I servizi e le operazioni di pagamento realizzate tramite strumenti di open banking, disciplinate dalla PSD 2, sono strettamente correlate al trattamento dei dati personali, che trova la propria disciplina nel GDPR.
Ciò non solo per la quantità ingente di dati personali – identificativi, ma anche di natura sensibile (si pensi, ad esempio, ai pagamenti a mezzo bonifico di visite mediche) – che si possono desumere dall’accesso ai dati bancari dei diretti interessati e di eventuali terzi beneficiari, ma anche per il rischio che tali informazioni possano essere oggetto di successive elaborazioni, basate su decisioni automatizzate e quindi potenzialmente rientranti nell’ambito di applicazione dell’art 22 GDPR.
E’ necessario quindi operare un corretto giudizio di bilanciamento non solo tra gli interessi coinvolti ma anche tra i due strumenti normativi di riferimento, ovvero la PSD 2 ed il GDPR, che sono da ritenersi tra loro complementari.
Sul punto, sono peraltro intervenute le linee guida dell’EDPB del dicembre 2020, che hanno voluto chiarire i corretti presupposti per un trattamento legittimo di tali dati, ed il fondamento di un trattamento lecito ai sensi di entrambe le normative.
Si ricorda che la nostra Rivista ha dedicato alla tematica delle cautele nel trattamento dei dati personali correlati ai servizi di pagamento, la terza relazione del pomeriggio, del webinar organizzato per il 29 gennaio 2026 “Dati personali: nozione e trattamento in ambito bancario“.
Il fondamento di liceità del trattamento dei dati personali nei servizi di pagamento
La norma specifica sul trattamento dei dati personali nella Direttiva PSD 2 è l’art. 94, in base al quale “gli Stati membri autorizzano il trattamento dei dati personali da parte di sistemi di pagamento e di prestatori di servizi di pagamento se necessario per garantire la prevenzione, l’indagine e l’individuazione dei casi di frode nei pagamenti. La fornitura di informazione a persone fisiche in merito al trattamento dei dati personali e al trattamento di tali dati personali e di qualsiasi altro trattamento di dati personali ai fini della presente direttiva è effettuata in conformità della direttiva 95/46/CE, delle norme nazionali di recepimento della direttiva 95/46/CE e del regolamento (CE) n. 45/2001. I prestatori di servizi di pagamento hanno accesso, trattano e conservano i dati personali necessari alla prestazione dei rispettivi servizi di pagamento, solo dietro consenso esplicito dell’utente dei servizi di pagamento”.
Nell’ambito del GDPR invece, la principale base giuridica per il trattamento dei dati personali per la prestazione di servizi di pagamento è da ritenersi proprio l’art. 6, par. 1, lett. b), per cui il trattamento è necessario all‘esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.
Infatti, i servizi di pagamento disciplinati dalla PSD2 sono definiti all’allegato I della stessa e la prestazione di tali servizi è un requisito per la conclusione di un contratto in cui le parti hanno accesso ai dati relativi al conto di pagamento dell’utente di servizi di pagamento.
Il paragrafo 4 dello stesso articolo stabilisce poi le condizioni affinché i dati personali possano essere trattati per una finalità diversa da quella per la quale sono stati raccolti, ovvero se:
- si basa su un altro atto legislativo dell’Unione o degli Stati membri, che imponga un obbligo legale
- se l’interessato abbia prestato il proprio consenso
- se il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti è compatibile con la finalità iniziale.
Sotto questo profilo, l’art. 66, par. 3, lett. g), e l’art. 67, par. 2, lett. f), della PSD2, limitano considerevolmente le possibilità di trattamento per altre finalità: di norma non è consentito, a meno che l’interessato abbia prestato il proprio consenso o che il trattamento sia previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, a norma dell’art. 6, par. 4, del GDPR.
Tale norma, infatti, si ricorda che consente un ulteriore trattamento sulla base, ad esempio, di altri atti normativi come la normativa antiriciclaggio, che impone ai soggetti obbligati come i PSP di applicare le misure di adeguata verifica della clientela: pertanto, i dati personali trattati nell’ambito di un servizio disciplinato dalla PSD2 saranno quindi legittimamente soggetti a un ulteriore trattamento sulla base di almeno un obbligo giuridico gravante sul prestatore di servizi.
