G-BM07SPXBH5

LEGAL VERITAS ®

PROTECCION DE DATOS

¿Qué es la PSD2 y cómo afecta a los datos de los usuarios?

¿Qué es la PSD2 y cómo afecta a los datos de los usuarios?

General ·

La normativa PSD2 o Segunda Directiva de Servicios de Pago supuso la agilización del comercio electrónico y la intermediación financiera de las llamadas fintech. La implementación de esta normativa produjo cambios relacionados con la manera de efectuar pagos o transacciones en línea y las condiciones de acceso a la información financiera.

Esta versión actualizada sucede y modifica a una anterior. Así lo detalla su denominación oficial: Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 y se anula la Directiva 2007/64/CE. La misma introdujo la posibilidad de exigir a los proveedores de servicios financieros, el acceso de terceros a datos de cuentas privadas, previo permiso de los clientes.

A seis años de su implementación, la PSD2 sigue generando algunas dudas en relación a supuestas incompatibilidades con el propio Reglamento General de Protección de Datos (RGPD) de la UE. A lo largo de este post, abordaremos estas y otras cuestiones.

PSD2 y el tratamiento de datos

En su momento, la PSD2 introdujo cambios sustanciales en su ámbito, con la finalidad de facilitar la participación de nuevos actores en el mercado financiero. De allí la percepción de que esta directiva impulsó más el llamado Open Banking o Banca Abierta.

Pero la novedad más relevante está directamente vinculada con el tratamiento y protección de los datos. En resumen, la directiva que nos ocupa permitió a los consumidores compartir con terceros información sobre sus cuentas bancarias y habilitarlos para acceder a ellas. ¿Quiénes son estos terceros? Por un lado, los conocidos como “iniciadores de pago”, quienes ejecutan operaciones de pago en nombre de los consumidores. Mientras que los segundos son los “agregadores de información sobre cuentas”. Comúnmente, estos últimos analizan los datos de los movimientos bancarios, transacciones y consumos del cliente, para mantenerlo informado sobre sus indicadores de ingresos, gastos, porcentajes de endeudamiento y ahorro, entre otros.

Puntos de discusión

Sin duda, este acceso de terceros a datos tan sensibles de las personas supuso una preocupación en lo relativo a su alcance y limitación. Ciertamente, la PSD2 se adhiere –teóricamente- al RGPD, lo que a su vez deja al menos tres elementos de discusión:

  • En primer lugar, el acceso a los datos de cuentas del cliente requiere de una autorización explícita por parte de este. Es decir, tal consentimiento debe ser comprobable de acuerdo a lo establecido en el artículo 6 del RGPD. A lo que se suman todas las obligaciones informativas y de licitud del tratamiento contempladas en este instrumento legal.
  • Posteriormente, tal acceso debe tener límites, de acuerdo a lo requerido por el usuario. Por lo tanto, tener acceso a una cuenta de pago no debe entenderse como un permiso para extraer todo tipo de datos sobre un cliente. La información financiera contiene datos tan sensibles como: contribuciones a partidos políticos o asociaciones religiosas. Más aún, algunos movimientos de cuenta podrían revelar características como la orientación sexual o condiciones de salud. Este tipo de conocimiento puede obtenerse mediante el tipo de primas pagadas a las aseguradoras o los abonos para tratamientos específicos.
  • El tercer aspecto en discusión es la seguridad del acceso. Idealmente, las empresas de intermediación de pagos, agregadores de información o fintech, han de implementar medidas de seguridad que garanticen la confidencialidad, integridad, disponibilidad y protección de los datos.

La interacción entre el PSD2 y el RGPD

La complejidad de la PSD2 y del propio RGPD y de la interrelación entre ambos instrumentos motivó a la Junta Europea de Protección de Datos (JEPD) a publicar un proyecto de directrices para su consulta. La misma se llevó a cabo en julio de 2020. Sin embargo, otros organismos, incluyendo empresas del sector y la Federación Bancaria Europea (FBE), siguen preocupados por la viabilidad de tales criterios.

Propuestas del proyecto de directrices y sus efectos

Interpretación limitada del RGPD y su aplicabilidad

Para empezar, el proyecto de directrices propone interpretaciones limitadas del RGPD. Si dichas directrices se implementan tal cual, incrementarían la carga de cumplimiento para los proveedores de servicios de pago. De hecho, empresas de este segmento creen que hay dificultades para aplicar varios aspectos de las directrices propuestas. Desde su punto de vista, esto podría restringir la innovación a futuro.

