GDPR: cosa comporta per i dati di pagamento dei clienti

Scritto da: Peter Cooper, esperto di sicurezza delle informazioni di Adyen

Con oltre 20 anni di lavoro a stretto contatto con infrastrutture, sicurezza, sistemi IT e processi, Peter vanta una vasta esperienza nella sicurezza delle informazioni. Non c'è un giorno uguale all'altro. Potrebbero capitare attività dedicate a ingegneria e analisi della sicurezza, sessioni di pianificazione strategica insieme ai membri del consiglio di amministrazione o progetti a capo di task force sulla conformità per riferire alle autorità di regolamentazione.

Al momento, c'è grande fermento attorno al nuovo regolamento generale sulla protezione dei dati (GDPR). Ho ricevuto molte richieste da parte di aziende preoccupate per la scadenza imminente e che non sono sicure dei passi da compiere per quanto riguarda i lorodati di pagamento.

Questo articolo farà luce sulla situazione e ti aiuterà a capire:

La Commissione europea riassume il GDPR come: protezione dei dati fin dalla progettazione e protezione per impostazione predefinita. Questo significa che ogni passaggio di qualsiasi azione che implichi il trattamento di dati personali deve tener conto a priori della protezione dei dati e della privacy. Una volta rilasciato un prodotto o un servizio, devono essere applicate automaticamente le più rigorose misure per la tutela della privacy.

Si tratta del rispetto per le persone. Non c'è nulla di nuovo: è una semplice evoluzione delle normative già in atto a tutela della privacy dei consumatori.

È un problema di cui qui ad Adyen discutiamo fin dal mio primo giorno; è nel nostro DNA e queste nuove normative avranno un impatto limitato sulle nostre operazioni interne. Dovrebbe essere un sollievo per i nostri clienti che hanno a cuore la privacy dei propri clienti.

Storicamente, l'UE ha sempre avuto questo ideale di voler proteggere i dati personali. Il GDPR sta semplicemente standardizzando le migliori pratiche esistenti in più paesi, assicurando che la protezione dei dati sia la stessa in tutti i mercati dell'UE e che i diritti dei consumatori siano costantemente applicabili per legge.

Dal punto di vista aziendale, il GDPR aumenterà la coerenza dei processi, la chiarezza sulla direzione da prendere e comporterà una minore confusione in ambito transnazionale. Non bisognerà più preoccuparsi delle differenze tra Francia e Germania o che i diritti in Spagna siano diversi dai quelli dei Paesi Bassi.

La notizia è ottima anche per le aziende al di fuori dell'UE che vendono ai consumatori europei. Sarà possibile identificare i punti di contatto tra il diritto UE e le leggi del proprio paese e capire quali leggi sono equivalenti, il che semplifica ulteriormente le cose.

La base giuridica per il trattamento dei dati di pagamento può differire da quella per il trattamento dei dati a fini di marketing. Quando si propone materiale di marketing a qualcuno, bisogna ottenere il suo consenso. È abbastanza semplice. Ma per i pagamenti si parla di consenso? O di qualcos'altro?

Esistono molte altre ragioni per cui si possono trattare legalmente i dati ai sensi del GDPR. Quando si tratta di dati di pagamento, la ragione ovvia è l'esecuzione di un contratto, ovvero: ho bisogno di queste informazioni per poterti fornire il bene/​servizio che hai richiesto.

Quando il trattamento dei dati deve avvenire al fine di garantire l'esecuzione di un contratto, la cosa interessante è che non è necessario un consenso prolungato, se l'uso dei dati è richiesto per il ciclo di vita del prodotto o del servizio (come abbonamenti, garanzie o riaccrediti su carta di credito). Questi dati non possono comunque essere utilizzati per nessun altro scopo. Tuttavia, dimostrare di star fornendo un bene o un servizio è molto più facile che dimostrare di essere in possesso dei consensi necessari o gestire eventuali ritiri di consenso.

Il GDPR classifica i ruoli dei dati come segue:

Il titolare del trattamento è responsabile del rapporto con l'interessato. Può incaricare una terza parte (come Adyen) di trattare i dati, ma è suo compito stabilire lo scopo (o gli obiettivi) e la base giuridica per il trattamento.

