, paiono appesantire non poco le possibilità concrete d’utilizzo dei dati.
Indice degli argomenti
La “viralità” dei dati di pagamento
Il quadro socio-economico attuale ha visto una sempre più ampia diffusione delle transazioni online e del commercio elettronico. Una forte accelerata è stata data dalla diffusione della pandemia da COVID-19 che, gioco forza, ha incentivato l’acquisto a distanza e quindi l’utilizzo dei dati legati alle carte di credito da parte delle piattaforme online.
Secondo dati statistici si stima che solo nel 2020 oltre due miliardi di consumatori nel mondo abbiano effettuato acquisti online. Nello stesso anno le vendite e-commerce globali del commercio al dettaglio online hanno raggiunto i 4,2 trilioni di dollari e, secondo alcune proiezioni, arriveranno a circa 6,5 trilioni di dollari entro il 2023.
Per contro, la condivisione di questi dati in detti contesti espone l’interessato a tutta una serie di rischi che non possono essere sottovalutati. Lo stesso Working Party art. 29 (previgente incarnazione dell’attuale EDPB) nelle proprie linee guida sulle valutazioni d’impatto privacy (WP248 rev.01 del 2017) ha precisato come una violazione dei dati legati alle carte di credito – pur non essendo classificati come dati “particolari/sensibili” dalla normativa europea – può avere una grave ripercussione sulla vita quotidiana degli interessati, pregiudicando i diritti e le libertà di costoro.
In moltissimi casi le piattaforme e-commerce memorizzano i dati delle carte di credito dei consumatori, al fine di agevolare la conclusione di successivi acquisti di beni e servizi.
Muovendo da questi presupposti, il 19 maggio scorso l’EDPB, con le sue raccomandazioni, ha fatto chiarezza su quali siano le basi giuridiche che possono consentire o meno al titolare del trattamento di conservare i dati della carta di credito dei consumatori per la predetta finalità.
Sottolineando come sia essenziale che gli interessati mantengano sempre il controllo sui propri dati, anche per promuovere una fiducia verso l’ambiente digitale, condizione essenziale per la crescita della digital economy.
Le basi giuridiche da escludere
L’EDPB è lapidario nel ritenere inapplicabili le basi dell’adempimento di un obbligo legale (art. 6.1 lett. c, GDPR), l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio di pubblici poteri conferiti al titolare del trattamento (art. 6.1 lett. e GDPR), o la tutela dell’interesse vitale di una persona fisica (art. 6.1 lett.d, GDPR).
Più incerta è la valutazione sulla legittima applicabilità dell’esecuzione contrattuale (art. 6.1, lett. b, GDPR). Tuttavia – sulla scorta di un’opinione da tempo maggioritaria che interpreta restrittivamente tale base legale – l’EDPB ha precisato che una volta che la prima transazione sia stata perfezionata viene meno l’esecuzione del contratto (sebbene possa esservi un rapporto contrattuale a tempo indeterminato o continuativo a supporto, aspetto non approfondito dall’EDPB).
Quindi l’archiviazione dei dati al solo scopo di rendere più agevole i successivi acquisti da parte dell’interessato non potrebbe considerarsi una finalità compatibile. Del resto, proprio l’EDPB nelle sue Guidelines 2/2019 sulla fornitura di servizi online ha precisato che qualora un titolare intenda stabilire che il trattamento si fonda sull’esecuzione di un contratto, è importante valutare ciò che è oggettivamente necessario ai fini dell’esecuzione del contratto.
Riprendendo l’orientamento del WP29 che, in altre occasioni, aveva affermato come la base ex art. 6.1 lett. b) debba essere interpretata rigorosamente e che non contempla situazioni in cui il trattamento non è effettivamente necessario all’esecuzione del rapporto.
Osservazioni in merito al legittimo interesse
Sull’applicabilità del legittimo interesse l’EDPB riassume e filtra nel caso concreto i tre consolidati requisiti che devono sussistere nel momento in cui il titolare del trattamento voglia utilizzare la base giuridica prevista all’art. 6.1, lett. f), GDPR:
- In primo luogo l’interesse legittimo deve essere chiaramente identificato e qualificato da parte del titolare del trattamento (o da un terzo).
