Por: Carlos A. FERREYROS SOTO
RESUMEN
El 28 de junio de 2023, la Comisión Europea publicó una
propuesta de Reglamento del Parlamento Europeo y del Consejo sobre servicios de
pago en el mercado interior, PSR, y por el que se modifica el Reglamento sobre servicios
de pago y servicios de dinero electrónico en el mercado interior.
Los servicios de pago a menudo implican el tratamiento
de datos personales que pueden revelar información delicada sobre una persona interesada
concreta. Por lo tanto, el SEPD acoge con satisfacción los esfuerzos realizados
para garantizar la coherencia con el Reglamento General de Protección de Datos.
El SEPD recomienda garantizar una estrecha cooperación
entre las autoridades competentes en virtud de la Propuesta y las autoridades responsables
del control de la protección de datos para garantizar la coherencia entre la aplicación
y la ejecución de la Propuesta y la legislación de la UE en materia de protección
de datos.
También recomienda se haga referencia expresa a las autoridades
de control responsables del control y la aplicación de la legislación en materia
de protección de datos contempladas en el artículo 93, apartado 3, de la propuesta
PSR
A fin de acceder a normas similares y estándares
europeos, las empresas, organizaciones públicas y privados interesados en asesorías,
consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema,
sírvanse comunicar al correo electrónico:cferreyros@hotmail.com
 | Diario Oficial | ES Serie C |
C/2023/1019 | 16.11.2023 |
Resumen del dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Reglamento sobre servicios de pago en el mercado interior y la propuesta de Directiva sobre servicios de pago y servicios de dinero electrónico en el mercado interior
(C/2023/1019)
[El texto completo del presente dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD: https://edps.europa.eu]
El 28 de junio de 2023, la Comisión Europea publicó una propuesta de Reglamento del Parlamento Europeo y del Consejo sobre servicios de pago en el mercado interior y por el que se modifica el Reglamento (UE) n.o 1093/2010 (en lo sucesivo, «propuesta PSR») y una propuesta de Directiva del Parlamento Europeo y del Consejo sobre servicios de pago y servicios de dinero electrónico en el mercado interior, por la que se modifica la Directiva 98/26/CE y se derogan las Directivas (UE) 2015/2366 y 2009/110/CE (en lo sucesivo, «propuesta PSD3»), conjuntamente «las propuestas».
Los servicios de pago a menudo implican el tratamiento de datos personales que pueden revelar información delicada sobre una persona interesada concreta. Por lo tanto, el SEPD acoge con satisfacción los esfuerzos realizados para garantizar la coherencia con el Reglamento General de Protección de Datos (1) (RGPD). También hace hincapié en la necesidad de diferenciar claramente los «permisos» en virtud de la propuesta y el fundamento jurídico para el tratamiento de datos personales en virtud del RGPD.
Uno de los objetivos de la propuesta es permitir a los proveedores de sistemas de pago y de servicios de pago tratar categorías especiales de datos personales en aras del interés público y el buen funcionamiento del mercado interior de servicios de pago. Dado que el tratamiento de estos datos puede constituir una grave injerencia en los derechos al respeto de intimidad y a la protección de los datos personales, es importante que la legislación sea lo suficientemente precisa como para mostrar la conexión objetiva entre cada categoría de datos en un contexto de pago específico y el objetivo de interés público que debe alcanzarse.
El SEPD acoge con satisfacción que la propuesta exija a los proveedores de servicios de pago gestores de cuenta («proveedores de servicios de pago gestores de cuenta») que proporcionen al usuario un cuadro de indicadores para supervisar y gestionar la autorización que ha concedido. Para reducir aún más el riesgo de intercambio ilícito de datos personales por parte de los proveedores de servicios de pago alternativos, el SEPD recomienda:
—
asegurarse de
que el cuadro de indicadores hace referencia al servicio o servicios de pago específicos
designados para los que concedió su autorización;
—
garantizar que
las solicitudes de acceso se limiten a lo necesario para la prestación del servicio
solicitado;
—
garantizar la
claridad en relación con el fundamento jurídico de las solicitudes de acceso;
— permitir que los ASPSP verifiquen el permiso concedido por el usuario de servicios de pago o introduzcan salvaguardias alternativas adecuadas en la propuesta de PSR.
Por último, el SEPD recomienda garantizar una estrecha cooperación entre las autoridades competentes en virtud de la Propuesta y las autoridades responsables del control de la protección de datos para garantizar la coherencia entre la aplicación y la ejecución de la Propuesta y la legislación de la UE en materia de protección de datos. Por consiguiente, el SEPD recomienda que se haga referencia expresa a las autoridades de control responsables del control y la aplicación de la legislación en materia de protección de datos contempladas en el artículo 93, apartado 3, de la propuesta PSR.
