¿Es compatible la Directiva PSD2 con el RGPD?

Transcurrido casi un año desde la entrada en aplicación de la Directiva 2015/2366 sobre Servicios de Pago (conocida como PSD2) en el mercado interior de la Unión Europea, todavía se plantean numerosas dudas en relación con el tratamiento de datos que se lleva a cabo en el marco de los Servicios de Pago y su compatibilidad con el Reglamento General de Protección de Datos (aplicable desde 2018).

¿En qué consiste la Directiva PSD2?

La Directiva PSD2 surge como respuesta a los nuevos servicios fintech que han ido desarrollándose en los últimos años.

Persigue permitir el desarrollo de estos nuevos modelos de negocio a la vez que garantiza la seguridad de la información, los derechos y garantías de los consumidores y la seguridad de las operaciones estableciendo nuevas medidas técnicas de autenticación. Esto permite que exista mayor competitividad en el mercado de las entidades de crédito, sin necesidad de que los nuevos actores del mercado dispongan de grandes infraestructuras.

A través de la PSD2 se introduce el “Open Banking”, donde las entidades de crédito deben facilitar el acceso de terceros a sus sistemas, por voluntad de sus usuarios (clientes) en lo relativo a sus cuentas. Estas cesiones de datos y el tratamiento realizado por los terceros constituyen algunas de las principales preocupaciones en materia de protección de datos.

También se introducen los Proveedores de Servicios de Iniciación de Pagos (por sus siglas en inglés, «PISP«) que facilitan a los clientes la realización de pagos a través de su plataforma y ésta se conecta a un banco para finalizar la operación, y los Proveedores de Servicios de Información de Cuenta (por sus siglas en inglés, «AISP«) que obtienen la información financiera, de una o varias entidades bancarias, relativas a un cliente por solicitud de éste.

Desde el punto de vista de los usuarios (clientes) el cambio más perceptible de forma directa es la autenticación reforzada, puesto que a través de la PSD2 se requiere la implementación de sistemas de autenticación reforzada a la hora de realizar transacciones.

La autenticación reforzada consiste en proporcionar al usuario un método de autenticación, de dos factores, basado en al menos dos de los siguientes elementos; (i) Algo que sepan, esto es una contraseña o clave pin; (ii) Algo que posean, esto es un teléfono móvil, código o tarjeta de débito o; (iii) Algo que tengan (inherencia) como puede ser un dato biométrico como es la huella dactilar.

En este sentido, en España los servicios de pago están regulados en el Real Decreto-ley 19/2018, de 23 de noviembre.

¿Cómo se relaciona el RGPD con la Directiva PSD2?

El RGPD resulta de aplicación al tratamiento de datos personales llevado a cabo en el marco de los Servicios de Pago regulados en la Directiva PSD2. Tanto la propia Directiva como las normas técnicas de regulación para la autenticación reforzada de clientes y estándares de comunicación abiertos comunes y seguros (Reglamento Delegado 2018/389) que acompañan a la Directiva PSD2 contienen algunas referencias a los datos personales y la seguridad de la información que han ocasionado problemas de interpretación.

La Directiva limita la información a la que pueden acceder los PISPs y AISPs a la estrictamente necesaria para prestar el servicio solicitado por el usuario (lo que en el marco del RGPD conocemos como el principio de minimización de datos y limitación de la finalidad).

En este sentido, es importante tener en cuenta que las actividades de perfilado (que pueden llevar a cabo los AISPs) quedan fuera del ámbito de aplicación de la Directiva PSD2 – siendo aplicable el RGPD – para lo que será necesario el consentimiento del interesado en tanto que la Directiva restringe las actividades del tratamiento a aquellas relacionadas con el servicio.

Además, en cuanto al perfilado, debe valorarse que las actividades de perfilado pueden revelar datos sensibles como son las ideologías políticas o religiosas, así como datos de naturaleza sanitaria o sobre la orientación sexual de los usuarios (especialmente en el contexto actual en el que se han reducido drásticamente los pagos en efectivo) lo que requiere el consentimiento explícito del interesado o el cumplimiento de obligaciones en favor del interés público. En caso de no concurrir una de las circunstancias citadas, los proveedores de Servicios de Pago deberán implementar las medidas técnicas y organizativas tendentes a garantizar que los datos de carácter sensible no serán tratados.

¿Cuál es el rol de los PISPs y AISPs? ¿Son Encargados o Responsables del Tratamiento?

Podrán ocupar cualquiera de las dos posiciones en función de las circunstancias concretas de cada caso. Se espera que el EDPB se pronuncie sobre los conceptos de encargado y responsable en el marco de la Directiva PSD2.

¿Cuál es la base legitimadora del tratamiento en los Servicios de Pago?

Corresponde a cada Responsable del Tratamiento llevar a cabo el tratamiento de datos de conformidad con una de las seis bases legitimadoras establecidas en el RGPD, debiendo elegir aquella que resulte apropiada a la actividad del tratamiento. La base legitimadora del tratamiento en estos casos será el cumplimiento de una obligación contractual puesto que la propia Directiva PSD2 aplica a las obligaciones y responsabilidades de naturaleza contractual en relación con los servicios de pago y exige la existencia de dicha relación contractual para acceder a la información bancaria del usuario.

¿Qué ocurre con el consentimiento?

Tanto la Directiva PSD2 como el RGPD hacen referencia al consentimiento explícito. Conforme a las recientes Directrices 06/2020 del EDPB el consentimiento explícito de la Directiva PSD2 debe entenderse como consentimiento contractual y no como una base legitimadora adicional. De esta forma el tratamiento de datos en relación con los Servicios de Pago deberá ampararse en una de las seis bases legitimadoras del RGPD.

El objeto del consentimiento explícito en virtud de la Directiva PSD2 es, por tanto, el consentimiento requerido para obtener acceso a los datos personales, para poder tratar y almacenar esos datos personales que son necesarios para proveer el Servicio de Pago correspondiente (no siendo una base legitimadora del tratamiento, aunque sí una garantía de transparencia en el marco de la PSD2).

¿Y los llamados “Silent Party”?

Los “Silent Party” son personas involucradas en el proceso de los Servicios de Pago que no son los usuarios de esos servicios sin perjuicio de que sus datos son tratados por los AISPs y PISPs. Por ejemplo, cuando utilizamos servicios de agregación de cuentas y un tercero ha realizado transferencias o efectuado transacciones con nosotros como usuarios – sus datos también forman parte de los datos tratados por el proveedor del servicio. Estos terceros son los denominados “Silent Party o Parties”.

En estos casos la base legitimadora del tratamiento es el interés legítimo del Responsable del Tratamiento así como, en su caso, el cumplimiento de sus obligaciones legales. Conforme al EDPB existe una expectativa legítima por parte de los “Silent Party” respecto al tratamiento de sus datos que será incidental y limitado.

En definitiva, debemos aproximarnos a los Servicios de Pago contemplados en la Directiva PSD2 teniendo en cuenta el Reglamento General de Protección de Datos y los principios contenidos en el mismo, valorando los términos coincidentes de forma independiente en el contexto de cada norma y procurando siempre garantizar las relaciones transparentes con los usuarios y la protección de sus datos personales.

Rahul Uttamchandani | Legal Counsel | L-A

¿Comenzamos?

Cuéntanos un poco sobre tu negocio y te contactaremos en menos de 24 horas.