83 Thompson K., U.S Consumer Financial Protection Bureau Sets Out Principles for Consumer-
3.3. La portata innovativa del GDPR
In Europa, è stato lo stesso legislatore comunitario a dare un contributo rilevante al processo di efficientamento e rafforzamento dei sistemi aziendali volti ad assicurare la sicurezza dei dati personali dei customers. Il 25 maggio scorso, con l’implementazione del General Data Protection Regulation (GDPR)221, è stato, infatti, introdotto un quadro normativo aggiornato e armonizzato sulla protezione dei general data dei consumatori, che risponde alla volontà del regulator di superare le differenze presenti fra le varie giurisdizioni nazionali riguardo alla materia (fonti di arbitraggi regolamentare)222 e di disciplinare in modo puntuale anche le circostanze in cui tali dati vengono esportati oltre i confini dello Spazio Economico Europeo (SEE)223. Il percorso legislativo che ha portato all’emanazione del regolamento è iniziato quando la Commissione, il 4 novembre 2010, ha pubblicato la proposta di riforma della prima normativa comunitaria in materia di protezione dei dati personali (introdotta col recepimento della Direttiva 95/46/CE) risalente al 1995, quindi, ormai obsoleta a fronte del rilevante progresso tecnologico e digitale avvenuto negli ultimi 20 anni.
Cercheremo di dare una visione quanto più completa delle principali novità introdotte dal regolamento224, focalizzandoci, infine, sulle disposizioni che hanno ampliato i diritti del cosiddetto “interessato”, la persona fisica identificata o identificabile225, unica che, in
221 Per una più approfondita disamina del testo del regolamento si consulti: Commissione europea,
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (Testo rilevante ai fini del SEE), Bruxelles, 27 aprile 2016, "Gazzetta ufficiale dell'Unione europea", in https://eur- lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=IT.
222 Per perseguire l’obiettivo di armonizzazione, il legislatore comunitario ha scelto come strumento
giuridico il Regolamento, direttamente applicabile in tutti gli Stati membri, ovviando così alla troppa discrezionalità lasciata loro nel recepimento della precedente direttiva, fonte di rilevanti differenze fra le diverse giurisdizioni nazionali. In Italia, il GDPR ha abrogato il Codice della Privacy (D.Lgs. 196/2003) con cui era stata recepita la Direttiva 95/46/CE; è, invece, atteso per agosto il decreto attuativo volto ad adeguare il quadro normativo nazionale alle disposizioni del regolamento comunitario (fonte: StudioCataldi, GDPR: il decreto attuativo slitta ad agosto, in https://www.studiocataldi.it/articoli/30589- gdpr-il-decreto-attuativo-slitta-ad-agosto.asp, 27 maggio 2018).
223 A dover rispettare le previsioni della GDPR saranno, infatti, non solo alle organizzazioni pubbliche e
private con sede nella SEE, ma anche quelle che, pur avendo sede in un paese fuori da tale area, elaborano e trasmettono i dati dei cittadini di uno Stato Membro.
224 Osservatori Digital Innovation, GDPR e Privacy: tutto sul nuovo Regolamento europeo,
in https://blog.osservatori.net/it_it/gdpr-e-privacy-nuovo-regolamento-europeo, 14 marzo 2018.
225 Ai sensi del comma 1 dell’art. 4, l’identificazione deve avvenire attraverso un “particolare riferimento
a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
quanto proprietaria dei dati personali oggetto di trattazione, può disporne come più vuole, decidendo come impiegarli e soprattutto con chi condividerli.
Tali novità anche se predisposte per tutte le organizzazioni private e pubbliche, avranno un peso ancora più rilevante sugli operatori del settore finanziario comunitario tenuti al contempo a rispettare le nuove disposizioni in materia di sicurezza dei dati introdotte dalla PSD2226.
