Piata de plati online se va deschide de anul viitor pentru noi prestatori de plati, odata cu expirarea termenului de transpunere a directivei revizuite privind serviciile de plata (PSD 2), la 13 ianuarie 2018. Noile reglementari vor acorda acces la infrastructura si datele bancilor unor noi actori (companii de tehnologie, comercianti, operatori de telefonie etc.) ca sa initieze plati in numele clientilor si sa ofere acestora date agregate despre conturile lor deschise la mai multe banci. Pentru accesarea datelor va fi necesar acordul explicit al clientilor.
In practica, noile reglementari au potentialul de a reaseza industria serviciilor de plata oferind o serie de oportunitati celor nou intrati pe piata platilor online, dar si bancilor care au sansa de a-si consolida pozitia utilizand instrumentele puse la dispozitie de PSD 2.
Odata cu oportunitatile, apar insa si unele riscuri, prezentul articol propunandu-si sa raspunda la cateva intrebari ce deriva din respectarea legislatiei in materia protectiei datelor cu caracter personal in procesul de implementare al PSD 2.
Astfel, in timp ce PSD2 are in vedere deschiderea bazelor de date ale bancilor, o alta reglementare europeana, respectiv regulamentul general privind protectia datelor cu caracter personal (GDPR) care va intra in vigoare in mai 2018, vizeaza tocmai protejarea acestor date.
Aparent aflate in conflict, cele doua reglementari au, de fapt, obiective comune: punerea clientilor in controlul propriilor date si pastrarea acestor date in siguranta. Aplicarea lor coordonata ridica insa mai multe intrebari, iar prezentul articol analizeaza doua dintre ele, respectiv: cui ii revine obligatia de a obtine consimtamantul clientului si ce date personale se transmit noilor actori?
Consimtamantul clientului: Cine trebuie sa il obtina?
Pentru a avea acces direct la informatiile despre contul de plata al clientului si a utiliza infrastructura bancilor pentru a facilita furnizarea serviciilor de initiere a platilor, respectiv serviciile de informare cu privire la conturi, potrivit PSD 2, prestatorii de servicii de plata terti trebuie sa aiba consimtamantul explicit al clientului.
In principiu, este o cerinta care corespunde cu dreptul la portabilitatea datelor introdus de GDPR, dar in practica, PSD 2 si reglementarile europene in aplicarea PSD 2 nu raspund la o intrebare cheie - cine ar trebui sa obtina consimtamantul clientului ? Banca sau tertul prestator de servicii?
Conform reglementarilor privind protectia datelor, bancile sunt operatori de date cu caaracter personal si raspund pentru scopul si modul in care datele personale sunt procesate si distribuite de catre banca.
Potrivit indrumarilor emise de Grupul de lucru, art. 29 privind protectia datelor referitoare la dreptul la portabilitatea datelor, operatorii de date (adica bancile) raspund de punerea in aplicare a garantiilor, ca actioneaza cu adevarat in numele persoanei vizate atunci cand transmit date in baza dreptului la portabilitatea datelor.
In plus fata de cerintetele impuse de GDPR pentru transferul datelor, PSD 2 adauga cerinte suplimentare, mentionand ca tertii prestatori de servicii au acces numai la informatiile necesare in scopul / scopurile legate de furnizarea serviciilor de informare cu privire la conturi sau de initierea platilor "solicitate in mod explicit de client".
In acest context, o solutie pentru respectarea cerintelor impuse de PSD 2, dar si de GDPR pentru transferul datelor poate fi initierea procesului de obtinere a consimtamantului clientilor de catre tertii prestatori de servicii de plata, bancile urmand sa confirme sau sa obtina in alt mod acordul direct al clientilor lor pentru transferul datelor cu caracter personal.
Pentru o protectie cat mai mare a clientilor, confirmarea acordului poate viza identitatea tertilor prestatori de servicii carora doresc sa le impartaseasca date, datele si frecventa transmiterii, precum si data de expirare a consimtamantul pentru transferul datelor cu caracter personal.