1. Introducción
1. El 28 de junio de 2023, la Comisión Europea publicó una propuesta de Reglamento del Parlamento Europeo y del Consejo sobre servicios de pago en el mercado interior y por el que se modifica el Reglamento (UE) n.o 1093/2010 (la «propuesta de Reglamento sobre servicios de pago» o la «propuesta de PSR») (2) y una propuesta de Directiva del Parlamento Europeo y del Consejo sobre servicios de pago y servicios de dinero electrónico en el mercado interior por la que se modifica la Directiva 98/26/EC y se derogan las Directivas 2015/2366/EU y 2009/110/EC (la «propuesta de Directiva sobre servicios de pago 3» o «propuesta PSD3») (3), en lo sucesivo denominadas conjuntamente «las propuestas».
2. Tres anexos acompañan tanto a la propuesta PSR como a la propuesta PSD3 (seis anexos en total), en los que se describen los tipos de servicios de pago (anexo I), así como el tipo de servicios de dinero electrónico (anexo II) que entran en el ámbito de aplicación de los proyectos de propuestas. Por último, el anexo III presenta una tabla de correspondencias sobre las disposiciones de las Directivas (UE) 2015/2366 y 2009/110/CE con las disposiciones de las propuestas.
3. El SEPD observa que los tipos de servicios que cubren las propuestas parecen coincidir esencialmente con los cubiertos por la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.o 1093/2010 y por la que se deroga la Directiva 2007/64/CE («PSD2») (4).
4. Los objetivos específicos de la propuesta PSR (5) son los siguientes:
a. reforzar la protección de los usuarios y la confianza en los pagos, en particular mediante: la mejora de la aplicación del sistema de autenticación reforzada de clientes (SCA); la creación de una base jurídica para el intercambio de información sobre el fraude; la ampliación de la verificación del número internacional de cuenta bancaria («IBAN») a todas las transferencias; y la mejora de los derechos y la información de los usuarios;
b. mejorar la competitividad de los servicios de banca abierta i) exigir a los proveedores de servicios de pago gestores de cuenta («proveedores de servicios de pago gestores de cuenta») que establezcan una interfaz específica de acceso a los datos y «cuadros de indicadores de permisos» para permitir a los usuarios gestionar los permisos de acceso bancario abierto que les hayan sido concedidos; y ii) establecer especificaciones más detalladas de los requisitos mínimos para las interfaces de datos bancarios abiertos;
c. mejorar el cumplimiento y la aplicación del marco jurídico de los servicios de pago en los Estados miembros, en particular: sustituyendo la PSD2 por un Reglamento directamente aplicable («Propuesta PSR») que aclare los aspectos de la PSD2 que no estén claros; y mejorando la cooperación entre las autoridades competentes y otras autoridades; y
d. mejorar el acceso (directo o indirecto) a los sistemas de pago y a las cuentas bancarias de los proveedores de servicios de pago no bancarios (PSP), incluidos los proveedores de servicios de iniciación de pagos (PSIP) y los proveedores de servicios de iniciación de cuentas (PSIC).
5. Las Propuestas se presentan conjuntamente con la Propuesta de Reglamento sobre el acceso a los datos de información financiera (en lo sucesivo, la «Propuesta FIDA») (6), que abarca, entre otras cosas, el acceso a datos financieros distintos de los datos de las cuentas de pago, que entra dentro del ámbito de aplicación de las Propuestas que constituyen el objeto del presente Dictamen (7).
6. En esencia, la propuesta de revisión del programa:
a. establecería requisitos sobre transparencia de las condiciones y requisitos de información para los servicios de pago (8);
b. establecería derechos y obligaciones en relación con la prestación y el uso de servicios de pago, incluidas las normas sobre las interfaces de acceso a los datos para los servicios de información sobre cuentas y los servicios de iniciación de pagos (9) y sobre la gestión del acceso a los datos por parte de los usuarios de servicios de pago (10); sobre la protección de datos (11); sobre los mecanismos de notificación y seguimiento de transacciones fraudulentas y el intercambio de datos relativos al fraude (12); sobre el Subcomité de Acreditación (13); sobre los procedimientos de ejecución, las autoridades competentes y las sanciones (14); sobre los poderes de intervención de la Autoridad Bancaria Europea (ABE) (15).
7. La propuesta PSD3 se basa en gran medida en el título II de la actual PSD2, relativo a los «proveedores de servicios de pago», que solo se aplica a las entidades de pago. Actualiza y aclara las disposiciones relativas a las entidades de pago e integra las entidades de dinero electrónico como subcategoría de las entidades de pago. También incluye disposiciones relativas a los servicios de retirada de efectivo prestados por minoristas u operadores independientes de cajeros automáticos (16).