La portata rivoluzionaria della GDPR affonda le sue radici nella decisione di assumere una nuova filosofia normativa nel revisionare la regolamentazione comunitaria sulla privacy: non si limita più a richiedere al titolare del trattamento l’adempimento di un elenco di regole formali e l’adozione di misure minime di sicurezza, ma va oltre; lo obbliga, infatti, a costituire un vero e proprio sistema di governance interna dei dati raccolti, in cui il responsabile principale della loro protezione dovrà essere il cosiddetto Data Protection Officer (DPO)227. La sua figura risulterà senz’altro fondamentale nel processo di creazione e rafforzamento di una cultura aziendale della data protection, che coinvolga tutti soggetti coinvolti, a vario livello, nella trattazione dei dati personali della clientela; è necessario, quindi, che si faccia portavoce di un approccio proattivo nei confronti della gestione delle informazioni sensibili all’interno delle organizzazioni, che miri a prevenire la manifestazione dei rischi insiti nelle loro trattazione (quali, ad esempio, condivisione non autorizzata o perdita), impedendo che gli eventi dannosi si verifichino. Le principali funzioni228 che sarà tenuto a svolgere sono: informare e consigliare il titolare o il responsabile del trattamento riguardo agli obblighi previsti dal GDPR, verificarne l’applicazione e l’attuazione, nonché porsi come mediatore fra titolare e interessato, e fra titolare e autorità competente. Il suo contributo sarà essenziale nella fase di predisposizione delle policy interne di gestione dei customers personal data; dovrà, inoltre, stimolare l’adozione da parte dell’organizzazione di un approccio metodologico di tipo risk-based che veda nell’analisi continua dei rischi legati al trattamento dei dati e nell’identificazione delle sue fonti la best way per proteggere la privacy degli
226 Ci soffermeremo in seguito sugli obiettivi comuni, nonché sui potenziali punti di contrasto tra il GDPR
e la PSD2.
227 Ai sensi della lett. b, del comma 1 dell’art. 37, la sua nomina è obbligatoria negli istituti finanziari dal
momento che “le attività principali del titolare del trattamento o del responsabile del trattamento
consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala”.
228 Per operare deve avere precise competenze giuridiche, informatiche, di risk management e di analisi dei
processi, deve essere indipendente ed autonomo, e deve potersi interfacciare con le figure chiave dell’azienda per valutare i rischi insiti nelle operazioni di trattazione e per suggerire opportune misure e
interessati229. Tutte le organizzazioni sono tenute a correggere o affinare i sistemi di gestione già esistenti prima dell’attuazione del regolamento per adeguarli alle nuove disposizioni del regolamento: utile a tal riguardo sarà sicuramente un’analisi della condizione attuale, volta alla predisposizione di un piano d’intervento che faciliti il processo di adeguamento.
Di portata innovativa è poi l’introduzione del principio di “privacy by design”, secondo cui la tutela dei dati personali non potrà più essere valutata soltanto a posteriori quale mero adempimento accessorio allo svolgimento del business, bensì dovrà diventare un presupposto da considerare e assicurare fin dalla fase di progettazione dei processi di trattamento degli stessi, attraverso misure che prevengano l’insorgere delle problematiche correlate. Le strategie di data protection sviluppate ex ante saranno sicuramente più efficaci, dando la possibilità di identificare da subito le soluzioni migliori, potendole eventualmente adattare in fase di implementazione sulla base della specifica tipologia di trattamento effettuata.
Sono, inoltre, stati ampliati gli adempimenti che il titolare del trattamento deve effettuare ogni qualvolta si verifichi un personal data breach, definito dal comma 12 dell’art. 4, come la violazione di sicurezza al sistema informatico o telematico “che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”230. L’art. 33 prevede che sia documentato e notificato alla supervisory authority competente entro 72 ore dall’avvenuta conoscenza della violazione e, nei casi più gravi, anche agli interessati. I Titolari del trattamento dovranno assicurare di aver adottato procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti.
In ambito sanzionatorio, l’art. 83 sottopone i responsabili di illeciti legati alla privacy a sanzioni pecuniarie consistenti che possono raggiungere la soglia massima di 20 milioni di euro (per le imprese fino al 4% del fatturato globale). Saranno i singoli legislatori nazionali che valuteranno l’opportunità di associare a tali sanzioni di natura amministrativa, eventuali sanzioni di natura penale, non avendo la Commissione la
229 I continui richiami al concetto rischio (artt. 25, 32, 35) mostrano quanto il legislatore abbia voluto far
concentrare sull’importanza di predisporre azioni volte a gestirlo, monitorarlo e mitigarlo.
