La Comisión Europea propone un reglamento para el acceso a los datos financieros

07-07-2023 — AR/2023/092

Con esta propuesta legislativa, la Comisión pretende regular el acceso a los datos de los clientes que disponen las entidades del sector financiero.

En la comunicación sobre una estrategia europea de datos,1 de febrero del 2020, la Comisión Europea expresó: «La UE debe crear un entorno político atractivo a fin de que, de aquí a 2030, la cuota de la UE en la economía de los datos (…) al menos se corresponda con su peso económico».

Respecto al ámbito financiero, enunció como una de las prioridades de las finanzas digitales el fomento de las finanzas basadas en datos.

El 28-6-2023, por fin, la Comisión ha presentado su propuesta legislativa para el acceso a los datos financieros, en la que destacan:

  • normas sobre el acceso a los datos financieros,
  • régimen de compensación,  y
  • nuevo derecho de acceso a los datos, fundamentalmente financieros.

A continuación, desarrollamos algunos de los elementos principales del futuro reglamento, que supondrá cambios relevantes para las entidades financieras.

Enfoque general

Según la Comisión, los clientes del sector financiero:

  • no pueden controlar eficazmente el acceso y el intercambio de sus datos más allá de las cuentas de pago,
  • no pueden confiar en que los riesgos de compartir sus datos se traten adecuadamente;
  • se enfrentan a la escasa claridad normativa sobre la puesta en común de los datos,

Además, constituye otra dificultad el elevado coste que implica poner en común los datos.

Partiendo de esta base, la propuesta legislativa que presenta la Comisión se plasma en un reglamento —por su aplicación directa— sobre el acceso a los datos financieros del cliente y es el resultado de consultas públicas en 2022, entre ellas, la de revisión de la directiva de pagos2 (conocida como PSD 2) y el acceso a los datos financieros.

Este futuro reglamento se caracteriza por:

  • exigir a los participantes del mercado que:
    • proporcionen a los clientes un cuadro de mandos con permisos de acceso a los datos financieros;
    • elaboren normas comunes para todos los datos de los clientes; y
  • autorizar el acceso del cliente a determinados conjuntos de datos, como usuarios autorizados por él.

En suma:

  1. regula el derecho de acceso a un conjunto de datos de las cuentas de pago diferentes de los tratados por la PSD 2, que excluye del ámbito del reglamento para evitar interferencias;
  2. se fundamenta en el derecho a la portabilidad de los datos personales, que el reglamento general de protección de datos3 reconoce, y define los servicios de intermediación de datos y la cesión altruista de ellos respecto a los datos no personales o anonimizados, conforme al reglamento de gobernanza de datos.4

Objeto del reglamento

Según recoge el borrador, el futuro reglamento tiene por objeto:

  • fijar las normas para acceder, compartir, regular y utilizar determinadas categorías de datos de los clientes del sector financiero;
  • definir las normas para la autorización y funcionamiento de los proveedores de información financiera, y
  • determinar los derechos y obligaciones de los usuarios y de los titulares de los datos, y de los proveedores de servicios de información financiera.

Ámbito de aplicación

El reglamento será de aplicación:

  1. a todas las categorías de datos recogidas en la norma, entre ellas:
    • de préstamos e hipotecas,
    • de cuentas de ahorro en cualquier tipo de producto,
    • de derechos de pensiones,
    • de seguros no de vida, y
    • de evaluación de solvencia para la solicitudes de préstamo o crédito.
  2. a los tipos de entidades siguientes, cuando actúen como gestores o usuarios de datos, entre ellas:
    • entidades de crédito,
    • entidades de pago,
    • entidades de dinero electrónico,
    • empresas de servicios de inversión,
    • proveedores de servicios sobre criptoactivos,
    • emisores de tóquenes referenciados a activos,
    • sociedades gestoras de fondos alternativos y de instituciones de inversión colectiva,
    • aseguradoras y reaseguradoras,
    • sociedades gestoras de fondos de pensiones,
    • intermediarios de seguros,
    • agencias de rating de crédito,
    • plataformas de financiación participativa,
    • proveedores de productos paneuropeos de pensiones individuales, y
    • proveedores de servicios de información financiera.

Acceso y tratamiento de los datos financieros

El acceso y tratamiento de los datos del cliente responderá a los siguientes criterios:

Solicitud previa

Para acceder a los datos, se requerirá una solicitud previa del cliente, que se presentará a través de medios electrónicos. Los datos quedarán a disposición del usuario autorizado, sin demora indebida, de forma gratuita, continua y en tiempo real.

Panel de permisos

La entidad que gestiona los datos proporcionará al cliente un panel de permisos que le permita:

  • supervisar y gestionar los permisos a los usuarios de los datos, de manera informada e imparcial,
  • retirar los permisos concedidos en cualquier momento,
  • tener claro a qué datos va a dar acceso, detallar las categorías de datos que se traten y determinar el período de validez del permiso.

Principio y medidas para el tratamiento de los datos

El tratamiento de los datos de los clientes por los usuarios autorizados responderá a los principios de proporcionalidad, minimización y confidencialidad, y se limitará a lo estrictamente necesario para los fines del tratamiento.

Asimismo, se deberán implantar medidas técnicas, jurídicas y organizativas para impedir la transferencia o acceso ilícito a los datos de los clientes y asegurar el uso adecuado a ellos.

Sistemas de intercambio de datos financieros

El título IV de la propuesta de reglamento alude a los sistemas de intercambio de datos financieros, cuyo objetivo es reunir a los titulares de los datos, los usuarios de estos y las organizaciones de clientes y consumidores.

