In questo scenario, il GDPR gioca un ruolo centrale nella tutela dei diritti degli utenti per quanto riguarda l’accesso ai loro dati personali, la loro portabilità e persino la cancellazione.
Capire come queste regole si applicano concretamente al settore bancario è essenziale, soprattutto quando entrano in gioco le valutazioni inerenti le dinamiche tra open banking e affordability, definendo l’accesso ai finanziamenti per i consumatori.
Si tratta di aspetti rilevanti nei processi di credito, a fronte di decisioni finanziarie sempre più basate sui dati.
Cos’è il GDPR e come si applica all’open banking
Il termine GDPR sta per General Data Protection Regulation (in italiano Regolamento Generale sulla Protezione dei Dati) e fa riferimento al Regolamento Europeo n. 2016/679 del 27 aprile 2016.
Si tratta di una normativa adottata sia dal Parlamento che dal Consiglio europeo; ha per oggetto la tutela dei dati personali delle persone fisiche e la loro circolazione nell’UE.
In Italia la sua attuazione è stata predisposta con il D.Lgs. 101/2018, che ha sancito un adeguamento della normativa sulla privacy fino a quel momento in vigore.
Il rapporto tra open banking e GDPR è molto stretto dal momento che, come illustrato dall’Osservatorio del Politecnico di Milano, “l’Open Banking consiste nell’abilitare la condivisione dei dati tra gli attori del panorama bancario.”
Ciò è stato possibile a seguito dell’introduzione della cosiddetta PSD2 – Payment Services Directive 2 La PSD2 e il GDPR operano su piani distinti ma complementari: la prima disciplina l’accesso ai conti di pagamento e i servizi di pagamento, il secondo regola il trattamento dei dati personali coinvolti in tali operazioni.
I principi fondamentali del GDPR
Nel contesto dell’open banking, il GDPR stabilisce le “regole del gioco” per qualsiasi trattamento dei dati personali e dunque il modo in cui essi possono essere utilizzati.
Tutto ruota attorno al concetto di dato personale, il quale è stato definito in questo modo: “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.
È una definizione volutamente vaga, in grado di adattarsi al presente nonché a ciò che può essere percepito come dato personale in futuro.
Ecco una panoramica dei principi chiave del GDPR, fondamentali anche nell’open banking e definiti all’art.5 del Regolamento Europeo:
- Il GDPR prevede i principi di liceità, correttezza e trasparenza (art. 5(1)) e introduce il principio di responsabilizzazione – accountability (art. 5(2)).: l’utente deve capire chi tratta i dati e per quale scopo.
- Precisione e aggiornamento: i dati devono essere corretti e aggiornati.
- Limitazione per quanto riguarda le finalità: i dati si possono usare solo per obiettivi dichiarati e legittimi.
- Minimizzazione: si raccolgono solo i dati necessari, non “tanto per”.
- Conservazione per un tempo definito: non si tengono i dati più del necessario.
- Integrità dei dati e disposizione di misure volte a tutelarne la riservatezza: sicurezza tecnica e organizzativa adeguata.
Applicazione specifica al settore finanziario
L’open banking implica la condivisione di informazioni bancarie tramite API con soggetti terzi autorizzati (TPP).
Affinché ciò sia possibile deve esserci sempre il consenso del cliente nonché il rispetto dei principi del GDPR nella gestione e tutela dei suoi dati personali.
Per dirlo in parole semplici, se l’open banking abilita l’accesso ai dati, il GDPR ne disciplina la trasparenza, la base giuridica, i diritti dell’utente e le misure di protezione, garantendo una gestione del dato tracciabile, proporzionata e difendibile.
I tuoi diritti sulla Privacy dei dati finanziari
Le informazioni finanziarie dell’open banking rientrano a pieno titolo tra i dati personali tutelati dal Regolamento europeo e dunque dal GDPR.
Tali disposizioni preservano il diritto dell’utente a mantenere il pieno controllo sulle informazioni che lo riguardano, anche quando vengono condivise tra gli attori finanziari.
In concreto, il GDPR riconosce il diritto di accedere ai propri dati, di preservarne l’integrità e la riservatezza in caso di condivisione con altri operatori e, in determinate condizioni, di chiederne la cancellazione.
Il diritto alla cancellazione non si applica quando il trattamento è necessario per adempiere a obblighi legali o per l’accertamento, esercizio o difesa di un diritto in sede giudiziaria.
Diritti che si applicano a tutte le parti che vengono autorizzate, nel rispetto di finalità chiare e consenso esplicito.
Come le banche gestiscono i tuoi dati
Banche e TPP operano generalmente come titolari autonomi del trattamento per le rispettive finalità, ciascuno responsabile del rispetto del GDPR per i trattamenti di propria competenza.
La condivisione avviene all’interno di un perimetro normativo definito da PSD2 e GDPR, che impone regole stringenti su consenso, sicurezza e tracciabilità dei trattamenti.
Consenso e trasparenza
Il trattamento dei dati deve basarsi su una valida base giuridica ai sensi dell’art. 6 GDPR (ad esempio esecuzione del contratto o obbligo legale). Il consenso richiesto dalla PSD2 per l’accesso ai conti non coincide necessariamente con il consenso come base giuridica ai sensi del GDPR.
Condivisione dati con terze parti (TPP)
Le informazioni possono essere trasmesse esclusivamente a fornitori di terze parti o Third Party Provider (TPP); essi devono essere autorizzati, iscritti agli albi e soggetti a vigilanza. La condivisione è limitata ai dati necessari al servizio richiesto dall’utente.
Protezione dei dati nelle API e negli aggregatori
Uno degli aspetti più rilevanti dell’open banking è la protezione dei dati finanziari: un fattore che passa soprattutto dall’architettura tecnica che ne consente condivisione tra banche e TPP.
A fungere da canale sono le cosiddette API, definite dall’Osservatorio del Politecnico di Milano in questo modo:
“acronimo di Application Programming Interface, sono un insieme di funzioni e procedure (in sostanza, si tratta di una stringa di codice) che consentono a un’applicazione di accedere a funzionalità, dati e/o audience di altre applicazioni o altri servizi digitali.”
Nell’open banking si fa riferimento ad API aperte: le cosiddette Open API.
Esse sono progettate per operare secondo criteri di sicurezza by design e by default.
I dati devono essere utilizzati nel rispetto dei principi del GDPR, mantenendo un elevato livello di affidabilità dell’intero ecosistema open banking.
Conclusione: Privacy protetta nell’open banking
L’open banking rappresenta una delle evoluzioni più rilevanti del settore finanziario introdotte con la digitalizzazione. La sua sostenibilità nel tempo – che è l’aspetto che più ha destato perplessità – dipende dalla capacità di coniugare innovazione e tutela dei diritti.
L’introduzione del GDPR ha fornito il quadro normativo di riferimento necessario affinché la condivisione dei dati finanziari avvenga in modo consapevole e sicuro, restituendo all’utente il controllo sulle proprie informazioni personali.
Il risultato è un equilibrio tra apertura dei dati e responsabilità dei soggetti coinvolti. Un aspetto destinato a nuovi aggiornamenti, a cominciare dalla direttiva PSD3: è qui che si gioca il futuro dell’open banking come modello affidabile e trasparente.