LOGO_BINAURA_POSITIU_HORITZONTALSIMBOL-BINAURALOGO_BINAURA_POSITIU_HORITZONTALLOGO_BINAURA_POSITIU_HORITZONTAL
  • Home
  • Compliance & Asesoramiento Jurídico Tecnológico
  • Ciberseguridad
  • Articulos
  • Contacto
✕
Publicado por BinauxAdm en 06/04/2021

La evolución natural del sector bancario y la llegada del “openbanking”, consistente en la apertura por parte de las entidades financieras de la información de sus clientes a terceros proveedores de servicios de pago o TPPs (Third Party Providers), para que estos últimos puedan prestarles sus servicios, ha supuesto, lógicamente, la creación de este marco regulatorio.

Entre otras novedades introducidas por la Directiva, se encuentra precisamente la obligación de las entidades bancarias de facilitar a los TPPs el acceso a través de APIs a sus servicios de pago y a las cuentas de sus clientes (previo consentimiento del titular), imprescindible para que puedan ofrecer sus servicios.

Cabe destacar entre sus principales objetivos:

  • Mejorar la seguridad de los pagos electrónicos online para proteger a los consumidores
  • Reforzar la protección frente a fraudes en operaciones bancarias realizadas a través de internet
  • Liberalizar el sector

En definitiva, contribuye entre otras cosas, al desarrollo de un mercado único de pagos en la Unión Europea, mediando en la relación entre consumidores, productos y servicios financieros disponibles.

Convivencia del RGPD y la aplicación de la PSD2

Si bien, como ya sabemos la PSD2 debe interpretarse conforme lo dispuesto en el RGPD, la interacción de ambas normas ha generado incertidumbre y que tanto una como otra contienen disposiciones relativas a la protección y seguridad de datos personales, llegando incluso muchas empresas al pensamiento equivocado de que la aplicación de la PSD2 conlleva un incumplimiento del RGPD y su respectiva sanción.

Por ello, la elección entre una u otra es una idea errónea, ya que lo que se debe garantizar es que los requisitos de ambas normativas estén coordinados y complementados.

El Comité Europeo de Protección de Datos adoptó una Guía sobre la interacción de la PSD2 y el RGPD, con el objetivo precisamente de resolver tales dudas, centrada en los tratamientos realizados por los servicios de iniciación de pagos (PIS) y los servicios de información de cuenta (AIS).

El Comité establece que la base legal para los tratamientos llevados a cabo en el ámbito de la PSD2 es la ejecución de un contrato, quedando cubiertos los tratamientos estrictamente esenciales. En el mismo sentido, si a través de un único contrato se pretenden prestar varios servicios que exigen diferentes tratamientos, cada uno debe especificarse de manera clara y separada.

Con lo cuál, las PIS y AIS sólo pueden usar, acceder y almacenar los datos personales estrictamente necesarios para la prestación de los servicios expresamente solicitados (lo que en el marco del RGPD conocemos como el principio de minimización de datos y limitación de la finalidad), pudiendo excepcionalmente, tratar datos personales para fines distintos de aquellos para los que fueron inicialmente recabados:

  • Cuando lo permita el Derecho de la Unión o de un Estado miembro.
  • Cuando medie el consentimiento de los interesados, y siempre que el responsable sea capaz de probar que estos pueden retirarlo en cualquier momento.
Consentimiento en la PSD2 y en el RGPD

Es importante la distinción que se realiza entre la expresión “consentimiento expreso” contemplado tanto en la PSD2 como en el RGPD.

En ningún caso debe confundirse el consentimiento de la PSD2 con el del RGPD, ya que el primero, no puede ser entendido como una base adicional en el sentido del RGPD, sino como un requisito de naturaleza contractual, es decir, en el contrato que constituya la base para el tratamiento ha de recabarse el consentimiento del usuario, de modo que desde el principio este conozca su alcance y los fines perseguidos. Pero este consentimiento no será la base para realizar el tratamiento de sus datos personales.