230 Una previsione analoga è prevista anche dalla PSD2 che impone a tutti i PSPs la notifica alle autorità
competenti di ogni incidente grave che leda la sicurezza e l’operatività e agli user di ogni incidente che potrebbe avere un effetto sul tasso di interesse finanziario.
competenza per legiferare a tal riguardo: sarà, quindi, l’unico ambito in cui l’armonizzazione risulterà parziale231.
L’art. 30 ha, poi, introdotto l’obbligo per ogni organizzazione (ad eccezione di quelle con meno di 250 dipendenti) di istituire un registro dei trattamenti, un documento volto a censire in maniera ordinata e dettagliata le operazioni di trattamento effettuate232. Oltre ad essere utile dal punto di vista operativo, può essere impiegato dal titolare del trattamento come strumento probatorio per dimostrare di aver tenuto una condotta compliance alle disposizioni del GDPR. A tal riguardo, in virtù del principio di responsabilizzazione, disciplinato all’art. 24 e al comma 2 dell’art. 5, il soggetto che si assume la responsabilità del trattamento (può coincidere o meno col titolare) gode di una maggiore discrezionalità nella definizione delle misure di sicurezza da implementare per garantire la conformità dello stesso trattamento al Regolamento, purché sia sempre in grado di fornire una puntuale giustificazione delle motivazioni su cui a basato le proprie scelte. Sempre con riguardo al principio di accountability, è fondamentale che il titolare del trattamento sia in grado di fornire in qualsiasi momento le prove del consenso233 effettivamente prestato dall’interessato, ai sensi del comma 1 dell’art. 7. È, quindi, evidente la volontà del legislatore di dare dei principi234 guida da rispettare in qualsiasi operazione di trattazione, lasciando però alla discrezionalità del titolare del trattamento la scelta delle misure tecnico-organizzative più adeguate a garantire la sicurezza dei dati personali raccolti.
231 Il Codice della Privacy italiano era uno dei pochi a livello comunitario a prevedere delle sanzioni penali
a fronte di violazioni nel trattamento dei dati personali. Nello schema del decreto attuativo del GDPR, sono state aggiunte ulteriori fattispecie di reato per rendere il quadro sanzionatorio più bilanciato (fonte: AgendaDigitale, Decreto GDPR e sanzioni penali, ecco che cambia, in
https://www.agendadigitale.eu/sicurezza/decreto-gdpr-e-sanzioni-penali-ecco-che-cambia/, 25 maggio 2018).
232 Deve contenere i dati del titolare e degli eventuali responsabili, le finalità del trattamento, una
descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza adottate.
233 Ai fini della nostra trattativa importante è riportare la definizione di “consenso dell’interessato”:
manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio consenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattazione (ai sensi del comma 11 dell’art. 4).
234 Ai sensi dell’art. 5, i dati personali devono essere trattati “in modo lecito, corretto e trasparente nei
confronti dell'interessato”, e “raccolti per finalità determinate, esplicite e legittime”, secondo il principio
della “limitazione della finalità”. La quantità di dati raccolti deve essere limitata alle finalità da perseguire col trattamento (principio di “minimizzazione dei dati”). Devono essere sempre aggiornati, per garantire il principio di “esattezza”. L’arco temporale di conservazione dei dati coincide col periodo necessario al raggiungimento dei fini della trattazione (principio di “limitazione della conservazione”). Infine, il principio di “integrità e riservatezza” impone al titolare di predisporre misure tecnico-organizzative atte ad assicurare “un’adeguata sicurezza dei dati personali” e a prevenire trattamenti non autorizzati o illeciti,
La rilevanza assunta nel GDPR dal consenso (inteso come “manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato”) è emblematica della volontà di porre al centro l’interessato e i suoi diritti235, derivanti dallo status di unico proprietario dei dati personali oggetto di trattazione: con l’intento di rafforzare le tutele nei confronti di quest’ultimo, il comma 11 dell’art. 4 prevede che sia rilasciato, “mediante una dichiarazione o azione positiva inequivocabile”236. In funzione del consenso la natura del dato personale cambia: quando viene rilasciato assume la natura di merce che il titolare del trattamento può utilizzare, valutare, trasmettere nei limiti di quanto promesso nell’informativa; qualora, invece, venga revocato, riacquisisce la natura di diritto indisponibile della persona (non rientra più nell’ambito del diritto alla privacy). È, quindi, proprio per la natura giuridica mutevole del dato che è necessario che il titolare del trattamento indichi i diritti che l’interessato può esercitare nell’informativa237 al consenso. Per garantire un trattamento corretto e trasparente, lo stesso titolare, ogni volta che ottiene i dati dall’user, deve informarlo circa il “periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo”. Si tratta di una previsione in cui trova massima espressione il già citato concetto di privacy by design, dal momento che si obbliga indirettamente ad effettuare una valutazione preventiva riguardo ad ogni singola operazione di trattazione. Così facendo si mitigano i rischi connessi alla trattazione degli stessi, implementando i principi di
