In un significativo passo verso la definizione del panorama dei servizi finanziari basati sui dati nell’Unione Europea (UE), il Supervisore europeo per la protezione dei dati (EDPS) ha recentemente emesso due opinioni esaustive: l’Opinione 38/2023 sulla proposta di regolamento relativo a un quadro per l’accesso ai dati finanziari, e l’Opinione 39/2023 sulla proposta di regolamento e direttiva sui servizi di pagamento nel mercato interno dell’UE.
Queste opinioni attentamente elaborate approfondiscono il cuore delle proposte di regolamentazione, analizzando le loro implicazioni per l’accesso ai dati finanziari e i servizi di pagamento nel mercato interno dell’UE.
Queste opinioni si ergono come pilastri di orientamento, offrendo dettagliate prospettive sulle proposte di regolamentazione, pur cercando di mantenere un equilibrio armonioso tra la facilitazione dei servizi finanziari basati sui dati e la preservazione del controllo inalienabile degli individui sulle proprie informazioni finanziarie sensibili.
Indice degli argomenti
Navigare nel quadro di accesso ai dati finanziari
Uno dei pilastri fondamentali è l’Opinione 38/2023, un’analisi meticolosa e approfondita della proposta di regolamento su un quadro di accesso ai dati finanziari.
Presentata dalla Commissione europea il 28 giugno 2023, questa proposta mira a sbloccare il potenziale dei servizi finanziari basati sui dati, consentendo ai consumatori e alle imprese di gestire l’accesso ai propri dati finanziari.
L’EDPS, consapevole dell’impatto trasformativo di un simile quadro, riconosce le promesse che questo presenta per l’innovazione nel settore finanziario.
Allo stesso tempo, l’attenzione vigile dell’EDPS sottolinea la necessità cruciale di una categorizzazione e differenziazione meticolosa delle varie forme di dati personali comprese nella proposta.
L’attenzione dell’EDPS mira ad affrontare il problema cruciale della sensibilità dei dati. Riconoscendo le potenziali implicazioni di determinate forme di dati personali sulla privacy e sui diritti degli individui, l’EDPS sostiene la necessità di stabilire confini e definizioni precisi che proteggano categoricamente tali dati sensibili.
Questa raccomandazione risuona profondamente con i principi di minimizzazione dei dati e protezione degli stessi sanciti dal Regolamento Generale sulla Protezione dei Dati (GDPR), particolarmente evidenziati dall’articolo 9(1) del GDPR che evidenzia come sia “vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.
Questo allineamento enfatizza l’impegno dell’EDPS nel mantenere alti gli standard sulla privacy dei dati.
Inoltre, l’EDPS estende il suo pieno sostegno agli obblighi stabiliti sia per i detentori dei dati che per gli utenti all’interno del quadro proposto. Questi obblighi, come identificati nell’articolo 5 e nell’articolo 6 della Proposta, sono notevolmente allineati agli obiettivi di trasparenza e controllo individuale. Essi costituiscono le basi fondamentali per instaurare fiducia nell’ecosistema finanziario, ponendo le basi solide per pratiche responsabili ed etiche di gestione dei dati.
L’attenzione dell’EDPS si estende anche all’importanza della differenziazione tra il concetto di concessione “di permessi” all’interno della proposta e il concetto legale più ampio di consenso stabilito dal GDPR. Questa differenziazione cruciale funge da salvaguardia legale per prevenire l’offuscamento delle linee tra i nuovi meccanismi di condivisione dei dati proposti dalla regolamentazione e il ben consolidato quadro giuridico del GDPR volto a proteggere i dati personali.
Questa sfumatura legale è supportata dalle disposizioni dell’articolo 4(11) del GDPR, che definisce «consenso dell’interessato» “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Immaginare servizi di pagamento potenziati
Passando all’Opinione 39/2023, l’analisi completa dell’EDPS riguarda ora la Proposta di Regolamento e Direttiva sui servizi di pagamento nel mercato interno.
Questa proposta a doppio binario mira ad ampliare il panorama dei servizi di pagamento all’interno dell’UE, mentre si cerca di allineare questi servizi con i principi del GDPR. In considerazione delle incerte interazioni tra le transazioni finanziarie e i dati personali, l’EDPS ha evidenziato con positività l’impegno all’interno della proposta di creare un framework che sia coerente e congruo con il GDPR.
Questo riconoscimento sottolinea il forte interesse dell’EDPS nell’assicurare che la protezione dei dati rimanga un pilastro invariabile all’interno del dinamico ambito dei servizi finanziari.
In particolare, l’articolo 43(4)(b) della proposta di regolamento per i servizi di pagamento richiede agli offerenti di servizi di iniziazione ai pagamenti (PISPs) e agli offerenti di servizi di informazioni sugli account (AISPs) di informare in tempo reale gli offerenti di servizi di account (ASPSPs) di un nuovo permesso concesso da un utente dei servizi di pagamento.
L’EDPS teme, tuttavia, che l’articolo 44, paragrafo 1, lettera c), e l’articolo 49, paragrafo 4, della proposta di PSR impediscano agli ASPSP di verificare l’autorizzazione data dall’utente dei servizi di pagamento ai PISP e agli AISP per accedere alle informazioni sul suo conto di pagamento.
Sebbene il termine “autorizzazione” non debba essere interpretato come “consenso” o “consenso esplicito” ai sensi del GDPR, il divieto di verificare l’autorizzazione fornita dall’utente potrebbe indurre gli ASPSPs a condividere dati personali con terzi che non posseggono i requisiti legali per acquisirli, ai sensi del GDPR (o a condividere più dati personali di quelli previsti dall’utente).
Le transazioni finanziarie possono rivelare informazioni sensibili su un soggetto che possono anche rientrare in categorie speciali di dati personali.
L’articolo 80 della proposta di regolamento sui servizi di pagamento, letto alla luce del Considerando 98, stabilisce che i sistemi di pagamento e i fornitori di servizi di pagamento devono essere autorizzati a trattare categorie speciali di dati personali come indicato all’articolo 9(1) del GDPR e all’articolo 10(1) dell’EUDPR, nella misura necessaria per la fornitura dei servizi di pagamento e per il rispetto degli obblighi previsti da questo Regolamento nell’interesse pubblico del corretto funzionamento del mercato interno dei servizi di pagamento, subordinato a idonee garanzie per i diritti fondamentali e le libertà delle persone fisiche.
L’articolo 80 fornisce inoltre un elenco (non esaustivo) di tali garanzie.
Armonizzare la regolamentazione e la protezione dei dati
Queste opinioni non solo testimoniano l’impegno dell’EDPS nel preservare i diritti individuali, ma offrono anche un’esposizione illuminante dell’interazione intricata tra l’innovazione finanziaria e la protezione dei dati. Le opinioni rappresentano un approccio sfumato all’adattamento regolamentare, assicurando che il panorama finanziario dell’UE evolva nel rispetto della privacy e dei diritti dei suoi cittadini.
In un’era in cui i dati sono la nuova moneta, queste opinioni servono come guida, dirigendo il percorso verso un futuro in cui l’innovazione finanziaria coesista armoniosamente con la protezione dei dati.
Attraverso queste opinioni, l’EDPS rafforza il suo ruolo cruciale come supervisore dell’equilibrio delicato tra il progresso tecnologico e i diritti individuali. Le opinioni sono testimoni di un futuro ben bilanciato, in cui l’evoluzione finanziaria si armonizza in modo fluido con la protezione dei dati, sotto il controllo del Supervisore europeo per la protezione dei dati.
