Este año en todos los estados miembros de la Unión Europea se tiene que haber implementado la nueva ley de servicios de pago PSD2. Una legislación que devuelve el control de los datos bancarios a los usuarios, ya que con su entrada en vigor, el cliente puede llevarse la información que tiene guardada en una cuenta bancaria a otra entidad o a un TPPs (Third Party Providers).
De esta manera, la PSD2 permite a terceros entrar en el mercado de sistemas de pago y proporcionar nuevos servicios en el área de información de cuentas e iniciación de pagos mediante el acceso a los datos financieros de un usuario de servicios de pago (PSU).
Ahora los bancos tienen que tener en cuenta esta nueva ley y la GDPR, el Reglamento general de protección de datos, en vigor desde el 25 de mayo del 2018. Se trata de una nueva normativa impulsada también por la Unión Europea para proteger los datos personales de los usuarios.
Las entidades bancarias tendrán que cumplir este reglamento además de la legislación específica de servicios de pago PSD2 porque los nuevos sistemas de pago requerirán el acceso a cantidades elevadas de datos personales.
Ambas hacen referencia a aspectos similares, pero con distinto enfoque. Mientras que una ley (PSD2) regula la creación del acceso a la información personal, la otra (GDPR) trata de proteger los datos personales.
En este contexto, los bancos y las nuevas empresas Fintech que se estén planteando ofrecer servicios de información de cuenta (AIS) y servicios de iniciación de pago (PIS) tendrán que tener en cuenta ambos reglamentos.
Para facilitar el cumplimiento de estas dos normativas, la consultora Ernst And Young identifica los siguientes desafíos que deben afrontar los bancos tras la entrada en vigor de la PSD2 y la GDPR.
Los retos de la PSD2 con la GDPR
Con la PSD2 los proveedores de servicios AIS (AISP) y PIS (PISP) que deseen ofrecer estos nuevos servicios a los usuarios necesitarán tener acceso a los detalles personales de las cuentas.
El acceso a las cuentas da como resultado el procesamiento de datos personales, que comprende información de transacciones y otros datos como el titular de la cuenta, su número de cuenta y otros datos que acompañan a una transacción.
Estos datos personales están sujetos a la legislación de GDPR, así que los bancos y empresas Fintech tienen que tenerla presente para no cometer faltas de cumplimiento normativo.
No hay que olvidar que el incumplimiento de la GDPR puede comportar multas de hasta el 4% de la facturación anual o un máximo de 20 millones de euros.
Dicho esto, estos son los principales desafíos que tienen que hacer frente las instituciones bancarias:
El consentimiento
El consentimiento de los usuarios es la base por la que tanto el reglamento de protección de datos como la nueva ley de servicios de pago aseguran la protección de los datos de los usuarios.
En este sentido, la GDPR estipula las condiciones que deben cumplirse para que se otorgue el consentimiento. Esta aprobación es necesaria para procesar ciertos datos de una determinada forma.
La normativa PSD2 dicta que el consentimiento es necesario para proporcionar servicios a las PSU. No obstante, la frase “consentimiento explícito” no aparece en la PSD2 y no existe ninguna evidencia que la ley en esta cuestión proporcione el mismo significado que en la GDPR.
Hay una falta de claridad respecto a los niveles adecuados del consentimiento que los proveedores de servicios de pago necesitan para obtener o entregar con sus servicios.
Para aportar luz al asunto, en el siguiente cuadro, Ernst And Young ofrece un resumen de cómo afecta el tema del consentimiento en ambas normativas.
Consentimiento | GDPR | PSD2 |
El consentimiento del usuario para procesar la información tiene que ser entregado libremente y para específicos propósitos. | Sí | Sí |
Los consumidores deben ser informados de su derecho a retirar el consentimiento. | Sí | NO |
El consentimiento tiene que ser explícito en el caso de datos personales confidenciales o flujos de datos transfonterizos | Sí | NO |
El procesamiento y el intercambio de datos son solicitados explícitamente por el cliente | Sí | Sí |
El consentimiento expira automáticamente | NO | Sí |
El consentimiento tiene que ser claro, específico e informado | Sí | Sí |
Portabilidad de los datos y APIs
Los usuarios tienen derecho a portar los datos que tienen en la cuenta bancaria sin obstáculo alguno para poderlos entregar al proveedor que deseen. Este es el derecho a la portabilidad presente en la nueva normativa de protección de datos GDPR. No obstante, esto no aparece en la PSD2. Solo en las normas técnicas que regulan el reglamento.
Las normas técnicas reguladoras de la PSD2 recomiendan el uso de APIs para compartir los datos con AISP o PISP. Esta práctica es más aconsejable que facilitar credenciales personales del usuario para acceder a la cuenta.
El problema que presenta, hoy por hoy, el sistema de APIs para favorecer el intercambio de información es que no es estándar en toda Europa.
Para tratar de lograr que este estándar sea aplicado por todos los bancos británicos, la Financial Conduct Authority (FCA) del Reino Unido y HM Treasury HMT estan animando a todos los bancos y TPPs (Third Party Payment System) a adoptar los estándars del Open Banking API de la Entidad de implementación de Open Banking del Reino Unido, para garantizar el intercambio seguro de datos entre los bancos.
La iniciativa, aunque tiene carácter local, es relevante, ya que algunas consultoras como Deloitte, apuntan que otros bancos de fuera del Reino Unido adoptarán este estándar dado los beneficios que les reportarán.
