La GDPR y la PSD2: ¿incompatibles?

GDPR y PSD2: ¿incompatibles?

La GDPR (en español RGPD) y la PSD2, entraron en vigor durante el primer semestre de 2018. Dos regulaciones importantes en relación a los datos y a la economía digital en la Unión Europea.

La evolución del sector bancario tradicional hacia el open banking, ha puesto de manifiesto la necesidad de crear un marco regulatorio que diera respuesta a los nuevos desafíos que este sistema plantea.

El open banking consiste en la apertura a terceros por parte de las entidades financieras de la información de sus clientes para que estos les puedan prestar servicios. Esta apertura, ha traído la aparición de nuevos actores llamados proveedores de servicios de pago (TPPs).

Para que los TPPs (Third Party Providers) puedan ofrecer sus servicios, es imprescindible que accedan a información de clientes, la cual hasta ahora era patrimonio exclusivo de los bancos.

GDPR: ¿qué es?

La GDPR (siglas en inglés de Reglamento General de Protección de datos) es la nueva regulación europea en materia de protección de datos que fue aprobada en abril de 2016 y entró en vigor en todos los países miembros de la Unión Europea el 25 de mayo de 2018.

La GDPR exige mayor responsabilidad y proactividad e impone a las compañías obligaciones sobre privacidad y seguridad en relación con el tratamiento de la información personal. Así, la UE pretende ofrecer un entorno legal más simple y claro para que las empresas replanteen sus procedimientos y establezcan un programa sólido de gobernanza de datos y transparencia.

PSD2: ¿qué es?

La PSD2 (Payment Services Directive) es una directiva europea que tiene como objetivo mejorar la seguridad y reforzar la protección contra fraudes en las operaciones bancarias hechas a través de internet. Además, también regula el acceso, con consentimiento, de los datos de tus cuentas bancarias a terceros.

Entonces, la GDPR, ¿pone en peligro la aplicación de la PSD2?

Uno de los mayores cambios que supone la PSD2 es la obligación de las entidades bancarias de facilitar a terceros el acceso a través de APIs a sus servicios de pago y a las cuentas de sus clientes, previo consentimiento del titular. Bajo la PSD2, los TPPs podrán acceder a la información de la cuenta del cliente y emplear la infraestructura de los bancos para facilitar el pago.

A priori, este punto se combina sin problema con el derecho a la portabilidad que introduce la GDPR, pero en la práctica no queda claro quién debe encargarse de recoger el consentimiento.

Todo esto, nos lleva a pensar que una empresa que debe elegir entre implementar la PSD2 o cumplir con la GDPR, se decantará por esta última debido a las graves sanciones financieras que puede implicar su incumplimiento.

Por eso, es importante, evitar considerar ambas normativas por separado. Se debe garantizar que los requisitos de una y otra estén coordinados y complementados, de manera que salgan beneficiados tanto los usuarios, como las empresas que quieren optimizar sus oportunidades en Europa.

El próximo 11 de diciembre, en la primera edición de #DataBankDay, trataremos esta y muchas más cuestiones del trato del dato en el sector bancario,

¡NO PUEDES FALTAR!

FUENTES:

http://bit.ly/2pZD1vy – Profile

http://bit.ly/2pVcWOm – Triodos

http://bit.ly/2Prpzez – PowerData

http://bit.ly/2PqmZ90 – El Economista

Leave a Reply