Guide e report
GDPR: cosa comporta per i dati di pagamento dei clienti
Scopri quale sarà l'impatto del GDPR sull'elaborazione dei pagamenti e come proteggere i diritti dei consumatori mantenendo le cose semplici per la tua azienda.
Scritto da: Peter Cooper, esperto di sicurezza delle informazioni di Adyen
Con oltre 20 anni di lavoro a stretto contatto con infrastrutture, sicurezza, sistemi IT e processi, Peter vanta una vasta esperienza nella sicurezza delle informazioni. Non c'è un giorno uguale all'altro. Potrebbero capitare attività dedicate a ingegneria e analisi della sicurezza, sessioni di pianificazione strategica insieme ai membri del consiglio di amministrazione o progetti a capo di task force sulla conformità per riferire alle autorità di regolamentazione.
Al momento, c'è grande fermento attorno al nuovo regolamento generale sulla protezione dei dati (GDPR). Ho ricevuto molte richieste da parte di aziende preoccupate per la scadenza imminente e che non sono sicure dei passi da compiere per quanto riguarda i lorodati di pagamento.
Questo articolo farà luce sulla situazione e ti aiuterà a capire:
- Che cos'è il GDPR e perché è una news positiva per le aziende
- Cosa comporta il GDPR per i dati di pagamento (e che cambia rispetto ai dati per finalità di marketing)
- Diritti dei consumatori e conformità
- I passi da compiere
GDPR in sintesi
Protezione dei dati fin dalla progettazione e protezione per default
La Commissione europea riassume il GDPR come: protezione dei dati fin dalla progettazione e protezione per impostazione predefinita. Questo significa che ogni passaggio di qualsiasi azione che implichi il trattamento di dati personali deve tener conto a priori della protezione dei dati e della privacy. Una volta rilasciato un prodotto o un servizio, devono essere applicate automaticamente le più rigorose misure per la tutela della privacy.
It’s simply an evolution of regulations already in place.
Si tratta del rispetto per le persone. Non c'è nulla di nuovo: è una semplice evoluzione delle normative già in atto a tutela della privacy dei consumatori.
È un problema di cui qui ad Adyen discutiamo fin dal mio primo giorno; è nel nostro DNA e queste nuove normative avranno un impatto limitato sulle nostre operazioni interne. Dovrebbe essere un sollievo per i nostri clienti che hanno a cuore la privacy dei propri clienti.
Semplificare le attività transnazionali
Storicamente, l'UE ha sempre avuto questo ideale di voler proteggere i dati personali. Il GDPR sta semplicemente standardizzando le migliori pratiche esistenti in più paesi, assicurando che la protezione dei dati sia la stessa in tutti i mercati dell'UE e che i diritti dei consumatori siano costantemente applicabili per legge.
Dal punto di vista aziendale, il GDPR aumenterà la coerenza dei processi, la chiarezza sulla direzione da prendere e comporterà una minore confusione in ambito transnazionale. Non bisognerà più preoccuparsi delle differenze tra Francia e Germania o che i diritti in Spagna siano diversi dai quelli dei Paesi Bassi.
La notizia è ottima anche per le aziende al di fuori dell'UE che vendono ai consumatori europei. Sarà possibile identificare i punti di contatto tra il diritto UE e le leggi del proprio paese e capire quali leggi sono equivalenti, il che semplifica ulteriormente le cose.
Cosa comporta il GDPR per i dati sui pagamenti
La base giuridica per il trattamento dei dati di pagamento può differire da quella per il trattamento dei dati a fini di marketing. Quando si propone materiale di marketing a qualcuno, bisogna ottenere il suo consenso. È abbastanza semplice. Ma per i pagamenti si parla di consenso? O di qualcos'altro?
Esecuzione di un contratto
Esistono molte altre ragioni per cui si possono trattare legalmente i dati ai sensi del GDPR. Quando si tratta di dati di pagamento, la ragione ovvia è l'esecuzione di un contratto, ovvero: ho bisogno di queste informazioni per poterti fornire il bene/servizio che hai richiesto.
"L'esecuzione di un contratto" non dipende da un consenso prolungato.
Quando il trattamento dei dati deve avvenire al fine di garantire l'esecuzione di un contratto, la cosa interessante è che non è necessario un consenso prolungato, se l'uso dei dati è richiesto per il ciclo di vita del prodotto o del servizio (come abbonamenti, garanzie o riaccrediti su carta di credito). Questi dati non possono comunque essere utilizzati per nessun altro scopo. Tuttavia, dimostrare di star fornendo un bene o un servizio è molto più facile che dimostrare di essere in possesso dei consensi necessari o gestire eventuali ritiri di consenso.