Estos sistemas de intercambio de datos:

  • dispondrán de normas comunes sobre datos e interfaces,
  • tendrán mecanismos de coordinación que aseguren el cumplimiento de los cuadros de  permisos de acceso, y
  • elaborarán un marco contractual normalizado conjunto que regule el acceso a conjuntos de datos, los requisitos de transparencia y las normas de gobernanza, compensación, responsabilidad y resolución de conflictos.

Los titulares y usuarios de datos podrán adherirse a más de un sistema de intercambio de datos financieros.

Compensación

El borrador de reglamento:

  • recoge que el acceso a los datos por los propios clientes será gratuito, pero será diferente para las entidades que accedan a los datos con permiso del cliente;
  • contempla que los titulares de los datos puedan fijar una compensación razonable a los usuarios de datos, para que los titulares de los datos tengan interés en proporcionar interfaces técnicas de calidad a los  usuarios de datos;
  • impone, en consecuencia, la obligación de que los sistemas de intercambio de datos financieros cuenten con un modelo concreto que determine la compensación máxima que tiene derecho a cobrar el  titular de los datos (no se considerará como pago por los datos, sino como compensación por los costes de creación y mantenimiento de la infraestructura técnica necesaria), y
  • determina que la compensación será razonable, basada en un método claro, acordado por los miembros del sistema y reflejo, al menos, de los costes incurridos en la interfaz técnica.

Proveedores de servicios de información financiera

La futura norma introduce la nueva figura de «proveedores de servicios de información financiera», que serán entidades autorizadas con la intención de asegurar que solo los proveedores fiables y seguros puedan acceder a los datos de los clientes y tratarlos.

Solicitud de autorización

Las entidades que deseen acceder a los datos financieros y ser calificados como proveedores de servicios de información financiera tendrán que presentar una solicitud de autorización a la autoridad competente de cada Estado miembro.

La Autoridad Bancaria Europea y la Autoridad Europea de Valores y Mercados elaborarán los proyectos de normas técnicas de regulación que especifiquen:

  • el contenido de la solicitud de autorización;
  • el  método común de evaluación para conceder la autorización;
  • qué se entiende por garantía comparable, y
  • los criterios para fijar el importe mínimo del seguro de responsabilidad profesional.

Representantes legales

Cuando los proveedores de servicios de información financiera no tengan un establecimiento en la Unión Europea y quieran acceder a los datos financieros del cliente, deberán designar a una persona física o jurídica como representante legal, que no se considerará como un establecimiento en la Unión Europea.

Concesión y retirada de autorización

La autoridad competente concederá la autorización cuando el proveedor:

  • cumpla con los requisitos legales, y
  • cuente con mecanismos sólidos de gobernanza para esta actividad.

A su vez, la autoridad solo podrá retirar la autorización concedida, que será motivada y comunicada al interesado, cuando el proveedor de servicios de información financiera:

  • no la use en un plazo de 12 meses;
  • la haya obtenido con declaraciones falsas o de cualquier otro medio irregular;
  • deje de cumplir las condiciones para las cuales se le otorgó, o
  • constituya un riesgo para la protección de los consumidores y la seguridad de los datos.

Registro

La EBA constituirá un registro central con datos anonimizados de estas autorizaciones, de fácil acceso, que estará a disposición del público en su sitio web.

En este registro incluirá la revocación de las autorizaciones y la finalización de los sistemas de intercambio de datos financieros.

Requisitos organizativos

El borrador de reglamento especifica, también, los requisitos organizativos que han de cumplir estos proveedores, entre los que se incluyen:

  • disponer de políticas y procedimientos para asegurar el cumplimiento de las obligaciones  del reglamento;
  • tomar medidas razonables para la continuidad y regularidad de las actividades;
  • disponer de procedimientos administrativos, contables y de gobernanza sólidos;
  • contar con mecanismos de control interno, de evaluación y gestión de riesgos, y de salvaguardia de los sistemas de tratamiento de información, y
  • mantener procedimientos eficaces y transparentes para la supervisar, gestionar y seguir los incidentes de seguridad y las reclamaciones de los clientes.

Acceso transfronterizo a los datos

Los proveedores de servicios de información financiera y las propias entidades financieras podrán  acceder a los datos de los clientes de la Unión Europea que dispongan los titulares de datos establecidos en la Unión Europea.

Cuando un prestador de servicios de información financiera desee acceder por primera vez a los datos de los clientes en un Estado miembro distinto del suyo, sea en régimen de establecimiento o de libre prestación de servicios, tendrá que comunicarlo y aportar la información requerida a las autoridades competentes de su Estado miembro.

Autoridades supervisoras

Los Estados miembros tendrán que designar a las autoridades nacionales competentes para supervisar este ámbito, que, además, podrán sancionar las infracciones del acceso a datos financieros.

Próximos pasos

Como es habitual en estos procesos legislativos, el Parlamento Europeo y el Consejo revisarán y negociarán la propuesta de la Comisión y, tras posibles enmiendas, se someterá a las aprobaciones del Parlamento y del Consejo.

La propuesta de reglamento fija su entrada en vigor a los veinte días de su promulgación y será de aplicación:

  • con carácter general, 24 meses después de su entrada en vigor, y
  • el título IV (relativo a los sistemas de intercambio de datos financieros), 18 meses después de la entrada en vigor del reglamento.

1 Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, de 19 de febrero de 2020, Una Estrategia Europea de Datos (COM (2020) 66 final), del 19-2-2020.
2 Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de, 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010 y se deroga la Directiva 2007/64/CE.
3 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

4 Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos).