Servizi finanziari e di pagamento: l’uso dei dati personali dovrebbe rimanere proporzionato ed equo. Lo stabilisce il Garante europeo per la privacy che pubblica due pareri. Il primo sulla proposta di regolamento relativo a un quadro di accesso ai dati finanziari e il secondo sulla proposta di regolamento e direttiva relativi ai servizi di pagamento nel mercato interno dell’Ue. Entrambe le proposte mirano a promuovere la condivisione dei dati per ampliare l’offerta di servizi e prodotti finanziari, fornendo nel contempo agli individui o alle organizzazioni il controllo sul trattamento dei loro dati finanziari.
Cosa prevedono le due proposte
Secondo le proposte, gli individui e le organizzazioni gestirebbero l’accesso ai propri dati finanziari utilizzando dashboard forniti dagli istituti finanziari. Questo consentirebbe alle persone interessate di monitorare, limitare o concedere l’accesso alle loro informazioni. Il Garante sottolinea che, per conseguire questo obiettivo, gli individui o le organizzazioni dovrebbero ricevere informazioni complete, accurate e chiare sul fornitore del servizio finanziario che richiede l’accesso ai loro dati. Dovrebbero essere comunicate anche informazioni sul tipo di prodotto, pagamento o servizio per il quale verrebbero utilizzati i dati personali di una persona e sui tipi di dati richiesti.
L'”autorizzazione” non equivale al consenso
Il Garante, si legge in una nota, “accoglie con favore gli sforzi compiuti per garantire la coerenza delle proposte con il regolamento generale sulla protezione dei dati. Entrambe le proposte dovrebbero specificare che la concessione di “autorizzazioni” per accedere ai dati finanziari non equivale a dare il consenso ai sensi del Gdpr, cioè il regolamento generale sulla protezione dei dati. Allo stesso modo, tutti i trattamenti di dati personali a seguito di una richiesta di accesso ai dati finanziari di un individuo devono avere una base giuridica appropriata ai sensi del Gdpr”.
“Una maggiore condivisione dei dati finanziari dovrebbe aprire nuove opportunità per i singoli, non chiudere le porte – dice il Garante Wojciech Wiewiórowski -. Senza confini chiari, si potrebbero vedere prezzi più elevati per importanti servizi finanziari o l’esclusione di clienti con un profilo di rischio sfavorevole. Le autorità finanziarie e le autorità di protezione dei dati dovranno cooperare strettamente per garantire che le persone e i loro diritti fondamentali siano tutelati”.
No ai dati ottenuti dalla profilazione
Oltre a queste osservazioni generali, il Garante formula raccomandazioni specifiche per ciascuna proposta. In particolare, date le informazioni personali altamente sensibili che possono essere condivisi nel contesto del quadro proposto per l’accesso ai dati finanziari, il Garante, si legge ancora nella nota, “raccomanda di circoscrivere chiaramente i tipi di dati personali che possono essere trattati e di escludere i dati ottenuti attraverso la profilazione di una persona“.
Il Garante inoltre accoglie con favore l’elaborazione di orientamenti per stabilire limiti per il trattamento dei dati personali delle persone fisiche in relazione ai servizi finanziari. Per garantire che queste linee guida siano conformi alla legge sulla protezione dei dati, incluso il Gdpr, il Garante consiglia che il comitato europeo per la protezione dei dati sia formalmente consultato prima della loro adozione.
Escluso l’incrocio di dati ottenuti dai social
Il Garante consiglia inoltre che le linee guida approfondiscano i limiti della combinazione delle informazioni finanziarie degli individui con altri tipi di informazioni personali, come i dati personali ottenuti da fonti terze, come le reti di social media. Tale pratica è già esplicitamente vietata nella legislazione settoriale su determinati servizi finanziari, sottolinea il Garante.
Nell’affrontare il regolamento e la direttiva sui servizi di pagamento, il Garante fornisce raccomandazioni sulla prevenzione delle frodi, affermando che le categorie di dati personali che i prestatori di servizi di pagamento trattano in questo contesto dovrebbero essere chiaramente definite e limitate a quanto strettamente necessario. Il Garante raccomanda inoltre che il regolamento specifichi quale tipo di servizio di pagamento e quali prestatori di servizi di pagamento sarebbero autorizzati a trattare categorie speciali di dati personali.
