În concret, astfel de date sunt prevăzute de Legea nr. 209/2019 privind serviciile de plată [...], care a fost publicată miercuri în Monitorul Oficial, dar care va intra în vigoare abia în 13 decembrie 2019. Legea transpune Directiva Europeană 2015/2366. În privința obligațiilor nou-introduse de directivă (puteți citi, aici, aspecte legate de alte obligații conținute în același act normativ), o importanță ridicată o au cele referitoare la respectarea datelor sensibile privind plățile. Practic, astfel de date sensibile, conform Legii nr. 209/2019, se referă la acele date „care pot fi utilizate în scopul fraudării”. În ele sunt incluse expres elemente de securitate personalizate, însă sunt excluse:
- numele titularului contului și
- numărul de cont.
În privința modalităților de protecție a astfel de date, directiva prevede, în primul rând, că trebuie obținută o autorizație de către entitățile care oferă servicii de plată. Conform directivei, pentru obținerea unei astfel de autorizații, va fi nevoie - printre altele - ca entitatea care vrea să o obțină să ofere informații cu privire la „procesul existent pentru evidența, monitorizarea, supravegherea și restricționarea accesului la datele sensibile privind plățile”. În același timp, trebuie oferite informații și cu privire la politica de securitate și cu privire la măsurile implementate în vederea protejării datelor sensibile.
Legea nr. 209/2019 nu a transpus, expres, această prevedere, urmând ca Banca Națională a României să adopte reglementări specifice, unde, probabil, va fi inclusă și condiția menționată mai sus.
După aceea, entitățile care oferă servicii de inițiere a plății nu vor putea stoca datele sensibile privind plățile făcute de clienți. În privința entității care oferă servicii de informare cu privire la conturi, aceasta nu va putea să solicite date sensibile privind plățile aferente conturilor de plăți.
În ceea ce privește sancțiunile pe care le vor risca firmele care nu vor respecta astfel de obligații, entitățile care oferă servicii de informare cu privire la conturi și care solicită date sensibile privind plățile aferente conturilor de plăți, de exemplu, riscă, printre altele, amenzi de până la 100.000 de lei. Sau chiar suspendarea temporară a dreptului de a presta servicii de plată până la remedierea situației care a determinat suspendarea.
Mai mult decât atât, în unele cazuri, sancționarea unei firme care oferă servicii de plată va putea fi făcută publică.