Tutte le terze parti devono rispettare i termini concordati dal titolare del trattamento e dall'interessato. A tal fine, il titolare del trattamento dei dati deve disporre di un accordo di trattamento dei dati (DPA) per ciascuno di essi. Il nostro DPA è stato progettato per proteggerti; è fortemente allineato con le transazioni di pagamento, quindi dimostra la tua conformità al GDPR (almeno dal punto di vista dei pagamenti).

Vi sono alcuni dettagli interessanti in merito ai diritti dell'interessato stabiliti per legge, soprattutto quando si tratta di dati di pagamento.

Gli interessati hanno il diritto di accedere a tutti i dati che un'azienda detiene su di loro in qualsiasi momento, compresi i dati di pagamento. Una domanda che mi fanno spesso è:

Cosa devo fare se un cliente richiede di visualizzare i propri dati?

Come responsabili del trattamento dei dati, abbiamo l'obbligo legale di assistere il titolare del trattamento dei dati a fornire tali informazioni. Abbiamo reso la procedura la più semplice possibile; basta contattare il nostro team di assistenzae fornire un "riferimento PSP".​

Una cosa da tenere a mente è che esiste un grosso rischio nelle richieste a cui hanno diritto gli interessati: possono essere utilizzate per commettere frodi. Devi fare attenzione ad autenticare il cliente prima di fornire le informazioni, se non vuoi che un ladro di identità sfrutti il tuo sistema per rubare informazioni sui consumatori.

Un altro importante diritto dell'interessato è il diritto all'oblio. In un contesto di marketing, significa eliminare ogni dato archiviato del consumatore e non contattarlo mai più. È molto semplice. Ma quando si tratta di dati di pagamento e ci sono situazioni in cui alcuni dati non possono essere revocati, non è più così chiaro.

Ad esempio, in uno scenario di vendita di prodotti, in cui sono in atto garanzie legali, per alcuni marchi di carte è previsto un periodo di riaccredito che può durare tre anni e mezzo. Oppure, se il cliente ha un abbonamento annuale che non è stato annullato, è necessario conservare i dati per continuare la fatturazione.

È possibile che il tuo cliente chieda di cancellare i suoi dati perché è stanco delle e-mail di marketing. Un buon servizio clienti deve prestare ascolto al cliente, porre domande e risolvere il problema. La rimozione dalla mailing list di marketing potrebbe anche essere sufficiente.

Spetta a te spiegare quali informazioni possono essere eliminate e quali devono essere conservate per un determinato periodo di tempo per motivi di conformità. Ma siamo qui per aiutarti. Valuteremo la richiesta a seconda di quanto previsto da un contratto (e altri obblighi che dobbiamo rispettare in qualità di istituzione finanziaria). Inoltre, ci assicureremo che tutto avvenga entro i tempi previsti dal GDPR.

Il GDPR non è uno sprint, ma una maratona.

Le autorità di regolamentazione osserveranno le aziende nel tempo, quindi è necessario iniziare a prepararsi ora se non lo si è già fatto. I primi passi che mi sento di suggerire sono:

Assicurati di disporre di DPA per tutti i tuoi fornitori. È fondamentale per la conformità.

Presta molta attenzione alle tue informative sulla privacy e alle basi giuridiche per il trattamento dei dati.

Inizia con questi piccoli accorgimenti e fatti strada un po' alla volta. Devi essere in grado di dimostrare che stai prendendo sul serio il GDPR e che stai lavorando proattivamente per aderire alle nuove linee guida.

Naturalmente, siamo nel primo periodo e i regolamenti non potranno che diventare sempre più chiari man mano che il GDPR viene messo in pratica. Ma alla fine credo sia importante ricordare che il GDPR è l'impulso a fare la cosa giusta. Come consumatore, lo apprezzo molto, e lo faranno anche i tuoi clienti.

Se desideri ricevere un DPA da Adyen, compilaquesto forme te lo invieremo. Per qualsiasi altra domanda sul GDPR, contatta il tuo Account Manager o il sales support.