La evolución del tradicional sector bancario a la banca abierta, también conocida como open banking, ha puesto de manifiesto la necesidad de crear un marco regulatorio que diese respuesta a los nuevos desafíos que este sistema plantea. El open banking consiste en la apertura a terceros por parte de las entidades financieras de la información de sus clientes para que estos les puedan prestar servicios. Dicha apertura, ha traído la aparición de nuevos actores llamados proveedores de servicios de pago (TPPs), los cuales son entidades que facilitan al cliente el uso de la banca online ofreciendo servicios como pagos en Internet o la agregación de cuentas.
Para que los TPPs puedan ofrecer sus servicios, es imprescindible que accedan a información de clientes, la cual hasta ahora era patrimonio exclusivo de los bancos; pues bien, la segunda directiva de servicios de pago (PSD2), exige a las instituciones financieras que abran su infraestructura y den acceso a los datos.
Es aquí donde entra en juego la normativa de protección de datos, en concreto el Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD), el cual otorga a las personas mayor control sobre sus datos y restringe las libertades para compartirlos. Entonces, si la primera defiende la apertura de la información bancaria, y el RGPD restringe dichas libertades para compartirla, parece que el objetivo de ambas normas podría contradecirse, generando preocupación entre las empresas que deben cumplir ambas regulaciones.
A primera vista podría parecer que ambas normativas persiguen objetivos distintos y que su cumplimiento de forma simultanea resulta complicado en la práctica, si bien, la realidad de los tratamientos previstos en PSD2 es que están amparados en una base legitimadora de las establecidas en el RGPD, por ende, el hecho de que el banco otorgue acceso a un TPP no implica un incumplimiento sino una obligación legal.
PSD2 establece que sólo podrán tratarse los datos personales de los usuarios tras haber obtenido su consentimiento expreso. Este requisito del consentimiento plantea muchas dudas desde el punto de vista de la normativa sobre proteccion de datos personales, ya que el RGPD establece una serie de condiciones para que el consentimiento sea válido, entre ellas, que el mismo se otorgue libremente.
Para que el consentimiento se considere libre no puede, en ningún caso, supeditarse la prestación de un servicio a la obtención del mismo. En esta línea, el consentimiento que exige el PSD2 es en todo caso un consentimiento forzoso, ya que el cliente deberá otorgarlo en todo caso si quiere acceder a los servicios. Por tanto, el consentimiento expreso que PSD2 establece, es un requitiso adicional de naturaleza contractual que en ningún caso debe confundirse con el consentimiento del RGPD. Esta interpretación de la ley, adoptada por el Comité Europeo de Protección de Datos, supone que en la práctica las empresas pueden aplicar otras bases legitimadoras del artículo 6 del RGPD tal y como la ejecución de un contrato o el propio interés legítimo de la compañía, sin tener que aplicar como única base legitimadora del tratamiento de datos el consentimiento de los usuarios.
En la práctica, cuando un usuario utiliza una aplicación movil para enviar dinero a un amigo, se plantea la duda de la legitimidad con la que cuenta el proveedor para tratar los datos personales del tercero que recibe el dinero, al no existir una relación contractual entre el proveedor de la aplicación y dicho tercero. En estos supuestos, el interés legítimo del TPP en celebrar dicha operación de pago, le permitiría tratar los datos del tercero siempre y cuando no prevalezcan los intereses, derechos y libertades de este último. Para ello el tratamiento de los datos debe ser necesario así como proporcional y en línea con el resto de principios establecidos en la normativa de protección de datos. En este punto es importante valorar las expectativas de los interesados; si un amigo me envia dinero a través de una aplicación, entiendo que el proveedor de la app tratará mis datos personales para dicha finalidad.
En cuanto a la posición que adquieren estos nuevos proveedores de servicios de pagos, en la medida en que los TPPs determinen los medios y finalidades del tratamiento de los datos de los usuarios serán considerados responsables del tratamiento. Son muchos los interrogantes que de la práctica de las compañías van surgiendo respecto a la aplicación de ambas normativas, sin embargo, parece que no es imposible lograr la aplicación conjunta, pese a tener objetivos tan opuestos.
Entidades
