El Comité Europeo de Protección de Datos emite  directrices para la interpretación coherente de la PSD 2

23-07-2020 — AR/2020/123

Las directrices, sometidas a consulta pública hasta el 14-9-2020, tienen la finalidad de interpretar de manera coherente la segunda directiva de pagos, en las cuestiones que afectan a la protección de datos, a la luz del RGPD.

El Comité Europeo de Protección de Datos (CEPD) quiere orientar a los proveedores de servicios de iniciación de pagos y de información de cuentas aclarando, en unas directrices, la interrelación entre la PSD 21 y el RGPD.2

Describe las garantías necesarias para acceder a la información de las cuentas de pago y para tratar esos datos, así como los requisitos para destinar la información de los pagos a finalidades diferentes del servicio de agregación de cuentas.

El artículo 67 de la PSD 2 determina que los agregadores de cuentas no pueden tratar los datos para fines distintos de aquellos para los que los recogieron. Por ello, el agregador tiene que detallar explícitamente en el contrato de servicios los fines para los que quiere tratar la información personal derivada de las cuentas.

Las directrices analizan los elementos esenciales del tratamiento de los datos, entre los que destacan los siguientes:

Legitimidad y finalidad

El CEPD aclara varias cuestiones.

Cumplimiento contractual

La prestación de los servicios que regula la PSD 2 requiere objetivamente el tratamiento de los datos de las cuentas de pago.

Pero el responsable del tratamiento tiene que verificar y demostrar la validez de este fundamento de legitimidad comprobando si los tratamientos que pretende ejecutar condicionan el cumplimiento del contrato, de acuerdo con la naturaleza del servicio.

Por ello, el responsable del tratamiento no puede condicionar el acceso al servicio a que se acepten las finalidades diferentes que incrementan los tratamientos.

El CEPD rechaza expresamente el modelo de «lo tomas o lo dejas» y afirma que, cuando concurren en un contrato finalidades o servicios independientes, que podrían atenderse de manera separada, no pueden ofrecerse condicionadamente.

En definitiva, el responsable debe comprobar qué tratamientos son objetivamente necesarios para el servicio  y no puede basar en el contrato los restantes.

Consentimiento del interesado

El Comité considera que el tratamiento de los datos derivados de la agregación para fines ajenos al servicio debe fundamentarse en el consentimiento del interesado.

En este sentido, el artículo 67 de la PSD 2 prohíbe el tratamiento de datos para fines distintos de la prestación del servicio, a menos que el interesado haya prestado su consentimiento y que sea fácilmente revocable.

Cumplimiento de las obligaciones legales

La prestación de los servicios de pago conlleva ciertas obligaciones, como las derivadas de la legislación de prevención de blanqueo de capitales, que obligan a aplicar una diligencia debida mediante tratamiento de datos.

Tratamiento de datos de terceros («silent party data»)

El RGPD no impide el tratamiento de los datos de los «silent party», es decir, de personas que no contratan el servicio de pago, pero aparecen relacionadas con él, identificadas en la orden de pago o en los apuntes de la cuenta de pagos.

Sin embargo, este tratamiento solo es posible cuando resulta necesario para atender los intereses legítimos perseguidos por el proveedor de servicios de pago para prestar el servicio de pago, siempre que se limite a la prestación del servicio y los terceros tengan expectativas razonables de dicho tratamiento.

En todo caso, no pueden realizarse tratamientos adicionales de esos datos.

Categorías especiales de datos

Los apuntes en cuenta de pago de transacciones financieras pueden revelar información delicada del titular, y son calificados dentro de categorías especiales en el RGPD.

El CEPD recomienda, al menos, trazar un mapa de flujos, categorizar con precisión la tipología de datos personales que se tratan y realizar evaluaciones de impacto para definir los tipos de datos y la protección que requieren.

En este sentido, recomienda comprobar si puede aplicarse alguna de las excepciones del artículo 9 del RGPD y, en caso contrario, fijar medidas que impidan el tratamiento de datos especiales con mecanismos de acceso selectivo.

Minimización y seguridad de los datos

El operador debe recoger solo los datos estrictamente necesarios para prestar el servicio de pago contratado.

Para ello, antes de descargar la información, debe seleccionar las categorías de datos adecuadas aplicando medidas que impidan la recepción de información innecesaria.

Además, los proveedores de servicios deben implantar medidas de seguridad estrictas, incluidos la autenticación reforzada de los usuarios, y herramientas y procedimientos de seguridad elevada para los sistemas IT.

Elaboración de perfiles

El tratamiento de los datos por los proveedores de servicios de pago puede entrañar la elaboración de perfiles para evaluar ciertos aspectos del usuario.

En este caso, el proveedor tiene que ser transparente con el usuario sobre la existencia de esos procesos automáticos de decisión, incluida la elaboración de perfiles.

Por su parte, el responsable del tratamiento tiene que proporcionar información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas para dichos tratamientos.


1 Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior, y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010 y se deroga la Directiva 2007/64/CE.
2 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).