Información silenciosa de terceros
El tercer desafío que presenta la aplicación de la PSD2 y la GDPR hace referencia a la información silenciosa de terceros que aparece en modo silencioso en las transacciones bancarias. Cuando un usuario traslada información bancaria a otro banco o plataforma esta tiene asociada información de terceros con los que se ha realizado una transacción. Unos datos que los terceros no han dado su consentimiento para que estos sean movidos de un lugar a otro y que podría vulnerar la GDPR. No obstante, parece ser que esto tampoco es un problema grave siempre que esta información siga apareciendo de manera silenciosa.
Ante estos desafíos expuestos, Ernst and Young afirma que las instituciones financieras no tendrían que permitir que la GDPR obstaculizase la innovación prometida con la aplicación de la PSD2. En lugar de esto, deberían actuar para confirmar que los nuevos servicios y productos cumplen con ambas regulaciones. Y señala cinco áreas de actuación:
Las claves para aplicar la PSD2 en consonancia con la GDPR
1.- Tener cuidado con los procesos automáticos. Los bancos están aumentando el uso de la automatización para entregar servicios de valor añadido. Pero esta automatización no puede vulnerar el principio de la GDPR que obliga a solicitar consentimiento explícito al usuario. Las entidades financieras tienen que estar preparadas para justificar cada decisión automatizada si el consumidor la solicita.
2.- Realizar evaluaciones de impacto de protección de datos. Debido al hecho de que los proveedores de servicios sobre información de cuentas (AISP) e iniciación de pago (PISP) requieren el procesamiento de grandes volúmenes de datos personales, se hacen necesarias evaluaciones de impacto de la protección de datos. Dichas evaluaciones tienen que realizarse antes del procesamiento de los datos financieros y deben servir para localizar los riesgos del procesamiento, para así establecer medidas para lograr que se cumpla con la protección de datos tal y como establece la ley.
3.- Diseño de protección de datos en nuevos servicios. Los AISP y los PISP tienen que respetar la protección de datos desde el momento inicial del diseño de las mismas soluciones. Deben pensar entonces en el impacto que tendrán en la protección de datos antes de entregarlos. En este proceso de diseño se deben tomar las medidas adecuadas para conseguir cumplir el GDPR y minimizar el procesamiento de los datos.
4.- Preparar las soluciones para ofrecer información sobre el uso de los datos. Con la nueva normativa GDPR los usuarios toman el control de sus datos, así que cualquier aplicación que esté procesando sus datos personales tiene que notificar el proceso al dueño de esta información.
5.- Permitir borrar todos los datos si el usuario lo solicita. Los bancos y terceros tienen que desarrollar soluciones y servicios que posibiliten al consumidor eliminar todos los datos en cuanto este lo pida. Este tiene el derecho de hacer con sus datos personales lo que le plazca y, si quiere eliminarlos, tiene que poderlo hacer sin obstáculos.
No obstante, a pesar de estas recomendaciones, algunas voces como Deloitte apuntan que son necesarias con urgencia más orientaciones tanto en la Unión Europea como por parte de los reguladores nacionales que indiquen a las empresas cómo estas pueden adaptarse a la PSD2 y GDPR y evitar así poner freno al desarrollo del Open Banking en Europa.
El futuro del Open Banking en el marco de la GDPR y la PSD2
La consultora Deloitte entiende que, como incumplir la GDPR tiene una sanción superior que vulnerar la PSD2, muchos bancos priorizarán el cumplimiento de la primera normativa mencionada, en detrimento de la PSD2.
Esta práctica conducirá, según Deloitte, con toda probabilidad, a que se produzcan severas limitaciones en el acceso de los TPP a los datos e interpretaciones muy estrictas del consentimiento. Esto a su vez haría que los servicios de terceros sean más difíciles de usar y menos beneficiosos para los consumidores. Pondría, en definitiva, un freno al movimiento del Open Banking y reduciría la efectividad de los esfuerzos de los reguladores para aumentar la competencia y la innovación en el mercado de pagos.
Para que esto no suceda, la consultora anima a las empresas a evitar considerar los programas de implementación de PSD2 y GDPR de manera aislada y, en su lugar, les aconseja que se aseguren que estos estén coordinados y tengan en cuenta los requisitos de cada una.
Respecto a las medidas que se están tomando para mejorar el cumplimiento de ambas normativas, Deloitte cree que el desarrollo de un estándar de APIs de Open Banking en el Reino Unido proporciona un modelo útil sobre el cuál proceder. Y, en este sentido, sugiere a las empresas que, tanto en el Reino Unido como en el resto de la UE, revisen estas iniciativas y consideren si pueden integrarse en su propia planificación para implementar correctamente tanto la PSD2 como la GDPR.
Pero hay que ponerse manos a la obra, ya que la demora en la aplicación de ambas normativas pone freno al desarrollo de las nuevas compañías emergentes como las Fintech. Lo asegura la consultora Roland Berger en una investigación. Calcula que las Fintech y Bigtech están viendo amenazados el 40% de sus ingresos por la lentitud con la que se está dando respuesta a los cambios introducidos por las directivas PSD2 y GDPR.
Así las cosas, el futuro del Open Banking en la Unión Europea depende de cómo de hábiles sean las empresas e instituciones para lograr sincronizar las mejoras introducidas en la PSD2 con la mayor protección de los datos de los usuarios promovida por la GDPR.