Terceros “inactivos” o “Silent Party”

Por otro lado, debemos tener en cuenta los datos de las personas que están involucradas en el proceso de los servicios de pago pero que no son los usuarios de los mismos, como sucede en el caso de los receptores de transferencias o cuando utilizamos servicios de agregación de cuentas y un tercero realiza transferencias con nosotros como usuarios. Estos son conocidos como terceros inactivos o “Silent Party”.

Los datos de estos terceros son tratados por los AISPs y PISPs (sus datos también forman parte de los datos tratados por el proveedor del servicio), siendo la base legitimadora del tratamiento el interés legítimo del responsable del tratamiento o del intermediario financiero que corresponda, así como, en su caso, el cumplimiento de sus obligaciones legales.

No podrán utilizarse sus datos para fines distintos de aquellos para los que fueron inicialmente recogidos, salvo cuando lo permita el Derecho de la Unión o Estado Miembro, o cuando medie consentimiento del interesado.

Actividades de perfilado y datos sensibles

En muchas ocasiones, puede llegar a circular información financiera con datos especialmente sensibles, como pueden ser, a modo de ejemplo, las donaciones realizadas por titulares de cuentas bancarias a fundaciones u organizaciones religiosas.

Las actividades de perfilado (que pueden llevar a cabo los AISPs) pueden revelar este tipo de datos especialmente sensibles como son las ideologías o convicciones políticas o religiosas, así como datos sanitarios o de orientación sexual de los usuarios.

Estas actividades quedan fuera del ámbito de aplicación de la PSD2, siendo aplicable lo dispuesto en el RGPD, por lo que será necesario el consentimiento del interesado o el cumplimiento de obligaciones en favor del interés público, en tanto que la Directiva restringe el tratamiento a lo exclusivamente relacionado con el servicio que se proporciona.

Por ello, es imprescindible destacar que el tratamiento de datos sensibles está sujeto exclusivamente a razones de interés público esencial sobre la base del Derecho de la Unión o de los Estados miembros o si el interesado dio su consentimiento. En caso de no existir tales excepciones o circunstancias, el responsable o proveedores de servicios de pago deberán implementar las medidas técnicas, organizativas y de seguridad oportunas para impedir el tratamiento de datos sensibles.

Por último, en relación al artículo 5 del RGPD, la Guía concluye recordándonos que:

  • La protección de los datos debe realizarse en todo caso desde el diseño.
  • Se deben adoptar las medidas técnicas y organizativas que permitan garantizar la minimización de los datos.
  • Deben implementarse límites a los periodos de retención de los datos personales.
  • Se debe garantizar la seguridad de los datos de los interesados adoptando unas medidas adecuadas y elevadas de protección, estableciendo mecanismos de autenticación y restricción de accesos.
  • En relación con el principio de transparencia, el responsable puede servirse de mecanismos adicionales, como tablones de privacidad, para informar a través de diferentes capas.

En definitiva, deben prevalecer los principios contenidos en el RGPD a la hora de cumplir con lo dispuesto en la PSD2, examinando y valorando por separado las coincidencias de ambos textos en su contexto, siendo el objetivo principal la transparencia en la relación con los usuarios y la protección de sus datos personales.

Comparte
4

Artículos Relacionados

08/08/2024

El aspecto táctico de la Ciberseguridad y la alta dirección

Lee mas
20/06/2024

Todo lo que Necesitas Saber sobre el Esquema Nacional de Seguridad (ENS)

Lee mas
13/05/2024

Aumentan los Incidentes de Ciberseguridad en 2023: La Importancia de la Preparación 

Lee mas

Mapa web

  • Articulos
  • Aviso Legal
  • Blue Aura – Ciberseguridad
  • Compliance y Asesoramiento Jurídico Tecnológico
  • Contact us
  • Contacto
  • Home
  • How we work
  • Offer
  • Politica de cookies
  • Política de Privacidad
  • Política de Seguridad
  • Productos
  • White Aura – Ciberseguridad
© 2025 Binalex Consultoría Tecnológica S.L.
  • Política de Privacidad
  • Politica de cookies
  • Aviso Legal
  • Política de Seguridad
Contacto
    Utilizamos cookies propias y de terceros (Google y Hotjar) para analizar el uso de nuestra web y obtener un mejor rendimiento en la navegación. Al pulsar “Acepto”, usted consiente el uso de todas las cookies.
    Ajustes de cookiesAcepto todasRechazar todas
    Consentimiento cookies

    Resumen de la privacidad

    Este sitio web utiliza cookies y/o tecnologías similares que almacenan y recuperan información cuando navegas. En general, estas tecnologías pueden servir para finalidades muy diversas, como, por ejemplo, reconocerle como usuario, obtener información sobre sus hábitos de navegación, o personalizar la forma en que se muestra el contenido. Los usos concretos que hacemos de estas tecnologías se describen a continuación.

