Privacy e PSD2 nuove sfide per la compliance aziendale 2018-06-15T16:10:54+00:00

Serie 6 – Episodio 2

Privacy e PSD2 nuove sfide per la compliance aziendale

 

Privacy e PSD2 nuove sfide per la compliance aziendale

 

Di Alessandra Inzolia e Denis Lupo

Il 13 gennaio 2018 la Direttiva sui Servizi di Pagamento, PSD2 farà il suo ingresso nel mercato europeo.

Si tratta di una vera e propria rivoluzione che coinvolgerà tutta la filiera dei pagamenti elettronici e i relativi protagonisti, allo scopo di favorire lo sviluppo delle transazioni di pagamento digitali, per l’implementazione di un mercato unico integrato, andando a regolare i rapporti tra PSP (Prestatori di Servizi di Pagamento) e nuovi soggetti del mercato, i TPP.

Le Banche dovranno soddisfare le richieste effettuate tramite un TPP, autorizzato, a condividere i dati dei propri clienti, tramite interfacce API, per permettere l’utilizzo in sicurezza di una serie di informazioni.

A tal proposito, l’EBA ha pubblicato di recente quella che sembra essere la versione finale degli Standard Tecnici Normativi (Regulatory Technical Standards – RTS) relativi alla Strong Authentication contenuti nella PSD2.

I processi richiesti dagli RTS implicano il trattamento di una grande mole di dati personali, con ciò, sarà dunque necessario per i prestatori di servizi di pagamento, attenersi ed adeguarsi anche a quanto sancito nel Regolamento Generale sulla Protezione dei Dati (GDRP).

Quest’ultimo nasce con l’obiettivo di rafforzare e unificare la normativa sulla protezione dei dati personali entro i confini UE superando i parziali regolamenti locali e regolando anche il tema dell’esportazione dei dati personali al di fuori dei confini UE.

Gli RTS hanno lo scopo di fornire la base di liceità per il trattamento dei dati personali e le banche dovranno comportarsi in modo che, il trattamento dei dati personali degli utenti rispetti i principi generali espressi nel GDRP, ovvero liceità, correttezza e trasparenza, integrità, riservatezza, ecc.
Aspetto totalmente applicabile al caso dei trattamenti svolti ai fini RTS è l’adozione di apposite procedure per rispettare le prescrizioni “Privacy by Design e Privacy by Default”, stabilite all’ interno del GDPR (Art. 25).

Le misure di sicurezza richieste dagli RTS, andranno individuate con un’attenta e specifica analisi dei rischi e dovranno garantire un adeguato livello di sicurezza contro i rischi derivanti dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trattati.

Inoltre il GDPR richiede la Valutazione di Impatto sulla Protezione dei Dati (DPIA) nel momento in cui l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Con il suddetto Regolamento vengono introdotti anche gli aspetti che riguardano la Violazione dei Dati Personali (Data Breach), ed è richiesto che i prestatori di servizi di pagamento dovranno:

  • notificare la violazione dati personali alla competente Autorità Garante per la protezione dei dati personali, senza indebito ritardo e, ove fattibile, entro 72 ore dalla presa conoscenza dell’evento;
  • in caso di particolari circostanze di rischi elevati, comunicare la violazione anche agli interessati;
  • implementare un archivio per documentare le violazioni dei dati personali indicando le circostanze ad esse relative, le conseguenze e i relativi provvedimenti adottati per il rimedio.

Pertanto, emerge la necessità per le banche di tutelarsi, garantendo la Privacy e la protezione dei dati dei propri creditori.
Il tutto genererà elevati costi in ambito Compliance e richiederà attente valutazioni circa la natura dei diversi TPP per non ricorrere a sanzioni amministrative previste dalla PSD2 e salvaguardare quanto richiesto dal GDPR.