La segunda Directiva de Servicios de Pago (PSD2), en gran parte aplicable desde enero de 2018, ha contribuido al desarrollo de un mercado único de pagos en la Unión Europea y ha supuesto un impulso para la protección de los consumidores, la innovación y la competencia en el sector. La PSD2 fue traspuesta al ordenamiento español por el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.
No obstante, la aplicabilidad de esta directiva y su trasposición no ha estado exentas de controversia. Si bien la PSD2 ha de ser interpretada de conformidad con lo dispuesto en el Reglamento General de Protección de Datos (RGPD), la interacción de ambas normas ha generado incertidumbre porque tanto una como otra contienen disposiciones relativas a la protección y seguridad de datos personales.
Al objeto de resolver tales dudas, el Comité Europeo de Protección de Datos adoptó el pasado 17 de julio una Guía sobre la interacción de la PSD2 y el RGPD (Guía), centrada en los tratamientos realizados por los servicios de iniciación de pagos (PIS) y los servicios de información de cuenta (AIS), que estará a abierta a comentarios hasta el 16 de septiembre de 2020.
Cobran especial relevancia las conclusiones de la Guía sobre la base jurídica de los tratamientos. En este sentido, establece que la base legal para los tratamientos llevados a cabo en el ámbito de la PSD2 es la ejecución de un contrato. No quedan cubiertos los tratamientos meramente útiles, sino solo los estrictamente esenciales. Y en el mismo sentido, si a través de un único contrato se pretenden prestar varios servicios que exigen diferentes tratamientos, cada uno debe especificarse de manera clara y separada.
La PSD2 señala expresamente que PIS y AIS solo pueden usar, acceder y almacenar los datos personales para la prestación de los servicios expresamente solicitados. No obstante, los PIS y los AIS podrán tratar datos personales para fines distintos de aquellos para los que fueron inicialmente recabados cuando concurran los siguientes requisitos: (i) cuando lo permita el Derecho de la Unión o de un Estado miembro; o (ii) cuando medie el consentimiento de los interesados, y siempre que el responsable sea capaz de probar que estos pueden retirarlo en cualquier momento.
Por otra parte, el tratamiento de datos personales realizado por los proveedores de servicios de pago o gestores de cuentas, consistentes en permitir a los PIS y los AIS acceder a los datos personales necesarios para prestar sus servicios se ampara en el cumplimiento de una obligación legal.
También debe distinguirse la expresión “consentimiento expreso” contemplado tanto en la PSD2 como en el RGPD. Puesto que la base jurídica que ampara los tratamientos en el ámbito de la PSD2 es la ejecución contractual, el consentimiento expreso de la PSD2 no puede ser entendido como una base adicional en el sentido del RGPD, sino como un requisito de naturaleza contractual. Es decir, en el contrato que constituya la base para el tratamiento ha de recabarse el consentimiento del usuario, de modo que desde el principio este conozca su alcance y los fines perseguidos. Pero este consentimiento no será la base para realizar el tratamiento de sus datos personales.
La Guía también se detiene a examinar el papel que juegan los terceros cuyos datos financieros son tratados pese a ser sujetos “inactivos”, como sucede en el caso de los receptores de transferencias. Y es que los datos de aquellos a quienes se les hace una transferencia bancaria podrán tratarse con base en el interés legítimo del responsable o del intermediario financiero que corresponda. Sin embargo, no podrán utilizarse para fines distintos de aquellos para los que fueron inicialmente recogidos, salvo que así lo permita la regulación de la Unión o del Estado miembro que corresponda.
La información financiera que circula en el ámbito de aplicación de la PSD2 a menudo contiene datos especialmente sensibles (por ejemplo, las donaciones realizadas por los titulares de cuentas bancarias pueden arrojar luz sobre sus convicciones religiosas). Por ello, en este sector, el tratamiento de datos sensibles ha de realizarse solo si es necesario por razones de un interés público esencial sobre la base del Derecho de la Unión o de los Estados miembros –que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado–, o si el interesado dio su consentimiento. En caso contrario, el responsable deberá implementar medidas técnicas para impedir el tratamiento de datos sensibles, o sencillamente no realizarlo.
Finalmente, la guía recuerda que son de aplicación los principios del artículo 5 del RGPD. Establece que la protección de los datos en todo caso debe realizarse desde el diseño y por defecto, adoptándose las medidas técnicas y organizativas que permitan garantizar la minimización de los datos; que deben implementarse límites a los periodos de retención de los datos personales; que es preciso adoptar medidas de seguridad elevadas para proteger los datos de los interesados, mediante el establecimiento de mecanismos de autenticación y restricción de accesos; y, en relación con el principio de transparencia, que es posible informar a través de diferentes capas, pudiendo el responsable sevirse de mecanismos adicionales como tablones de privacidad.
Pedro Méndez de Vigo Asociado
Paula Conde Prácticas