    Puede usted permitir o bloquear las cookies, así́ como borrar sus datos de navegación (incluidas las cookies) desde el navegador que usted utiliza. Consulte las opciones e instrucciones que ofrece su navegador para ello. Tenga en cuenta que, si acepta las cookies de terceros, deberá́ eliminarlas desde las opciones del navegador.

    Por último, le informamos que puede ejercer sus derechos según el capítulo III del Reglamento General de Protección de Datos, de acceso, rectificación, limitación, portabilidad, cancelación y oposición. Si desea más información puede encontrarla en la Política de Privacidad de nuestra web.
    Análisis
    Las cookies analíticas permiten cuantificar el número de usuarios y así́ realizar la medición y análisis estadístico de la utilización que hacen los usuarios de la web. Para ello se analiza su navegación en nuestra página web con el fin de mejorar los servicios que ofrece Google. Más adelante se detallan las finalidades de las cookies.
    CookieDuraciónDescripción
    _ga2 añosCookie analítica de Google que calcula los visitantes, sesiones, datos de campañas, y mantiene el registro de uso de la web. La información que almacena es anónima y utiliza números aleatorios para identificar a los visitantes de forma única.
    _gid1 diaAlmacena información sobre cómo usan la web sus visitantes, con el objetivo de crear informes y analíticas. Almacenan de forma anónima el número de visitantes, de dónde vienen y las páginas visitadas.
    _hjFirstSeenSesiónEstá cookie de Hotjar está configurada para identificar la primera sesión de un nuevo usuario. Almacena un valor verdadero / falso, que indica si esta fue la primera vez que se vio a este usuario. Lo utilizan los filtros de grabación para identificar nuevas sesiones de usuario.
    Necesario
    Las cookies necesarias son imprescindibles para poder navegar correctamente en nuestra web, y por ello no requieren del consentimiento por parte del usuario. Por ejemplo, se componen de cookies que guardan temporalmente las preferencias del usuario mientras navega entre las distintas páginas, o permite el acceso seguro de usuario en zonas donde lo requiera.
    CookieDuraciónDescripción
    cookielawinfo-checbox-analytics11 monthsEsta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Analytics".
    cookielawinfo-checbox-functional11 monthsLa cookie se establece por el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
    cookielawinfo-checbox-others11 monthsEsta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Otros".
    cookielawinfo-checkbox-necessary11 monthsEsta cookie es establecida por el plugin GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
    cookielawinfo-checkbox-performance11 monthsEsta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Rendimiento".
    viewed_cookie_policy11 monthsLa cookie es establecida por el plugin GDPR Cookie Consent y se utiliza para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.
    Técnicas
    Las cookies técnicas son aquellas que, entre otras cuestiones, el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, etc.
    CookieDuraciónDescripción
    _gat_UA-191876745-11 minutoCookie de Google Analytics utilizada para controlar el número de peticiones, en caso de webs con alto tráfico.
    _hjAbsoluteSessionInProgress30 minutosEsta cookie se utiliza para detectar la primera sesión de vista de página de un usuario. Este es un indicador de Verdadero / Falso establecido por la cookie.
    _hjid1 añoCookie de Hotjar que se establece cuando el cliente llega por primera vez a una página con el script Hotjar. Se utiliza para conservar la ID de usuario de Hotjar, única para ese sitio en el navegador. Esto asegura que el comportamiento en visitas posteriores al mismo sitio se atribuirá al mismo ID de usuario.
    _hjIncludedInPageviewSample2 minutosEsta cookie está configurada para que Hotjar sepa si ese visitante está incluido en el muestreo de datos definido por el límite de visitas a la página de su sitio.
    GUARDAR Y ACEPTAR