Conto corrente, GDPR e PSD2

DiLinda Caroli

Conto corrente, GDPR e PSD2

Il 25 maggio entrerà in vigore nei Paesi dell’Unione europea il  Regolamento Generale sulla Protezione dei Dati (GDPR) e le banche dovranno adeguarsi a quanto previsto.

Le nuove disposizioni andranno osservate dagli Istituti di Credito che hanno  sede nell’Unione Europea, e anche da quelli che, pur se al di fuori dell’Unione, elaborano e trasmettono i dati dei cittadini di uno Stato Membro.

Ogni Istituto finanziario dovrà creare  nuovi registri delle attività di trattamento, dovranno essere garantite nuove misure di sicurezza dei dati che dovranno essere gestiti e conservati  in maniera conforme ai principi di protezione dei dati stessi.

Nasceranno nuove figure, coinvolte nel trattamento, e verranno definite le caratteristiche soggettive e le responsabilità di ciascun elemento facente parte del progetto.

Ma come si interfaccerà la GDPR con la  direttiva PSD2 (Payment Service Directive 2)?

In effetti si leggono alcuni punti di attrito tra le due discipline.

Sappiamo che la PSD2  mira a favorire lo sviluppo delle transazioni di pagamento digitali, per creare un mercato unico integrato, uniformando le regole tra prestatori di servizi di pagamento, i Payment Service Provider (PSP) col fine  di rafforzare la sicurezza del sistema e mirando a garantire un elevato livello di concorrenza e trasparenza nei confronti dei consumatori. Con l’entrata in vigore della direttiva  tutti i soggetti che utilizzeranno, per esempio, un conto corrente online, avranno la possibilità di compiere operazioni di pagamento o di accedere alla rendicontazione bancaria attraverso terze parti, i  c.d. Third Party Provider- TPP i quali, se autorizzati, potranno eseguire operazioni sul conto corrente,  ponendosi come  intermediari tra le banche e i loro clienti.

In questo modo nasceranno nuovi strumenti di pagamento e anche nuovi player del settore Fintech: aumenterà  la dinamica e la competitività del settore che darà vita a  una miglior offerta per il consumatore.

Ma per realizzare i servizi di cui sopra agli stessi dovranno essere comunicati dalle banche  tutta una serie di dati personali dei clienti.

Come sarà possibile tutto questo? E come risolvere la  questione della portabilità dei dati stessi?

I dati richiesti dai TPP, infatti, saranno soggetti alla titolarità da parte delle banche e di conseguenza, al fine del rispetto del principio dell’accountability, che ricorre in tutto il nuovo regolamento, le banche stesse dovranno garantirne la sicurezza in un’ottica di protezione dell’interessato. Ma tutto questo entrerà in conflitto con la normativa dettata dalla PSD2.

Il non rispetto del regolamento GDPR  prevede  ingenti sanzioni : fino a 20 milioni di euro o fino al 4% del fatturato globale, se superiore.

Sarà  quindi necessario coordinare  i due Regolamenti al fine di non rallentare o addirittura  bloccare lo sviluppo delle potenzialità del Fintech nel settore bancario.