Con la nueva Directiva PSD2 sobre servicios de pago en el mercado interior, han surgido muchas dudas de cara los posibles tratamientos de datos que se ven afectados. Ante esto, la Agencia Europea de Protección de Datos (EDPB) ha publicado una guía para entender cómo convive esta nueva directiva, que afecta al tratamiento de datos en servicios financieros (o de pago), con el conocido Reglamento General de Protección de Datos que sienta las bases generales de la regulación en materia de protección de datos.

¿Quiénes intervienen en un servicio de pago?

Para empezar, tenemos que conocer las distintas partes que actúan en las transacciones financieras. Podemos reconocer distintos actores:

  • Los prestadores de servicios financieros: Estos pueden ofrecer servicios de iniciación de pago (PISP) como puede ser el servicio de PayPal.
  • Prestadores de información sobre cuenta (AISP): un ejemplo puede ser una aplicación que te ayuda a gestionar tus cuentas como Fintonic.
  • Prestadores de gestión de cuenta que suelen ser entidades bancarias (ASPSP).

Por otra parte, tenemos a los interesados. Es decir, los “dueños” de los datos personales que van a ser tratados, y que serían los clientes usuarios de este tipo de servicios financieros.

Y, por último, intervienen de forma indirecta terceras partes. Estas son personas que, aun no siendo usuarios de los servicios financieros, pueden verse afectados por el tratamiento de los datos. Por ejemplo, a raíz de que un cliente inicie una transferencia donde el beneficiario es una tercera persona.

¿Por qué pueden estos prestadores tratar mis datos, como cliente o como tercero?

La posibilidad de tratar nuestros datos está amparada si existe una razón justificada para usar esos datos. Según la normativa vigente en materia de privacidad, los casos en los que se permite son: el consentimiento, la ejecución de un contrato, el interés legítimo o el cumplimiento de una obligación legal.

Centrándonos en servicios de pago, podríamos legitimar el tratamiento por:

  • Ejecución de un contrato entre el cliente y el proveedor de servicios financieros. En este caso, solo podrán tratarse los datos que sean estrictamente necesarios para la ejecución de ese contrato. Además, los responsables del tratamiento (es decir, los prestadores de servicios financieros) deberán demostrar cómo, por qué y hasta qué punto no podrían prestar sus servicios sin ese tratamiento. Es decir, no se permite que se usen esos datos con fines diferentes a los estrictamente necesarios para la ejecución de ese contrato y el responsable deberá buscar otra base legitimadora si quieren tratarlos.
  • Interés legítimo: En general, la directiva de servicios de pago PSD2 restringe bastante la posibilidad de tratar datos con otra finalidad a aquella por la que fueron recogidos. Pese a esto, es cierto que, por motivos de interés legítimo de los prestadores (como puede ser la prevención del fraude), se pueden legitimar ciertos tratamientos de datos fuera de aquellos que impliquen necesariamente la prestación del servicio. En este caso, solo podrán hacerlo si acuden a una tercera base legitimadora que sería el “consentimiento” de los interesados.
  • Cumplimiento de obligación legal. Por ejemplo, la prevención del uso del sistema financiero para propósitos ilícitos. Los prestadores de servicios de gestión de cuenta utilizarán esa base legitimadora de cumplimiento de obligación legal para dar acceso a otros prestadores de servicios a los datos requeridos para que estos desarrollen su actividad. En este caso, será obligatorio ofrecer exclusivamente los datos personales que sean necesarios para ofrecer el servicio a los clientes.

¿Qué datos son tratados en el ámbito financiero?

A través de transacciones financieras pueden revelarse datos personales de carácter especial, como, por ejemplo, números de cuentas. Respecto a esto, la Agencia Europea de Protección de Datos explica lo siguiente: mientras que la normativa PSD2 define un dato sensible como un “dato que incluya credenciales personalizadas de seguridad que pueden ser utilizadas para cometer fraudes”; el Reglamento General de Protección de Datos (RGPD) considera datos especiales a aquellos que “necesiten de una protección específica por su naturaleza particularmente sensible en relación con derechos fundamentales del interesado”.

En principio, se prohíbe el tratamiento de esta categoría de datos. Sin embargo, y como en todo, existen excepciones. Por una parte, motivos de interés público sustancial y salvaguarda de derechos fundamentales y, por otra, haber obtenido consentimiento explícito del interesado para poder tratar ese tipo de datos. Si no se da alguna de estas dos excepciones, la prohibición es aplicable y deberán implantarse medidas técnicas para evitar el tratamiento de esos datos especiales.

¿Y qué se entiende por consentimiento explícito?

Aquí la Agencia Europea de Protección de Datos nos ofrece dos definiciones, que nos muestran diferencias conceptuales. En el RGPD se trata de una base legitimadora para tratar los datos y se define como un consentimiento dado de forma libre, especifica, informada y clara.

Por su parte, en la normativa PSD2 se trata de un requisito contractual para la oferta del servicio de pago. Es decir, equipara el consentimiento explícito al consentimiento contractual. Entendemos entonces que para disfrutar de un servicio de pago como cliente y que un prestador financiero nos lo pueda ofrecer, debe contar con nuestro consentimiento para tratar nuestros datos.

¿Y qué pasa con los datos de terceras personas que no han dado su consentimiento, ni son clientes de estos prestadores de servicios?

Los datos de estas personas son tratados para la ejecución de un contrato. Este tratamiento está amparado en el interés legítimo de los autores del tratamiento, pero se hace siempre que no afecte a derechos y libertades fundamentales de esta persona. Además, la normativa de sistemas de pago añade que se deberán establecer medidas técnicas y de seguridad apropiadas para salvaguardar los intereses y derechos fundamentales de los terceros, como por ejemplo, la encriptación de esos datos.

Publicado el 25 de mayo de 2021