Un astfel de proces in doua etape (in etapa 1 tertul prestator obtine consimtamantul, iar in etapa 2 banca confirma consimtamantul) presupune anumite compromisuri in calitatea experientei clientului, dar este de natura sa asigure o mai buna protectie a acestuia.
Solutia prezentata este imbratisata de o parte a industriei bancare la nivel european, dar multe banci inca analizeaza care este cel mai bun compromis intre experienta utilizatorilor si cerintele in materia protectiei datelor. Aplicarea acestei solutii in Romania va depinde de pozitia bancilor locale, dar si de opinia autoritatilor nationale care pot aduce mai multe lamuriri in procesul de transpunere al PSD 2 si de aplicare al GDPR.
Ce date sunt transmise tertilor prestatori de servicii de informare? Date sensibile? Date istorice?
Actualul standard tehnic de reglementare privind autentificarea stricta a clientilor si comunicarea comuna si sigura, emis in aplicarea PSD2 (Regulatory Technical Standard regarding Strong Customer Authentication and Common and Secure Communication - RTS), prevede ca bancile vor trebui sa furnizeze prestatorilor de servicii de informare cu privire la conturi aceleasi informatii care sunt disponibile clientilor atunci cand acceseaza direct informatiile contului de plata, mai putin "datele sensibile privind platile". In orice caz, informatiile vizeaza doar conturile de plata accesibile online.
Ce inseamna insa "datele sensibile privind platile"? Potrivit PSD 2, acest concept include toate datele care pot fi utilizate in scopul fraudarii, inclusiv elemente de securitate personalizate, dar nu si numele titularului contului si numarul de cont. Desi definit, conceptul este unul foarte larg care lasa la latitudinea bancilor stabilirea datelor pe care le considera sensibile.
Aceasta lipsa de claritate cu privire la ceea ce constituie datele sensibile privind platile creeaza provocari pentru interpretarea si punerea in aplicare a RTS si creste riscul neatingerii scopului urmarit de PSD 2.
Fara alte indrumari, bancile ar putea fi nevoite sa adopte o abordare foarte adversa la risc si sa elimine toate datele care ar putea intra in categoria de date sensibile de plata ca sa evite incalcarea PSD2.
De asemenea, o intrebare importanta este in ce masura tertii prestatori de servicii de informare cu privire la conturi vor avea acces la datele istorice ale contului de plati? In acest sens RTS nu aduce nici o limitare, ba dimpotriva prevede ca, in masura in care se acceseaza date istorice mai noi de 90 de zile, nu trebuie aplicate cerinte de autentificare stricta a clientilor (per a contrario permitand transmiterea de date mai vechi de 90 de zile cu conditia autentificarii stricte a clientilor).
Asadar, RTS creeaza tertilor prestatori de servicii de informare cu privire la conturi premisele crearii unor baze de date extrem de solide din prima zi de conectare la interfetele bancilor.
Concluzii
Implementarea PSD 2 presupune coordonarea cu prevederile GDPR, cele doua reglementari fiind complementare.
Indrumarea autoritatilor de reglementare nationale si europene cu privire la concilierea cerintele din PSD2 si GDPR este foarte importanta, mai ales avand in vedere sanctiunile mari impuse de GDPR (pana la 4% din cifra de afaceri globala anuala).
Lipsa unor astfel de indrumari poate determina anumite banci sa acorde prioritate respectarii GDPR in detrimentul PSD2.
O astfel de situatie ar avea ca efect limitari ale accesului tertilor la date, precum si interpretari foarte stricte ale cerintei consimtamantului. Prin urmare, serviciile inovatoare ale tertilor ar fi mai greu de folosit cu efecte negative atat pentru consumatori, cat si pentru intregul proces de deschidere a pietei de servicii de plati online.
Un articol semnat deLorena Butusina, Avocat in cadrul Reff&Asociatii - membra a Deloitte Legal, specializata in drept bancar, servicii de plata si creditare
