Autora: Daniela Vidal Bucher.
A casi un año del lanzamiento de la consulta que el Comité Europeo de Protección de Datos hizo en julio de 2020 a los distintos actores y operadores del mercado sobre las implicaciones jurídicas que tenía la PSD2 o Second Payment Services Directive[1] en materia de protección de datos, sigue siendo relevante en la actualidad y prueba de ello son la cantidad de nuevos actores que se han incorporado al mercado de servicios de pago y financiero, donde podemos observar a empresas como WhatsApp entrando en Brasil hace sólo unas semanas, ofreciendo mecanismos de pago inmediatos y sin ninguna clase de comisión a los usuarios.
La PSD2, traspuesta al ordenamiento jurídico español a través del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante, “RDL 19/2018”) introduce varias novedades, pero sin lugar a dudas la más relevante, por implicar una alteración de los participantes en el mercado, fue habilitar que los consumidores tuviesen el derecho de permitir que terceros, es decir, que terceras empresas pudiesen acceder a las cuentas de pago que el cliente tuviese con su banco o incluso en distintos bancos. Estos terceros son los denominados “iniciadores de pago” y los “agregadores de información sobre cuentas”. Los primeros ejecutan órdenes de pago en nombre del cliente y, los segundos normalmente analizan los datos de las transacciones o movimientos bancarios para devolver información agregada al cliente sobre sus niveles de gasto, ingresos, porcentajes de endeudamiento, ahorro, etc.
Esto ha supuesto para todo el sector un antes y un después en cuanto parecía que la relación exclusiva con los clientes se veía amenazada. Hoy, echando la vista hacia atrás vemos que el mercado ha abierto las puertas a estos actores y que de hecho muchos de ellos se han transformado en auténticos players de la banca.
Siendo esto así, como no podía ser de otra manera y dada la sensibilidad que supone que haya terceros accediendo a las cuentas de pago de los clientes, que la PSD2 hace referencias explícitas a la protección de datos y al Reglamento General de Protección de Datos (en adelante, “RGPD”)[2]. Tres son los pilares fundamentales o limitaciones que se van a encontrar estos actores.
La primera de ellas, el acceso a las cuentas de pago deberá estar autorizada por los clientes. Debe quedar rastro de ese acceso, y estar autorizado e informado, de acuerdo a lo establecido por la normativa de protección de datos. Es decir, las obligaciones informativas del RGPD y de licitud del tratamiento se aplican en toda su extensión.
En segundo lugar, el acceso deberá ser limitado a lo solicitado por el cliente. El acceso a una cuenta de pago no puede ser una vía libre para obtener cuantos datos se quiera acerca del cliente, más teniendo en cuenta lo sensible que son determinados datos que figuran en dichas cuentas, como ocurre, por ejemplo, con el pago de las afiliaciones a partidos políticos, asociaciones religiosas, o incluso determinada información de la que pudiera extraerse conclusiones sobre la inclinación sexual de determinada persona o incluso, a nivel salud, por ejemplo, tipo de primas abonadas a los seguros, o el abono de determinado tratamiento, etc.
En definitiva, lo que la normativa de protección de datos clasifica como categorías de datos de especial protección que requieren a los responsables del tratamiento medidas adicionales para su tratamiento. En otro orden de cuestiones, también es importante considerar qué ocurre con los datos de los beneficiarios de una transferencia bancaria que figura también en esas cuentas de pago y a quienes no se les ha pedido autorización para el tratamiento de sus datos.
En relación con lo anterior, el Comité Europeo de Protección de Datos en su guía de diciembre sobre este tema habla de la proporcionalidad. Elemento que también ha sido mencionado en reiteradas ocasiones por la AEPD en sus recientes sanciones económicas.
Por último, el pilar de la seguridad. El acceso no podrá darse si no es seguro como no podía ser de otra manera, y por ello se incluye toda una serie de medidas de seguridad tendentes a proteger la confidencialidad, integridad y disponibilidad de los datos y que variará según estemos hablando de iniciadores de pago o de agregadores de información sobre cuentas.
En definitiva, la PSD2 eleva las obligaciones a estos operadores por la sensibilidad de los datos involucrados en esta clase de tratamientos, aspectos que, sin duda, redundan tanto en el cumplimiento normativo como en la generación de confianza y valor a entidades y usuarios.
Si tienes cualquier duda sobre los tratamientos de datos mencionados en el presente artículo o cualesquiera otros, no dudes en contactar con nuestro Departamento especializado en Privacidad y Protección de Datos.
[1] Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE
[2] REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).