- In secondo luogo, il trattamento dei dati deve essere una componente strettamente necessaria al fine di raggiungere la finalità sottesa al legittimo interesse del titolare. A tal riguardo, posto che sarebbe comunque doveroso dimostrare un legittimo interesse da parte del titolare, l’EDPB dichiara che la conservazione per acquisti futuri eventuali non sia sostenibile; l’EDPB precisa che “la conclusione di un altro acquisto dipende comunque da una scelta volontaria di un consumatore e non è determinata dalla [mera] possibilità di compierlo con un semplice ‘click’”.
- Infine, la terza condizione richiede l’esecuzione di un test di bilanciamento: com’è noto il legittimo interesse del titolare (o di un terzo) deve essere bilanciato rispetto agli interessi o ai diritti fondamentali e libertà dell’interessato. Una componente essenziale per un corretto balancing test è proprio il potenziale impatto che il trattamento può avere sui diritti e le libertà del trattamento. Tra i parametri presi in considerazione per misurare l’impatto vi rientrano senz’altro la natura dei dati trattati, la modalità del trattamento e la possibilità che tali dati siano accessibili da terzi. Come sopra anticipato, il WP29 si è espresso proprio sui dati finanziari ritenendo che una loro ipotetica violazione può comportare “gravi ripercussioni sulla vita quotidiana” dell’interessato. Altro elemento importante per il test di bilanciamento è la ragionevole aspettativa che ha l’interessato in base al rapporto col titolare, il contesto e la finalità del trattamento. L’EDPB è chiara nel ritenere che al momento dell’acquisto l’interessato – pur fornendo i dati della carta di credito per eseguire la transazione – non possa ragionevolmente aspettarsi che i dati della sua carta di credito vengano conservati più a lungo di quanto necessario per pagare i beni o servizi che sta acquistando.
Dati di pagamento: il precedente del CNIL francese
Non possiamo tacere un precedente interessante sul tema, una pronuncia dell’autorità francese CNIL, datata 19 luglio 2012, periodo pre-GDPR.
L’autorità francese di controllo aveva indagato un venditore e-commerce proprio per la sua prassi di conservare i dati bancari dei clienti più a lungo del necessario. Dall’indagine era emerso che la società conservava i dati bancari by default, anche dopo il termine di ogni transazione (i dati erano copiosi: nome dei titolari della carta, numero di carta, data di validità e alcuni codici CVV, le informazioni si riferivano sia alle carte valide che a carte scadute).
Il titolare sosteneva di aver conservato i dati per due motivi legittimi e relative basi:
- la necessità di stipulare o eseguire un contratto;
- il proprio legittimo interesse.
Sul secondo punto l’interesse legittimo invocato era l’agevolazione dei pagamenti successivi e l’ottimizzazione delle transazioni commerciali.
Punto di vista non accolto dal CNIL: aveva bocciato sia la base di esecuzione contrattuale – le vendite erano future e ipotetiche -, sia il legittimo interesse: si era riconosciuto quello del dettagliante a facilitare i pagamenti successivi e a ottimizzare le transazioni commerciali, tuttavia non era stato ritenuto adeguatamente controbilanciato con i diritti delle persone coinvolte.
Data la “sensibilità” dei dati bancari, il diritto dell’interessato a veder cancellati tali dati dopo un certo periodo di tempo non poteva essere considerato una garanzia sufficiente (al più il CNIL rimandava ai tempi dettati dalle normative bancarie come tempistiche di garanzia accettabili), inoltre le misure di sicurezza del caso concreto erano state censurate (i dettagli delle carte di credito di milioni di clienti erano stati memorizzati in chiaro, in un unico database, dando luogo all’elevato rischio che i dati diventassero accessibili attraverso dipendenti malintenzionati o intrusioni esterne).
Insomma, la pronuncia del CNIL prefigurava in tutto quanto ora riaffermato dall’EDPB.