235 L’interessato può revocare il proprio consenso in qualsiasi momento, con la stessa facilità con cui è stato
accordato; tuttavia, la revoca non ha valore retroattivo sulle operazioni di trattazione già effettuate (diritto di revoca, comma 3 dell’art. 7). Può richiedere una copia dei dati personali oggetto di trattamento, l’indicazione del periodo di conservazione previsto e le garanzie applicate in caso di trasferimento dei dati in paesi terzi o a organizzazioni internazionali (diritto di accesso, art. 15), nonché la correzione dei dati inesatti (diritto di rettifica, art. 16). L’art. 17 ha, inoltre, rafforzato il diritto di cancellazione, prevedendo l’obbligo per i titolari, che hanno reso pubblici i dati, di informare della richiesta di cancellazione altri titolari che trattano tali informazioni cancellate, e dando la facoltà all’interessato di richiedere la cancellazione anche dopo la revoca del consenso al trattamento. Ad essere stato esteso, ai sensi dell’art. 18, è anche il diritto di limitazione del trattamento, che potrà essere esercitato dall’interessato non solo in caso di trattamento illecito, ma anche nel periodo di attesa della valutazione da parte del titolare della richiesta di rettifica o dell’opposizione al trattamento. L’art. 20 ha poi introdotto un nuovo diritto, il diritto di portabilità, su cui ci soffermeremo di seguito. Per esercitare tali diritti, ai sensi dell’art. 12, l’interessato deve fare esplicita richiesta al titolare che ha un mese (prorogabili a tre mesi nei casi più complessi) per dare una risposta o dare un riscontro, anche in caso di diniego. La risposta data per iscritto (a patto che l’interessato non richieda forma orale), deve essere, inoltre, concisa, trasparente, facilmente accessibile ed espressa con un linguaggio semplice e chiaro.
236 CyberLaw, GDPR: le innovazioni in materia bancaria, in https://www.cyberlaws.it/2017/gdpr-banche- finanza/, 19 dicembre 2017.
237 Ai sensi del comma 1 dell’art. 12, le informazioni circa il trattamento devono essere fornite “in forma
concisa, trasparente, intellegibile per l’interessato e facilmente accessibile, uso di un linguaggio chiaro e semplice”. L’art. 13 precisa le informazioni che devono essere necessariamente rilasciate all’interessato:
oltre ai diritti degli interessati, l’identità del titolare del trattamento e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, l’identità dell’eventuale responsabile del trattamento, i destinatari dei dati.
responsabilizzazione e di minimizzazione dei dati. La novità è rilevante se si considera che, prima del GDPR, lo storage period non rientrava fra le informazioni da comunicare obbligatoriamente ed era il legislatore a imporre formalmente termini massimi per la conservazione dei dati conferiti nei data base dell’organizzazione238.
Un altro nuovo diritto di cui possono beneficiare gli user con l’introduzione del regolamento, è il diritto di portabilità, particolarmente interessante ai fini dell’analisi che stiamo portando avanti. Innanzitutto è opportuno precisare quali siano le condizioni che devono verificarsi per poter esercitare tale diritto: i dati personali acquisiscono la qualifica di “portabilità” se sono trattati con il consenso dell’interessato o sulla base di un contratto stipulato da quest’ultimo, e attraverso mezzi automatizzati (nell’informativa il titolare è tenuto ad indicare i dati portabili, così da incentivarne l’esercizio). L’art. 20 dà la possibilità all’interessato di “ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento”, così che possa trasmetterli a un altro titolare del trattamento, “senza impedimenti da parte del titolare del trattamento cui li ha forniti”239. Quest’ultimo al fine di essere compliant a tale norma deve fornire uno strumento che permetta di scaricare i dati, od occuparsi personalmente della loro trasmissione diretta al nuovo titolare240. Grazie a questa previsione, il legislatore ha voluto aumentare il controllo dei customers sui propri dati e il grado di competitività tra le organizzazioni, stimolando al contempo il processo di innovazione e di sviluppo di nuovi servizi.
