GDPR y PSD2: ¿una colisión de intereses y objetivos?
Ambas normativas coinciden en dos cuestiones importantes: por un lado, ponen al consumidor en el centro, como el propietario efectivo de sus datos y, por tanto, como el único que debería poder decidir qué hacer con ellos, quién puede usarlos y para qué; por otra, pretenden homogeneizar las regulaciones en todos los países de la zona para facilitar su trabajo, sirviendo de acicate al crecimiento de la economía surgida gracias a los avances en el ámbito digital. Existe una tercera coincidencia: ambas son exigentes en cuanto al refuerzo de la protección de los datos personales y de la privacidad.
Dadas las coincidencias y los objetivos comunes de ambas normas podría parecer que no existen motivos para que entren en conflicto. Sin embargo, las elevadas multas a las que se enfrentarán las empresas que infrinjan las condiciones de la GDPR; el hecho de que la aplicación de la PSD2 (con la obligatoria cesión de datos personales a terceros, cuando lo autorice su propietario, por parte de las entidades financieras) aumente la exposición de los datos y, por tanto, el riesgo potencial para los mismos (al menos si no se ha hecho bien el trabajo previo de implantación de la tecnología y supervisión adecuadas); así como las dudas que generará el uso en el día a día de dos normativas tan recientes y complejas, pueden acabar desincentivando el aprovechamiento de las ventanas de oportunidad que, en principio, abre la PSD2.
Nuevas exigencias en protección de datos
A la hora de plantearse superar el desafío que plantean las dos nuevas normativas UE, hay que tener en cuenta que la nueva regulación europea de protección de datos no solo exige más rigor en su custodia y gestión, sino que aumenta el número de los que se consideran datos personales. De hecho, los amplia a cualquier información que dé pie a una posible identificación de la persona: va desde fotografías a nombre, direcciones de correo electrónico, publicaciones en redes sociales, pertenencia a sindicatos o filiación política o religiosa, direcciones IP, datos biométricos, también detalles bancarios…
Esa protección ampliada se debe conciliar con la obligación que tendrán las entidades de dar acceso, a través de APIs, a los denominados TPPs (Third Party Providers) a la información contenida en la cuenta del cliente, pudiendo también iniciar un pago. Y concurre otras exigencias: como que la autorización por parte del cliente ha de producirse mediante ‘’Autenticación Fuerte del Cliente’’ (SCA). Esta requiere la identificación a través de al menos dos factores distintos: algo que el cliente conoce, como una efeméride, algo que posee, como un móvil, y algo que le es inherente, como un factor biométrico. Asimismo, ha de garantizar que el posible acceso indebido a uno de ellos no desencadene la violación del resto.
Conciliar el compliance de ambas normativas
La PSD2 también impone SCA para el restablecimiento de credenciales, que debe ser igual de seguro que el proceso que acabamos de describir. La puesta en riesgo de la seguridad y privacidad de los datos del cliente exponen a importantes multas. Lo primero que sería aconsejable para cualquier empresa que pueda verse afectada por ambas normtivas es planificar el compliance de las dos de manera conjunta. Así estará más cerca de superar el reto que tiene por delante. Un reto que es importante para todos (por seguridad, por no limitar el potencial de crecimiento de la economía digital, etc.) que se resuelva de forma positiva. En Unnax somos conscientes de ello y trabajamos para contribuir a que nuestros clientes lo lleven a buen fin.