Il consenso quale unica strada perseguibile
Le considerazioni sopra esposte portano a concludere come il consenso ex art. 6.1, lett. a), GPDR possa essere l’unica base giuridica adeguata al trattamento preso in esame.
Per far fronte ai rischi per la sicurezza, per i diritti e le libertà dell’interessato, nonché per consentire a questi di mantenere il controllo sui propri dati e decidere attivamente in merito all’utilizzo dei propri dati finanziari, pare che il consenso sia l’unica strada perseguibile, nella visione dell’EDPB, che non manca di ricordare che il consenso deve essere libero, specifico, e univoco, nonché preceduto da un’apposita informativa.
È incoraggiato l’uso di un’apposita check box granulare ma assolutamente bandito (come sempre) il ricorso a caselle pre-flaggate. Viene ribadito che all’interessato dev’essere garantito ai sensi dell’art. 7.3, GDPR, in qualsiasi tempo e gratuitamente il diritto di revocare il proprio consenso, con la stessa facilità col quale è stato conferito.
Successivamente alla revoca del consenso al titolare non spetterà altro che un’unica soluzione: provvedere alla cancellazione dei dati della carta di credito. L’esistenza di altre basi di trattamento, come visto sopra, pare essere non supportata dall’EDPB, le quali potrebbero giustificare sì il non più possibile trattamento per i pagamenti ma la possibile conservazione per altri fini (ad es. tutela di un diritto in sede giudiziale).
Conclusioni
La raccomandazione dell’EDPB dovrebbe far intervenire subito i titolari che gestiscono i dati di pagamento, soprattutto nell’ambito e-commerce: i paletti evidenziati dal Board sono precisi a sufficienza.
Quanto prima si dovrebbero rivedere i propri processi, il proprio registro dei trattamenti, per verificare se e come l’appoggio normativo sia aderente alle indicazioni dell’EDPB nel trattare i dati di pagamento, verificando la base di trattamento in ogni fase e i tempi di conservazione, aggiungendo un’interfaccia consensuale nei rapporti con l’utente se non già adottata.
Oppure, semplicemente, limitando l’uso dei dati di pagamento alla singola operazione.
Si consideri, infine, un altro aspetto: la base del legittimo interesse, quella con maggiore potenzialità di sviluppo e che può fungere da cardine “flessibile” al mutamento di contesti e tecnologie per ammettere svariati trattamenti nell’attuale disciplina del GDPR, si trova compressa da due tendenze.
Da un lato le autorità che tendono a segnalare, occasionalmente più che sistematicamente, le situazioni di interesse legittimo via via giudicate incompatibili con questa base, ingenerando incertezza applicativa (a chi toccherà la prossima volta?).
Dall’altro il principio di accountability dei titolari per il quale, in questo caso, prima vengono chiamati a effettuare valutazioni che poi vengono in realtà svolte al loro posto dalle autorità (il tono dell’EDPB è piuttosto perentorio e pratico piuttosto che di guida o di principi generali).
Il che porta a lasciar spesso perdere l’uso del legittimo interesse per i troppi rischi e dubbi che la connotano come base, non permettendo un suo maggiore e miglior sfruttamento nella realtà attuale. Vittima dell’enfasi, caso per caso, di un punto di attenzione a scapito degli altri, piuttosto che di un’analisi complessiva degli equilibri e contrappesi; ad es. le ragionevoli aspettative dell’utente che l’EDPB pare trovare insormontabili potrebbero essere rivalutate da una più esplicita e circostanziata informazione just-in-time all’utente nel momento dell’uso della carta, il contesto e la UX potrebbero indurre a una diversa conclusione.
Così come si potrebbero applicare robuste misure di sicurezza a tutela della prolungata retention. Stante la visione dell’EDPB, il legittimo interesse si palesa uno strumento ambiguo, un’arma a doppio taglio per i titolari, quando potrebbe essere invece uno strumento di consapevolezza ed equo trattamento, debitamente tarato. Si attendono sviluppi sul tema.
