Το Ευρωπαϊκό Κοινοβούλιο ψήφισε υπέρ της αναθεώρησης του ξεπερασμένου πλαισίου προστασίας δεδομένων. Οι τράπεζες πρέπει να αναμετρηθούν με κάποιες αβέβαιες επιπτώσεις.
Τι συμβαίνει;
Στις 22 Μαρτίου 2014 η Ολομέλεια του Ευρωκοινοβουλίου ψήφισε για νέο κανονισμό προστασίας δεδομένων. Αυτός θα αντικαταστήσει τον παλαιότερο που υπήρχε από το 1995, πριν αρχίσει η μαζική χρήση του διαδικτύου, και που πρακτικά αποτελούσε ένα σύμφυρμα 28 εθνικών νομοθεσιών.
Η Ε.Ε. εκτιμά ότι από την εφαρμογή του νέου πλαισίου θα εξοικονομούνται 2,3 δισ. ευρώ κάθε χρόνο. Αν και η νομοθεσία είναι εν μέρει στοχευμένη σε ό,τι αφορά τη χρήση προσωπικών στοιχείων από τους ιστοχώρους κοινωνικής δικτύωσης, είναι και τα χρηματοοικονομικά ιδρύματα λιανικής που έχουν στην κατοχή τους πολύ ευαίσθητα προσωπικά στοιχεία, συμπεριλαμβανομένων και λεπτομερειών για μισθούς.
Κατά την Οδηγία, στους πολίτες θα δοθεί αυτό που η Κομισιόν αποκάλεσε «δικαίωμα να λησμονηθούν» και οι εταιρίες θα χρειάζονται πλήρη συγκατάθεση πριν παραχωρήσουν στοιχεία πελατών. Η πρόταση της Κομισιόν δέχτηκε σχεδόν αριθμό ρεκόρ από τροποποιήσεις εκ μέρους του Ευρωκοινοβουλίου - γεγονός που φανερώνει τη σύνθετη φύση της ρύθμισης.
Ξεχάστηκε κάτι;
Μία μόλις ημέρα νωρίτερα, το Ευρωπαϊκό Κοινοβούλιο ενέκρινε επίσης την τέταρτη οδηγία κατά του ξεπλύματος χρήματος (AMLD IV). Αυτή απαιτεί από τα χρηματοοικονομικά ινστιτούτα να διακρατούν λεπτομέρειες για τους πελάτες για διάστημα έως πέντε χρόνια σε περίπτωση που χρησιμεύσουν σε έρευνα για εγκληματική δράση ξεπλύματος χρήματος.
«Η οδηγία προστασίας των δεδομένων ίσως προσελάμβανε πολύ περισσότερη προσοχή από τις τράπεζες και τους υπουργούς Οικονομικών, αν δεν υπήρχε ακόμη τόσο νομοθετικό έργο εν εξελίξει, όπως αυτό που αφορά την τραπεζική ένωση. Αυτή η οδηγία αντιστρέφει την προτεραιότητα των τραπεζών, προς προστασία του καταναλωτή.
Μέχρι τώρα, οι τράπεζες υπόκεινταν σε περιορισμένο έλεγχο από τους κανονισμούς προστασίας δεδομένων, αλλά όχι αυτήν τη φορά», λέει ένας ειδικός επί των κυβερνητικών υποθέσεων, που εργάζεται σε διεθνή τραπεζικό όμιλο.
Ωστόσο, ο Brian Dilley, επικεφαλής του τμήματος υπηρεσιών για το ξέπλυμα χρήματος στην KPMG στο Λονδίνο, πιστεύει ότι η AMLD IV είναι ακόμη κυρίαρχη. Το προσχέδιο AMLD ειδικά αναφέρει ότι η Ε.Ε. ή η εθνική νομοθεσία έχει την εξουσία «να περιορίσει την εφαρμογή των υποχρεώσεων και των δικαιωμάτων που παρέχονται στο προσχέδιο [για την προστασία δεδομένων] επί ενός αριθμού συγκεκριμένων θεματικών, συμπεριλαμβανομένων της πρόληψης, της έρευνας, του εντοπισμού και της δίωξης εγκληματικών πράξεων».