Por otro lado, a la mayoría de los bancos, en su función de proveedores de servicios de cuentas, les preocupa que el proyecto de directrices les imponga una mayor carga de protección de datos respecto a los nuevos servicios de terceros en el marco de la PSD2. No sin razón, piensan que tales obligaciones deberían recaer más en dichos actores.

Ejecución del contrato

En sus directrices, la JEPD establece que al existir un contrato con el usuario de servicios de pago, la base legal apropiada será que el tratamiento es necesario para la ejecución de un contrato de servicios de pago. En este, el usuario de dicho servicio (el propietario de los datos) es parte. La Junta se sujeta expresamente a directrices precedentes (2/2019) para puntualizar que tal recurso no cubre la captación y tratamiento de datos que faciliten otros propósitos comerciales de un proveedor. Es decir, que este tratamiento no es «objetivamente» necesario para ejecutar el servicio contractual. Por supuesto, esta posición es coherente con las orientaciones anteriores sobre el tema y reafirma que la referida base legal ha de interpretarse taxativamente.

En relación a los servicios adicionales no definidos y regulados por la PSD2, pero incorporados al contrato como servicios añadidos, la JEPD subraya que los proveedores de servicios de pago valorarán si el tratamiento es objetivamente necesario para ejecutar el contrato. De lo contrario, deben encontrar otra base jurídica.

Tratamiento ulterior de los datos en la PSD2

Otro efecto en esta interacción entre la PSD2 y el RGPD tiene que ver con el tratamiento posterior de los datos. Al respecto, el Reglamento permite el tratamiento ulterior de los datos personales para propósitos diferentes de aquel para el que se recabaron. Aun así, dichos fines deben ser compatibles con el original.

No obstante, en opinión de la JEPD, la PSD2 limita las posibilidades de tratamiento con otros objetivos. De manera precisa, la Segunda Directiva determina que los datos no pueden utilizarse para ningún otro propósito que no sea la prestación del servicio específico solicitado por el cliente. Dicha circunstancia invalida la compatibilidad con otros servicios.

En consecuencia, el tratamiento ulterior requerirá el consentimiento del usuario en concordancia con el artículo 6.1.a. del RGPD. Otra opción es que tal tratamiento esté establecido en la legislación de la Unión Europea o del Estado miembro a la que esté sujeto el responsable del tratamiento. Por ejemplo: las obligaciones legales relacionadas con la lucha contra el blanqueo de capitales o la financiación del terrorismo. Por igual, esto implica que las empresas de pagos deben demostrar que, para dar su consentimiento, el usuario del servicio tuvo opciones claras de elección.

En este punto, la Federación Bancaria Europea objeta a la JEPD porque la interpretación expuesta impide un conjunto de actividades de tratamiento legítimas y relevantes. La FBE sostiene que el concepto de «tratamiento ulterior» y las limitaciones de la PSD2 deberían interpretarse de forma más amplia.

Diferencias en el consentimiento explícito

Ambos instrumentos legales –RGPD y PSD2– incluyen el concepto de «consentimiento explícito». El estándar del primero es exigente, teniendo en cuenta el artículo 6.1.a, que indica que el consentimiento debe darse libremente, ser específico, informado e inequívoco. Mientras que el artículo 94.2 de la Segunda Directiva plantea que los proveedores de servicios de pago deben obtener el consentimiento explícito de los usuarios para acceder, procesar y conservar sus datos personales.

El mismo proyecto de directrices reconoce que los parámetros de consentimiento exigidos por el Reglamento y la Directiva de Servicios de Pago son diferentes. Vista esta circunstancia, el proyecto de directrices reitera que la base jurídica aplicable para el tratamiento de datos personales es que el mismo sea necesario para ejecutar un contrato.

¿Tu startup es una fintech y te preocupa el cumplimiento de la PSD2 y el RGPD? En Legal Veritas podemos asesorarte y proporcionarte los mejores servicios y herramientas tecnológicas para ayudar a tu empresa a adaptarse a las exigencias de estos instrumentos legales. Te guiamos de manera profesional para cumplir los parámetros reglamentarios en materia de consentimiento de los usuarios, captación, tratamiento y protección de datos. ¿Quieres saber más? ¡Contacta con nosotros!

Entradas Relacionadas

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *