La normativa MIFID (Markets in Financial Instruments Directive) è un atto del Parlamento Europeo i cui destinatari sono gli intermediari finanziari: essa impone alle imprese di investimento di operare una classificazione della propria clientela ai fini di modulare gli obblighi informativi da assolvere e le tutele da garantire. È soltanto una delle ipotesi, ma forse la più macroscopica, in cui le esigenze del mercato digitale entrano in conflitto con quelle di protezione dei dati personali previste dal GDPR, strumento che ha tra i suoi fini quello di bilanciare le esigenze di libera circolazione dei dati e loro protezione.

Il GDPR, visto da molti come un mostro e un ostacolo insormontabile al trattamento dei dati, in realtà si preoccupa proprio che questa operazione venga svolta in maniera lecita e trasparente, garantendo all’interessato il diritto di essere informato su detto trattamento e le modalità di esecuzione, nonché essere consapevole dei diritti che la norma gli concede, così da poterli esercitare in qualsiasi momento. Ogni singolo trattamento deve essere autorizzato e ciascuno Interessato deve essere portato a preventiva conoscenza per poter esprimere il necessario consenso. 

Il settore bancario, peraltro, sia per la natura dell’attività, sia per la richiamata normativa MIFID, prevede una rigorosa attività di profilazione proprio per garantire alla clientela l’assolvimento degli obblighi informativi dell’operatore e, a tal fine, viene imposto alle imprese di investimento di disporre una classificazione della propria clientela per modulare gli obblighi informativi e quelli successivi operativi. Proprio di questa classificazione il cliente deve essere informato, così come di eventuali conflitti di interesse, commissioni pagate a terzi, informazioni sulle perdite e così via. E’ chiaro che per poter adempiere a questo obbligo un intermediario ha necessità di conoscere, valutare, comparare le operazioni poste in essere da ciascun cliente e questa attività di monitoraggio deve essere continua e non occasionale.

Ecco quindi che gli Istituti di credito e gli operatori finanziari dovranno adeguarsi ad entrambi gli obblighi che gravano su di loro, operando in primis una accurata e personalizzata Valutazione di Impatto (DPIA), che appare come un necessario obbligo stante la tipologia di dati trattati, le tecnologie necessarie, la continuità nell’attività di profilazione. Tutto ciò andrà necessariamente a riflettersi sulle informative che, obbligatoriamente, dovranno fare menzione di come questa attività di profilazione non venga svolta su base contrattuale, vale a dire quella su cui si fonda il rapporto, bensì si configuri come obbligo di legge, previsto proprio nell’interesse e per la tutela del cliente. In questa fattispecie si ritiene obbligatoria la nomina di un DPO che, ai sensi dell’art. 37 assista il Titolare del Trattamento in questa sua delicata attività. 

• La problematica dei Third Parties Provider

Tutto ciò, però, viene messo in difficoltà con il recepimento della Direttiva UE 2366/15 relativa ai servizi di pagamento interno, la cosiddetta PSD2. Questa normativa consente agli utenti di utilizzare per i loro pagamenti i cosiddetti Third Parties Provider, i quali possono essere anche operatori di origine non bancaria. In sintesi potremo pagare, dal caffè fino a una macchina, tramite Amazon, Facebook e numerose altre piattaforme che si frapporranno tra cliente e operatore bancario. Senza voler entrare, in questa sede, nei numerosi aspetti tecnici e nelle tipologie di questi soggetti, è chiaro come tutto ciò andrà a influire non solo sul sistema bancario, ma, probabilmente, anche sulla nostra quotidianità e sui nostri dati personali che, obbligatoriamente, saranno oggetto di analisi da parte di operatori i cui scopi istituzionali, ricordiamolo, sono di natura economica e che hanno bisogno assoluto dei nostri dati. Sorge anche il dubbio se alcuni di questi dati possano sfuggire ad un controllo dell’operatore finanziario, obbligato alla profilazione, per finire in mano a chi della profilazione fa uso esclusivamente commerciale.

I dati pertanto dovranno essere resi disponibili a queste nuove figure, alle quali non sarebbero originariamente destinati, ma che devono essere agevolate nel loro ingresso sul mercato. Un punto di chiaro attrito con il GDPR e che, a livello operativo, lascia il dubbio se l’operatore bancario originario possa interpretare restrittivamente il concetto di dati sensibili e quindi non rilasciarli, ponendo in difficoltà il terzo, oppure interpretarlo in maniera estensiva, aprendo così i propri archivi ai nuovi intermediari. Problema non da poco, anche laddove si consideri il presumibile contenuto delle informative, che consentono il trattamento dati solo all’istituto bancario con fini di profilazione obbligatori per un rapporto. Che attività potrà legalmente svolgere il nuovo intermediario?

Si deve porre poi in evidenza un altro contrasto tra il GDPR e la normativa PSD: se infatti l’art 28 GDPR richiede che i rapporti tra Titolare e Responsabile del Trattamento siano disciplinati da un atto negoziale, gli artt. 65 e 66 PSD2 prevedono che al soggetto nuovo intermediario non possa essere richiesto alcun contratto per accedere ai dati del cliente di una banca che decide di utilizzarlo per i propri pagamenti.  Si tratta di problemi non da poco e che meritano la massima considerazione.