Il consenso esplicito quale base del trattamento
L’art. 94, par. 2, PSD2 richiede il consenso esplicito dell’utente dei servizi di pagamento per l’accesso ai dati del conto da parte dei prestatori terzi: tuttavia, tale consenso ha natura contrattuale e funzionale alla prestazione del servizio, e non coincide automaticamente con il consenso quale base giuridica ai sensi dell’art. 6 GDPR.
L’EDPB sottolinea che i prestatori di servizi di pagamento devono individuare correttamente la base giuridica del trattamento secondo il GDPR, che può essere, a seconda dei casi:
- l’esecuzione di un contratto
- l’adempimento di un obbligo legale
- il consenso GDPR.
In altri termini, il consenso esplicito richiesto dalla PSD2 non può essere utilizzato per legittimare trattamenti ulteriori o incompatibili con le finalità strettamente necessarie alla fornitura del servizio di pagamento.
Ne consegue che non è ammesso un utilizzo “estensivo” dei dati di pagamento per finalità diverse, quali marketing o profilazione commerciale, in assenza di una specifica e autonoma base giuridica conforme al GDPR.
Un profilo particolarmente rilevante riguarda il trattamento dei dati dei cosiddetti “taciti interessati”, ossia soggetti diversi dall’utente che ha prestato il consenso PSD2, come ad esempio beneficiari o controparti delle operazioni di pagamento.
L’EDPB ha chiarito infatti che tali dati possono essere trattati solo nella misura in cui ciò sia strettamente necessario all’esecuzione dell’operazione di pagamento, nel rispetto dei principi di limitazione della finalità, minimizzazione dei dati e proporzionalità, escludendo qualsiasi trattamento eccedente o non indispensabile.
L’applicazione dei principi generali GDPR per il trattamento dei dati delle operazioni di pagamento
Con riferimento ai principi di minimizzazione e sicurezza, l’EDPB evidenzia in particolare che i prestatori di servizi devono accedere esclusivamente ai dati pertinenti e necessari per la specifica operazione richiesta dall’utente, evitando ogni forma di raccolta generalizzata o preventiva.
Tale impostazione deve essere rafforzata attraverso l’applicazione dei principi di privacy by design e by default, l’adozione di misure tecniche e organizzative adeguate, e un rigoroso controllo degli accessi ai dati, anche alla luce degli obblighi di sicurezza previsti sia dal GDPR sia dalla normativa PSD2.
Per garantire il rispetto della trasparenza, è importante inoltre fornire agli utenti dei servizi di pagamento informative chiare, comprensibili e facilmente accessibili, che consentano agli interessati di comprendere quali dati siano trattati, per quali finalità e per quanto tempo.
In parallelo, il principio di responsabilizzazione (accountability) richiede ai soggetti obbligati di essere in grado di dimostrare in ogni momento la conformità dei trattamenti effettuati, anche attraverso adeguata documentazione e valutazioni preventive dei rischi.
Infine, particolare attenzione dovrà essere posta alla profilazione e ai processi decisionali automatizzati, in quanto l’uso dei dati di pagamento per tali finalità può comportare rischi elevati per i diritti e le libertà degli interessati e richiede pertanto specifiche garanzie, valutazioni d’impatto e basi giuridiche autonome, nel pieno rispetto degli artt. 22 e 35 GDPR.
La diversa nozione di dati sensibili fra GDPR e PSD 2
La PSD2 utilizza un concetto funzionale di dati sensibili relativi ai pagamenti, riferendosi in particolare alle credenziali di sicurezza personalizzate e alle informazioni che consentono l’autenticazione e l’esecuzione delle operazioni, ai fini della prevenzione delle frodi e della sicurezza del servizio.
Il GDPR, invece, qualifica come categorie particolari di dati personali solo quelle elencate all’art. 9, escludendo in linea generale i dati di pagamento, che restano comunque dati personali soggetti a piena tutela.
Ne deriva che, pur non essendo “sensibili” ai sensi del GDPR, i dati di pagamento richiedono livelli elevati di protezione, minimizzazione e sicurezza, senza che la qualificazione PSD2 possa giustificare deroghe ai principi del Regolamento.
