SERVIZI FINANZIARI E DI PAGAMENTO: L’USO DI DATI PERSONALI DEVE ESSERE SU BASI PROPORZIONATE ED EQUE (EDPS)
“Financial and payment services: use of personal data should remain proportionate and fair” (PRESS RELEASE - August 23, 2023) “EDPS Opinion 38/2023 on the Proposal for a Regulation on a framework for Financial Data Access” (OPINION - August 22, 2023) “Opinion 39/2023 on the Proposal for a Regulation on payment services in the internal market and the Proposal for a Directive on payment services and electronic money services in the Internal Market” (OPINION - August 22, 2023)
EDPS - EUROPEAN DATA PROTECTION SUPERVISOR
https://edps.europa.eu/
EDPS – Link alla PRESS RELEASE
EDPS – Opinion 38/2023, Proposal for a Regulation on a framework for Financial Data Access
Il 22 agosto, il Garante europeo della protezione dei dati (EDPS - European Data Protection Supervisor) ha pubblicato due Pareri non vincolanti. Il primo riguarda una proposta di Regolamento della Commissione UE relativo a un Framework per l'accesso ai dati finanziari, mentre il secondo concerne una proposta di Regolamento e Direttiva sui servizi di pagamento nel mercato interno UE.
Entrambe le proposte mirano a favorire la condivisione dei dati, al fine di ampliare l’offerta di servizi e prodotti finanziari, offrendo nel contempo a individui e imprese la possibilità di un maggiore controllo sul trattamento dei propri dati.
Secondo tali proposte, individui e imprese gestirebbero l’accesso ai propri dati utilizzando appositi dashboard forniti dagli istituti finanziari. Ciò consentirebbe alle persone interessate di concedere, monitorare, limitare l’accesso alle informazioni. EDPS sottolinea che è necessario fornire ai singoli e alle organizzazioni informazioni complete, precise e chiare sul fornitore di servizi finanziari che richiede l'accesso ai loro dati, e per quali finalità.
Inoltre, EDPS pone in evidenza la necessità di specificare che la concessione di “autorizzazioni” per accedere ai dati finanziari non equivale a fornire il consenso ai sensi del GDPR. Pertanto, tutti i trattamenti di dati personali a seguito di una richiesta di accesso ai dati finanziari di un individuo devono possedere un adeguato riscontro giuridico ai sensi del GDPR.
Da ultimo, in considerazione dei dati personali “altamente sensibili” che potrebbero essere condivisi nel contesto del proposto Financial Data Access Framework, EDPS raccomanda di circoscrivere chiaramente le tipologie di dati personali che possono essere trattati e di escludere i dati ottenuti attraverso profilazione degli individui. Consiglia, inoltre, di approfondire la questione dei limiti alla combinazione delle informazioni finanziarie degli individui con altri tipi di informazioni personali (ad esempio, i dati ottenuti da fonti terze, come le reti di social media: tale pratica è già esplicitamente vietata nella legislazione settoriale in riferimento a determinati servizi finanziari).
Quanto alla Regulation and Directive on Payment Services, EDPS fornisce raccomandazioni in materia di prevenzione delle frodi, ponendo in evidenza che le categorie di dati personali trattate dai providers di servizi di pagamento in tale contesto dovrebbero essere chiaramente definite e strettamente limitate al necessario; inoltre, raccomanda che il Regolamento specifichi quale tipo di servizio di pagamento e quali payment service providers sarebbero autorizzati a trattare categorie particolari di dati personali.