¿Debería permitir que las Fintechs accedan a mi información bancaria?
Tribuna de Javier de Miguel y Juan Diego Rincón, manager y abogado de ECIJA.
“Te ayudamos a que controles tus finanzas y sepas en qué te gastas el dinero”, “organiza tu dinero y ahorra”, “ten tus números bajo control”. Los usuarios tienen a su disposición muchas aplicaciones que prometen facilitar la gestión de las finanzas personales y, en general, proporcionar consejos para mantener o alcanzar una situación financiera saludable.
Dicho servicio de información sobre cuentas, se regula específicamente en la Directiva de Servicios de Pagos (PSD2). Asimismo, cuando la información accedida por el proveedor de servicios de información sobre cuenta, a las cuentas que un usuario ostenta en una entidad bancaria (proveedor de servicios de pago gestor de cuenta) se asocie (o pueda asociarse) a una persona física (usuario titular de la cuenta y solicitante del servicio de información sobre cuentas) la misma tendrá la consideración de información personal, por lo que, resultará también de aplicación la normativa de protección de datos aplicable y, en concreto, el Reglamento General de Protección Datos (RGPD).
Sin embargo, el hecho de que una tercera empresa acceda a sus cuentas y, mediante la información obtenida a través de estas pueda, no sólo prestar el servicio solicitado, sino también extraer conclusiones adicionales (como su capacidad adquisitiva, riesgo crediticio, pautas o tendencias de gasto, etc.), puede generar en los usuarios cierta incertidumbre en relación con lo que vayan a hacer esas empresas con su información personal.
Es importante tener en cuenta que estas empresas solo accederán a las cuentas bancarias cuando el usuario lo solicite y lo permita a través del uso de las credenciales de seguridad de su banco. Por lo tanto, cuando el usuario solicite un servicio de información sobre cuentas a una empresa, se le pedirá que lleve a cabo unos pasos de seguridad. Tras los cuales, la entidad autorizada se comunica con el banco del usuario a través de canales seguros, para solicitar y obtener la información que necesita para prestar el servicio. Para ello, la normativa ha establecido una serie de requisitos de seguridad. Igualmente, las entidades deben garantizar que cuentan con sistemas seguros para garantizar la protección de la información tratada.
Por lo tanto, el acceso a dicha información habrá de realizarse con garantías. De lo contrario, las empresas obligadas estarían cometiendo una infracción, y podrían ser sancionadas de acuerdo con lo establecido en la normativa de medios de pago y de protección de datos.
Atendiendo a lo dispuesto en el RGPD, la información bancaria no tendría una especial categorización, sin embargo, el Comité de Europeo de Protección de Datos considera que cierto tipo de transacciones podrían revelar datos considerados como de categoría especial, por la normativa.
Similar interpretación ha seguido la propia Agencia Española de Protección de Datos al establecer que los servicios de información de cuentas, suelen conllevar un perfilado, consistente en el análisis de la información extraída de nuestras cuentas bancarias y que, dicho perfilado, puede revelar patrones de comportamiento sobre una persona, que serían considerados como información sensible.
En este sentido, la PSD2 establece que las empresas que presten servicios de información de cuentas no podrán utilizar los datos para fines distintos a los solicitados por los usuarios. Lo cual es compatible con el principio de limitación de la finalidad establecido en el RGPD y que exige de una base de legitimación adicional para aquellos tratamientos de datos personales distintos al originalmente previsto.
En conclusión, las empresas de información de cuentas no pueden utilizar los datos para fines distintos a la prestación de sus servicios, salvo autorización expresa por parte del usuario o una circunstancia de legitimación equivalente.
Al igual que para la mayoría de los procesos de contratación digital, es muy importante leer con atención las condiciones aceptadas al contratar un servicio.