Gestire i diritti dei consumatori
Il GDPR classifica i ruoli dei dati come segue:
- Soggetto interessato: il consumatore
- Titolare del trattamento: l'azienda (ossia, tu)
- Uun responsabile terzo incaricato dal titolare del trattamento (es. Adyen)
Il titolare del trattamento è responsabile del rapporto con l'interessato. Può incaricare una terza parte (come Adyen) di trattare i dati, ma è suo compito stabilire lo scopo (o gli obiettivi) e la base giuridica per il trattamento.
Tutte le terze parti devono rispettare i termini concordati dal titolare del trattamento e dall'interessato. A tal fine, il titolare del trattamento dei dati deve disporre di un accordo di trattamento dei dati (DPA) per ciascuno di essi. Il nostro DPA è stato progettato per proteggerti; è fortemente allineato con le transazioni di pagamento, quindi dimostra la tua conformità al GDPR (almeno dal punto di vista dei pagamenti).
Diritti dell'interessato
Vi sono alcuni dettagli interessanti in merito ai diritti dell'interessato stabiliti per legge, soprattutto quando si tratta di dati di pagamento.
Diritto di accesso
Gli interessati hanno il diritto di accedere a tutti i dati che un'azienda detiene su di loro in qualsiasi momento, compresi i dati di pagamento. Una domanda che mi fanno spesso è:
Cosa devo fare se un cliente richiede di visualizzare i propri dati?
Come responsabili del trattamento dei dati, abbiamo l'obbligo legale di assistere il titolare del trattamento dei dati a fornire tali informazioni. Abbiamo reso la procedura la più semplice possibile; basta contattare il nostro team di assistenzae fornire un "riferimento PSP".
Una cosa da tenere a mente è che esiste un grosso rischio nelle richieste a cui hanno diritto gli interessati: possono essere utilizzate per commettere frodi. Devi fare attenzione ad autenticare il cliente prima di fornire le informazioni, se non vuoi che un ladro di identità sfrutti il tuo sistema per rubare informazioni sui consumatori.
Diritto all'oblio: quali dati puoi (e non puoi) eliminare
Un altro importante diritto dell'interessato è il diritto all'oblio. In un contesto di marketing, significa eliminare ogni dato archiviato del consumatore e non contattarlo mai più. È molto semplice. Ma quando si tratta di dati di pagamento e ci sono situazioni in cui alcuni dati non possono essere revocati, non è più così chiaro.
Ci sono situazioni in cui alcuni dati non possono essere revocati.
Ad esempio, in uno scenario di vendita di prodotti, in cui sono in atto garanzie legali, per alcuni marchi di carte è previsto un periodo di riaccredito che può durare tre anni e mezzo. Oppure, se il cliente ha un abbonamento annuale che non è stato annullato, è necessario conservare i dati per continuare la fatturazione.
È possibile che il tuo cliente chieda di cancellare i suoi dati perché è stanco delle e-mail di marketing. Un buon servizio clienti deve prestare ascolto al cliente, porre domande e risolvere il problema. La rimozione dalla mailing list di marketing potrebbe anche essere sufficiente.
Spetta a te spiegare quali informazioni possono essere eliminate e quali devono essere conservate per un determinato periodo di tempo per motivi di conformità. Ma siamo qui per aiutarti. Valuteremo la richiesta a seconda di quanto previsto da un contratto (e altri obblighi che dobbiamo rispettare in qualità di istituzione finanziaria). Inoltre, ci assicureremo che tutto avvenga entro i tempi previsti dal GDPR.
Prepararsi per adesso e per gli anni a venire
Il GDPR non è uno sprint, ma una maratona.
Le autorità di regolamentazione osserveranno le aziende nel tempo, quindi è necessario iniziare a prepararsi ora se non lo si è già fatto. I primi passi che mi sento di suggerire sono:
Assicurati di disporre di DPA per tutti i tuoi fornitori. È fondamentale per la conformità.
Il GDPR non è uno sprint, ma una maratona.
Presta molta attenzione alle tue informative sulla privacy e alle basi giuridiche per il trattamento dei dati.
Inizia con questi piccoli accorgimenti e fatti strada un po' alla volta. Devi essere in grado di dimostrare che stai prendendo sul serio il GDPR e che stai lavorando proattivamente per aderire alle nuove linee guida.
Naturalmente, siamo nel primo periodo e i regolamenti non potranno che diventare sempre più chiari man mano che il GDPR viene messo in pratica. Ma alla fine credo sia importante ricordare che il GDPR è l'impulso a fare la cosa giusta. Come consumatore, lo apprezzo molto, e lo faranno anche i tuoi clienti.
Se desideri ricevere un DPA da Adyen, compilaquesto forme te lo invieremo. Per qualsiasi altra domanda sul GDPR, contatta il tuo Account Manager o il sales support.
Iscriviti alla nostra newsletter!
Compila il form e rimani aggiornato
Confermo di aver letto l'informativa sulla privacy di Adyen e acconsento all'utilizzo dei miei dati in conformità con essa.