«Η AMLD θέλει να καταρρίψει τον μύθο ότι οι κανόνες προστασίας δεδομένων εμποδίζουν τις τράπεζες από το να εκπληρώσουν υποχρεώσεις που σχετίζονται με την αντιμετώπιση του ξεπλύματος χρήματος - ξεκαθαρίζει ότι απαιτούνται για να ελεγχθεί πρώτα και κύρια ο κίνδυνος του οικονομικού εγκλήματος. Τα σχετικά στοιχεία πρέπει να κρατηθούν για όλη τη διάρκεια της πελατειακής σχέσης και για πέντε ακόμη χρόνια, ακόμη και αν ο πελάτης ζητήσει τη διαγραφή της πληροφορίας κατά την περίοδο αυτή», λέει ο κ. Dilley.
Διαχειριστικός πονοκέφαλος
Ακόμη και έτσι, ο κ. Dilley λέει ότι πολλές τράπεζες επιδίδονται σε ασκήσεις, ώστε η αποθήκευση δεδομένων και η διαχείριση να μπορέσουν να διευθετήσουν τις δίδυμες απαιτήσεις της AMLD IV και των κανόνων για την προστασία δεδομένων. Αρκετοί προσπάθησαν, λέει ο ίδιος, να διασφαλίσουν ότι τα στοιχεία που έχουν είναι ενημερωμένα. Οπότε το να γνωρίζουν πότε να τα κρατήσουν ή να τα διαγράψουν αποτελεί ακόμη μεγαλύτερη πρόκληση.
Οι τράπεζες μπορεί να έχουν προβάδισμα έναντι άλλων κλάδων, ωστόσο αυτό ισχύει ιδιαίτερα σε χώρες που έχουν θεσμοθετημένες ισχυρές αντίστοιχες υπηρεσίες, όπως η αγγλική Financial Conduct Authority (FCA).
«Η οδηγία για την προστασία δεδομένων μπορεί να μην είναι τόσο μεγάλο βήμα για τις τράπεζες λιανικής στη Μ. Βρετανία, καθώς αυτές ήδη πρέπει να συμμορφώνονται με το κανονιστικό καθεστώς της FCA. Η FCA έχει γενικά υπάρξει περισσότερο αυστηρή από τον Επίτροπο Πληροφοριών σε ό,τι αφορά τις έρευνες επί τραπεζών και τα πρόστιμα σε αυτές για ελλιπή έλεγχο στα στοιχεία των πελατών τους», λέει ο Dan Reavill, επικεφαλής τεχνολογικών πρακτικών στη νομική εταιρία Travers Smith.
Ο κ. Reavill δεν είναι σίγουρος για το πώς οι πελάτες θα χρησιμοποιήσουν «το δικαίωμα να λησμονηθούν» που υπάρχει στη νέα ευρωπαϊκή νομοθεσία. Η σχετική αγγλική νομοθεσία ήδη επιτρέπει σε πελάτες να ζητήσουν τη διαγραφή των προσωπικών τους πληροφοριών, αλλά η γνώση εκ μέρους των πελατών του γεγονότος αυτού, φαίνεται περιορισμένη. Ωστόσο, πιστεύει ότι το να πρέπει να ζητηθεί ρητή συγκατάθεση για χρήση των δεδομένων, ίσως είναι περισσότερο προβληματικό.
Από καιρό σε καιρό, οι τράπεζες μπορεί να βρεθούν νομικά υποχρεωμένες να παράσχουν προστατευμένα στοιχεία σε ρυθμιστικές αρχές ή στην αστυνομία. Αυτή ωστόσο μπορεί να είναι λεπτή ισορροπία και φυσικά οι τράπεζες δεν μπορούν να ζητήσουν από τον πελάτη τη συναίνεσή του, καθώς αυτό θα μπορούσε να θεωρηθεί συνέργεια σε παράνομη πράξη», λέει ο κ. Reavill.
Τι ακολουθεί;
Η Ευρωπαϊκή Επιτροπή περιέγραψε την οδηγία για την προστασία δεδομένων ως «μη αναστρέψιμη», αλλά αυτό είναι εν μέρει ένα ρητορικό. «Σε σύγκριση με τη στάση του Ευρωκοινοβουλίου, που είναι ξεκάθαρα υπέρ του καταναλωτή, το προσχέδιο του συμβουλίου ήταν πολύ περισσότερο πραγματιστικό. Οι κυβερνήσεις των κρατών μελών ανησυχούν για έναν νόμο που είναι υπερβολικά γραφειοκρατικός για να είναι λειτουργικός. Αυτό σημαίνει ότι οι δύο θέσεις απέχουν αρκετά οπότε απαιτείται ακόμη αρκετός συμβιβασμός για γίνει μέρος των εθνικών νομοθεσιών», λέει ο κ. Reavill.