PSD2 y GDPR

La directiva europea PSD2 está transformando el sector bancario. A su vez, la introducción de la GDPR ha tenido un gran impacto en la forma que las compañías deben de proteger sus datos. Las instituciones financieras trabajan para cumplir con las dos legislaciones, pero ¿cómo se pueden combinar innovación y protección?

Tanto la PSD2 como la GDPR fueron introducidas en 2018 como legislación enfocada en los datos de los consumidores. A pesar de esto, las dos legislaciones están construidas desde perspectivas muy diferentes. 

La PSD2 pretende crear acceso a la información personal. A través de su regla de acceso a cuentas, la PSD2 puede acceder a los datos financieros de los consumidores – o servicios de pago de los usuarios – permitiendo a terceras partes acceder al mercado de pagos y proveer nuevos servicios de información de cuentas y de iniciación de pagos. Estos servicios los ofrecen los proveedores de servicios de información de cuentas(AISP – Account Information Service Providers) y los proveedores de servicios de iniciación de pagos (PISP – Payment Initiation Service Providers).

La GDPR pretende proteger los datos personales, haciendo más fácil para los consumidores conocer dónde se están utilizando sus datos y plantear objeciones sobre su uso.

Mientras que la PSD2 abre el mercado bancario, facilitando la innovación en diferentes productos y servicios, cualquier acceso de estos productos y servicios a los datos personales debe de cumplir con la GDPR. Incumplirla acarrea importantes multas y daños de reputación. Hasta ahora, la mayoría de los bancos tradicionales han priorizado la protección de los datos de los consumidores sobre la innovación. Pero a medida que nuevos actores irrumpen en el mercado, deben de afrontar la decisión entre el mero cumplimiento o aprovechar las oportunidades de PSD2 para crear una ventaja competitiva.

Todo se reduce a consentir

A pesar de sus diferentes objetivos, tanto la PSD2 como la GDPR dependen del consentimiento. 

La RGPD establece que las instituciones financieras no pueden procesar los datos del consumidor sin su consentimiento, que debe obtenerse en condiciones específicas. Si bien la PSD2 también legisla que el “consentimiento explícito” es necesario para proporcionar servicios a los consumidores, el concepto no está definido y no se sugiere que tenga el mismo significado que en la GDPR. Esta falta de claridad sobre el consentimiento presenta un problema para las partes que ofrecen servicios de pago e información, ya que hacen malabares con la implementación de ambas legislaciones. 

Áreas de controversia

Portabilidad de datos y APIs

El RGPD otorga a los consumidores el derecho a la portabilidad de los datos, lo que les permite transferir los datos que han proporcionado a su banco a los AISP y PISP (proveedores de iniciación de pagos e información de cuentas) en un formato estructurado, de uso común y legible por máquina.

Si bien la PSD2 no tiene sesgos hacia una determinada tecnología, sus estándares técnicos reguladores recomiendan el uso de interfaces de programación de aplicaciones (API) para compartir datos con los AISP y PISP. Las APIs pueden permitir la estandarización de la comunicación entre los bancos titulares y los AISP o PISP, pero su éxito en Europa dependerá de si hay un acuerdo sobre estos estándares.

Cómo alternativa, el “scraping” permite que los AISP y PISP accedan a las cuentas bancarias de las usuarios a través de sus propias credenciales, lo que oculta la capacidad de los bancos para ver si es el usuario o un tercero quien accede a la cuenta. Sin embargo, dado que este método tiene menos restricciones de acceso que las APIs, suscita preocupación por su seguridad, lo que convierte a las APIs en el enfoque futuro preferido para los bancos.

Acciones clave

Las instituciones financieras no deberían permitir que la GDPR obstaculice la innovación prometida por la PSD2. En cambio, deberían actuar ahora para confirmar que los nuevos servicios y productos cumplen con ambas leyes. Los puntos de acción clave incluyen:

  • Tenga cuidado con las decisiones automatizadas. La GDPR prohíbe la creación de perfiles: el procesamiento automatizado de los datos del consumidor para identificar y evaluar características personales. Los bancos utilizan cada vez más la automatización para ofrecer servicios de valor agregado, como la calificación crediticia y la evaluación de gastos. Pero las decisiones más importantes, como rechazar un préstamo a alguien, solo pueden basarse en el procesamiento automatizado de datos personales si la decisión se basa en un motivo legítimo; por ejemplo, consentimiento explícito, un contrato o cumplimiento de una obligación legal. Además, bajo la GDPR, las instituciones financieras deben poder justificar cada decisión automatizada si un consumidor así lo solicita.

 

  • Realizar evaluaciones de impacto de la protección de datos. La naturaleza de los AISP y PISP requiere que procesen grandes volúmenes de datos personales, por lo que es muy probable que las evaluaciones de impacto de la protección de los datos sean necesarias. Las evaluaciones deben realizarse antes del procesamiento de datos financieros y servir para mapear los riesgos del procesamiento de datos y definir medidas de mitigación.

 

  • Diseñe la protección de datos en nuevos servicios. Los AISP y PISP deben adherirse a la protección de datos tanto por diseño como por principios predeterminados. Estos principios requieren que los proveedores de servicios piensen en el impacto que tendrán sus servicios en la protección de datos antes de entregarlos. Deben tomarse las medidas apropiadas para lograr el cumplimiento de la GDPR y minimizar el procesamiento de datos.

 

  • Esté preparado para brindar información a los consumidores sobre el uso de sus datos. Los interesados ​​tienen derecho a saber si su información se está procesando y, de ser así, a recibir una copia. Al diseñar los servicios, los proveedores deben tener en cuenta estos derechos para que puedan entregar la información adecuada cuando se les solicite. Si una solicitud de un usuario es infundada o excesiva, los AISP y PISP pueden cobrar una tarifa.

 

  • Confirme que puede borrar todos los datos del consumidor, si así lo solicita. Los consumidores tienen derecho a pedirle a un proveedor de servicios que borre todos los datos personales que tiene de manera oportuna. Para los AISP y PISP, esto es particularmente importante en caso de que el usuario retire el consentimiento explícito en el que se basó el procesamiento de datos personales. Al diseñar los servicios, los proveedores deben tener en cuenta estos derechos para poder eliminar datos personales si así se solicita.

De obligaciones a oportunidades

La PSD2 está configurada para brindar a los bancos oportunidades sin precedentes en el sector de pagos, principalmente debido a su regla de acceso a las cuentas. Si bien las reglas de la GDPR en torno a la privacidad deberán tenerse en cuenta al desarrollar nuevos productos o realizar cambios, estos desafíos se pueden superar con una planificación sólida y una experiencia suficiente. Cuando se implementan adecuadamente en armonía, tanto la PSD2 y como la GDPR permiten a los bancos proteger y servir mejor a los consumidores, ir más allá del cumplimiento y aprovechar nuevas oportunidades de crecimiento.