3.4. Il ruolo dell’EBA nell’implementazione del principio di autenticazione forte: i RTS
Come abbiamo visto, il GDPR ha introdotto un quadro normativo armonizzato per garantire la tutela dei general data, di qualsiasi tipologia di dato personale a prescindere dalla sua natura e dal tipo di organizzazione alla quale si acconsente la trattazione. Il
238 CantieridellaPaDigitale, GDPR: ecco quali sono i nuovi diritti degli utenti, in http://cantieripadigitale.it/it/2018/04/04/gdpr-quali-nuovi-diritti-degli-utenti/, 4 aprile 2018.
239 La portabilità è vietata soltanto qualora leda i diritti del titolare o di terzi: ad esempio, se così facendo
vengono rilevati segreti commerciali del titolare. In tutti gli altri casi, i dati devono essere forniti "senza
ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa" (ai
sensi del comma 3 dell’art. 12), così da impedire i fenomeni di lock-in, ossia di blocco all'interno di un servizio.
legislatore comunitario richiede uno sforzo ulteriore agli operatori del settore dei pagamenti: dovranno adeguare le proprie security policy alle disposizioni del regolamento e al contempo predisporre misure di sicurezza adeguate per tutelare la riservatezza e l’integrità dei dati sensibili di pagamento e delle informazioni personali degli utenti241, così da garantirne un adeguato livello di sicurezza durante la prestazione dei servizi di pagamento online, come richiesto dalla PSD2. Si tratta di disposizioni che esprimono la volontà del regulator di promuovere uno sviluppo sostenibile del sistema dei pagamenti dell’area dell’euro, nel quale la possibilità di operare concessa ad un numero crescente di player sia controbilanciata dalla previsione di obblighi a carico degli stessi volti ad aumentare la fiducia in loro risposta dai consumatori. Con specifico riferimento alla protezione dei dati personali trattati dai Payment Service Providers (PSPs), l’art. 94 della PSD2 prevede che possano accedere, trattare e conservare soltanto quei dati considerati “necessari alla prestazione dei rispettivi servizi di pagamento, solo dietro consenso esplicito dell’utente dei servizi di pagamento”. Il legislatore comunitario conscio della criticità dei rischi operativi e di sicurezza legati alla prestazione di questa specifica categoria di servizi, con l’art. 95, obbliga i PSPs a predisporre all’interno della propria organizzazione delle misure adeguate al fine di mitigare e controllare tali rischi, nonché dei piani di intervento volti a gestire gli “incidenti operativi e di sicurezza gravi” (da notificare prontamente alle autorità competenti) e a ripristinare tempestivamente le normali condizioni di operatività.
Ma la previsione che più è emblematica della volontà di rafforzare la sicurezza dei sistemi di pagamento è quella contenuta nell’art. 97: ogni PSP deve applicare il “principio di autenticazione forte del cliente (strong customer authentication – SCA)” quando il pagatore:
- Accede al suo conto di pagamento online;
- Dispone un’operazione di pagamento elettronico;
- Effettua qualsiasi azione, tramite un canale a distanza (remoti, quali online payment e m-payment), che può comportare un rischio di frode nei pagamenti o altri abusi.
Tali rischi, se non opportunamente prevenuti e mitigati, possono disincentivare l’user dal ricorrere ai servizi di pagamento innovativi basati proprio sulle suddette azioni, con
241 Si tratta sostanzialmente delle credenziali personalizzate messe a disposizione dalla banca detentrice
conseguenze negative anche sul processo di sviluppo del sistema dei pagamenti voluto dalla PSD2. È fondamentale che il prestatore di servizi di radicamento del conto (ASPSP)