La sicurezza dei pagamenti digitali: cosa dice il GDPR
Si stanno diffondendo sempre più i sistemi di pagamento digitale attraverso lo sviluppo crescente di servizi mirati a semplificare la vita degli utenti. L’espansione di queste nuove modalità di pagamento è stata oggetto di interventi da parte del Garante per la protezione dei dati personali, il quale si era espresso già prima del Regolamento 679/2016 (GDPR), a tutela degli utenti che effettuano acquisti di beni e servizi digitali utilizzando nuove forme di pagamento elettronico.
Cosa sono i pagamenti digitali
Si definiscono pagamenti digitali quei pagamenti effettuati per l’acquisto di beni o servizi con carte di pagamento, credito telefonico, borsellino elettronico o addebito diretto su conto corrente.
Si possono distinguere: Old Digital Payment (es. carte di credito tramite POS tradizionale) e New Digital Payment (pagamenti che avvengono tramite PC e Tablet, Telefono e carta su POS virtuale). Se viene utilizzato lo smartphone per l’acquisto di prodotti e servizi (esclusi i contenuti digitali) attraverso il telefono cellulare si entra nella categoria dei Mobile Payment & Commerce.
Il GDPR e i servizi di pagamento
Il consumatore che aderisce a questi nuovi “servizi di pagamento” fornisce alle società che li gestiscono alcuni dati personali, spesso inconsapevolmente o comunque con scarsa attenzione.
Il GDPR stabilisce che il titolare del trattamento può utilizzare i soli dati personali degli utenti necessari all’erogazione del servizio richiesto.
In particolare la normativa prevede legittimità solo per quel trattamento che trovi la propria base giuridica nel contratto fra interessato (l’utente che richiede il servizio) e il Titolare del trattamento (colui che lo presta), conseguentemente qualunque ulteriore fine il Titolare voglia perseguire o ulteriore dato voglia raccogliere o trattare potrà farlo legittimamente soltanto secondo quanto previsto dagli artt. 6, 7, 9 o 10 del Reg. UE 2016/679.
Tutto ciò significa che, se viene richiesto agli utenti di prestare il proprio consenso per ulteriori finalità, ad esempio per: attività di profilazione, marketing, etc. è necessaria una base giuridica alternativa che è il “consenso al trattamento da parte dell’interessato”. Si tenga presente che il consenso è sempre revocabile e se prestato deve essere informato, esplicito e libero.
La profilazione
Per profilazione si intende l’insieme delle attività di raccolta ed elaborazione dei dati inerenti agli utenti di un servizio, al fine di suddividerli in gruppi a seconda del loro comportamento (segmentazione).
il Titolare del trattamento deve richiedere all’interessato il consenso alla profilazione e al monitoraggio, o per azioni di marketing diretto e/o alla cessione dei dati a terze parti (relative anche alle abitudini di acquisto). Tuttavia, soprattutto in passato, i Titolari richiedevano il consenso per queste finalità quale condizione essenziale per accedere al servizio di pagamento digitale,.
Secondo le disposizioni del GDPR, questa condotta non è legittima e costituisce una violazione.
Infatti l’art. 7 comma 4 del GDPR prevede espressamente che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio sia condizionata alla prestazione del consenso al trattamento di dati personali non necessari all’esecuzione di tale contratto”.
Le abitudini, i gusti e le informazioni sulle azioni che compiamo hanno un valore di mercato e influenzano il mondo economico e del marketing, pertanto l’interessato deve averne consapevolezza e tutelarle.
La valutazione d’impatto
In ragione della congenita inconsapevolezza dell’interessato che a causa del “mezzo” non può comprendere pienamente l’utilizzo dei suoi dati personali da parte del Titolare è previsto dal Regolamento Europeo che l’interessato non solo sia informato, ma che quando un trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), i titolari siano onerati di svolgere una cosiddetta valutazione di impatto prima di iniziare il trattamento, consultando se del caso anche l’autorità di controllo (Garante).
Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l´osservanza delle disposizioni del Regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio.
Le linee guida del WP29 offrono alcuni chiarimenti sul punto, in particolare, precisano quando una valutazione di impatto sia obbligatoria (oltre ai casi espressamente indicati dal regolamento all´art. 35), chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista (fornendo alcuni esempi basati su schemi già collaudati in alcuni settori), e la necessità di interpretarla come un processo soggetto a revisione continua. La valutazione di impatto permette di realizzare concretamente l´altro fondamentale principio fissato nel regolamento 2016/679, ossia la protezione dei dati fin dalla fase di progettazione cosiddetta data protection by design.
L’ allegato n. 1 al provvedimento n. 467 dell’11 ottobre 2018 (Pubblicato sulla Gazzetta Ufficiale n. 269 del 19 novembre 2018) Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto indica quali siano i trattamenti soggetti alla PIA, riportandovi i “Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).”
Pertanto non sarà possibile per le società dei servizi Mobile Payment sfuggire alla redazione di un DPIA.
La responsabilità della PIA spetta al titolare, anche se la conduzione materiale della valutazione di impatto può essere affidata a un altro soggetto, interno o esterno all’organizzazione. Il titolare ne monitora lo svolgimento consultandosi con il responsabile della protezione dei dati (RPD, in inglese DPO) e acquisendo – se i trattamenti lo richiedono – il parere di esperti di settore, del responsabile della sicurezza dei sistemi informativi e del responsabile IT. Tutte queste competenze sono presenti all’interno dell’organico di Nord Pas e la redazione della PIA è una delle attività che viene svolta dai consulenti. In questo modo i rischi che l’utente corre dovrebbero essere costantemente monitorati e i dati personali protetti da possibili data breach.
