Ferretti (UniBo): "Bisognerebbe smettere di ancorare la digitalizzazione dei servizi finanziari al "diritto analogico"

“Bisognerebbe smettere di ancorare la digitalizzazione dei servizi finanziari al “diritto analogico”. Servirebbe un cambio di rotta radicale”. Questo è un diritto che proviene dal passato e il legislatore europeo non se ne sta liberando”. Sono le parole di Federico Ferretti, professore associato di diritto dell’Economia all’Università di Bologna sul tema dell’open banking e le troppe zone grigie del conflitto tra la legislazione europea sui pagamenti e la tutela dei dati personali. La confluenza tra il settore bancario e la data economy ha rivelato un mercato nuovo in cui i diritti individuali sono a rischio. Secondo Ferretti, l’intersezione normativa tra la legge sui servizi di pagamento (PSD2) e la legge sulla protezione dei dati personali (GDPR) espone non solo uno scarso coordinamento, ma anche in crescente intreccio di nodi giuridici. Nel frattempo, nel 2021, oltre 60 Paesi hanno avviato iniziative in ambito open banking. Lo scorso anno, oltre 40 Stati hanno iniziato a muoversi verso l’open finance, l’applicazione del modello di open innovation ai servizi finanziari e assicurativi.

Federico Ferretti, professore associato di diritto dell’Economia all’Università di Bologna

Quali sono gli aspetti problematici che si configurano quando gli obblighi imposti dal GDPR devono trovare applicazione nell’open banking?

“Primo tra tutti, la confusione che si crea tra il collegamento della GDPR e la PSD2. Il Regolamento generale sulla protezione dei dati prevede una serie di fattispecie, tra cui, il consenso all’utilizzo dei dati. Nell’open banking, abbiamo delle norme in cui si chiede il consenso ma è contrattuale, che è diverso dal consenso del trattamento dei dati. Tuttavia, la PSD2 prevede anche un consenso esplicito al trattamento dei dati”.

Come rimanere, quindi, nella legittimità della norma?

“Il GDPR prevede che laddove i dati siano necessari per la conclusione del contratto, il consenso non dovrebbe neanche venir chiesto. Ci si chiede, quindi, se la PDS2 sia una normativa speciale rispetto al GDPR oppure no”.

Quale potrebbe essere il punto di incontro?

“Secondo l’European data protection supervisor, il consenso non serve perché è un contratto. In questo modo, con il consenso esplicito della PSD2 il garante introdurrebbe nel diritto privato dei Paesi membri dell’UE qualcosa di completamente innovativo. In nessun codice civile o commerciale è previsto che venga dato un consenso contrattuale diverso e separato dall’accordo contrattuale stesso. Il secondo aspetto sono le parti silenti (le persone che compaiono nei dati che sono in un conto, che può essere un cointestatario o una parte terza). Se faccio un bonifico o un pagamento regolare a un terzo, sono trattati anche i dati del terzo. Il garante europeo è intervenuto, prospettando che questo possa rientrare nel legittimo interesse, previsto nel GDPR. Anche questa è una norma difficile e di controversa applicazione e applicabilità. Inoltre, c’è l’ulteriore questione dei dati sensibili, sia del consumatore che di parti silenti terze, che sono quelli previsti dal GDPR. I dati finanziari non sono considerati dati sensibili. Tuttavia, possono rivelare informazioni di natura sensibile: per esempio, l’orientamento sessuale, lo stato sessuale, il credo religioso, l’appartenenza a un sindacato”.

Quali strumenti di tutela può sfruttare il terzo?

“L’unica tutela c’è laddove il giudice, guardando la questione in modo sistematico e analitico rispetto a quello che ha fatto finora il garante europeo, affermi che questo non rientri nel caso perché i diritti e gli interessi dei terzi devono prevalere sull’interesse economico di un fornitore di servizi”.

In Italia si registra una crescita dell’open banking nel primo semestre 2022. Gli importi transati sono cresciuti del 161% rispetto al semestre precedente. Cosa aspettarsi nei prossimi anni?

“Ci vorrebbe forse un approccio più interventista laddove si deve riconoscere che la persona (utente o piccola e media impresa) non sia in grado di aver quelle conoscenze e capacità decisionale e autonoma che vuole il legislatore. Siamo continuamente influenzati nella nostra autonomia decisionale, spinta sempre più da: pubblicità, servizi e motori di ricerca personalizzati.

Quali possono essere i pericoli?

“Discriminazioni, categorizzazioni, classificazione delle persone, se non addirittura la standardizzazione dei nostri comportamenti. Ricordiamo sempre che dietro a un software c’è sempre un programmatore. Smettiamo di pensare che l’intelligenza artificiale e tutti i software hanno il potere della neutralità e dell’oggettività. E dietro un programmatore c’è sempre qualcuno che lo indirizza”.

Che ruolo avranno in futuro l’intelligenza artificiale, i big data e i registri distribuiti nel settore dell’open banking?

“L’Unione europea è una superpotenza normativa ma deficitaria nel settore dell’industria tecnologica. Si sta cercando di incentivare e spingere l’industria tecnologica europea che attualmente viene schiacciata da Cina e Stati Uniti. Si continua a puntare sull’autonomia della persona. Si pensa l’uomo come “uomo economico”, capace e competente. Ma questi sono settori ad alta specializzazione. Mettere l’autonomia dell’utente al centro per metterlo alla pari sui servizi è quantomeno utopistico”.