8. El presente dictamen del SEPD se emite en respuesta a una consulta de la Comisión Europea, de 29 de junio de 2023, conforme a lo dispuesto en el artículo 42, apartado 1, del RPDUE. El SEPD acoge con satisfacción las referencias a la presente consulta incluidas en el considerando 147 de la propuesta PSR firma y en el considerando 77 de la propuesta PSD3. A este respecto, el SEPD también observa positivamente que ya se le consultó anteriormente, a título informal, sobre las Propuestas de conformidad con el considerando 60 del RPDUE.
12. Conclusiones
52. En vista de lo anterior, el SEPD formula las recomendaciones siguientes:
(1) diferenciar claramente entre el término «permiso» y el fundamento jurídico para el tratamiento con arreglo al RGPD, clarificando en el considerando 62 de la propuesta de Reglamento sobre los derechos especiales PSR que «la autorización no debe interpretarse como “consentimiento”, “consentimiento explícito” o “necesidad para la ejecución de un contrato”, tal como se define en el Reglamento (UE) 2016/679»;
(2) aclarar, mediante un considerando, que la concesión de un permiso por parte del usuario de servicios de pago se entiende sin perjuicio, en particular, de las obligaciones de los proveedores de servicios de iniciación de pagos y los proveedores de servicios de información sobre cuentas en virtud de los artículos 6 y 9 del Reglamento (UE) 2016/679;
(3) reconsiderar la prohibición aplicable a los proveedores de servicios de pago gestores de cuenta para verificar la autorización prevista en el artículo 49, apartado 4, de la propuesta relativa a los dispositivos de pago específicos (PSR) o introducir en la parte dispositiva de dicha propuesta garantías alternativas adecuadas para proteger a los usuarios de servicios de pago contra el riesgo de posible intercambio ilícito de datos personales por parte de los proveedores de servicios de pago gestor de cuenta que pueda conllevar esta prohibición;
(4) modificar el artículo 46, apartado 2, letra a), y el artículo 47, apartado 2, letra a), de la Propuesta PSR para establecer que los proveedores de servicios de iniciación de pagos y los proveedores de servicios de información sobre cuentas no tengan acceso a las credenciales de seguridad personalizadas;
(5) aclarar la definición de «datos de pago sensibles» del artículo 3, apartado 38, de la propuesta PSR, especificando en particular los tipos de datos personales cubiertos por esta definición;
(6) especificar en relación a qué tipo o tipos específicos de servicios de pago designados los sistemas de pago y el proveedor de servicios de pago estarían autorizados a tratar (qué categorías de) categorías especiales de datos personales en el artículo 80 de la propuesta de PSR;
(7) justificar (en un considerando) por qué el tratamiento de las categorías especiales de datos personales para los servicios de pago designados en el artículo 80 de la propuesta PSR es necesario y proporcionado y no puede evitarse a través de medios técnicos alternativos;
(8) incluir una referencia al registro de inicio de sesión (para verificar si se ha producido un acceso indebido) entre las garantías de protección de datos a que se refiere el artículo 80 de la propuesta PSR;
(9) añadir al artículo 43, apartado 2, letra a), una referencia al servicio o servicios de pago designados para los que el usuario del servicio de pago haya concedido el permiso;
(10) añadir al apartado 2 del artículo 47, relativo a las obligaciones de los proveedores de servicios de información sobre cuentas, el requisito previsto en la letra b) del apartado 2 del artículo 46, según el cual los proveedores de servicios de pago sólo pueden solicitar al usuario del servicio de pago los datos necesarios para prestar el servicio solicitado;
(11) exigir a los proveedores de servicios de pago y a los proveedores de servicios de información sobre cuentas, en virtud del artículo 43, apartado 4, letra b), que informen a los proveedores de servicios de pago gestores de cuenta sobre la cuenta de cliente a la que se solicita acceso y sobre el fundamento jurídico en virtud del artículo 6, apartado 1, del RGPD y (si procede) la excepción en virtud del artículo 9, apartado 2, del RGPD en la que se basarían para acceder a los datos personales del usuario de servicios de pago;
(12) especificar en el artículo 43, letra b), que el cuadro de indicadores no debe diseñarse de manera que incite o influya indebidamente en los usuarios de servicios de pago a conceder o retirar permisos;
(13) determinar claramente las categorías de datos personales que los proveedores de servicios de pago estarían autorizados a tratar en el contexto de los mecanismos de supervisión de las operaciones [en particular, proporcionando una definición de «información sobre el usuario de servicios de pago» a que se refiere el artículo 83, apartado 2, letra a),];
(14) definir períodos de almacenamiento de datos adecuados para los datos personales recogidos en virtud del artículo 83;
(15) incluir una definición de «acuerdo de intercambio de información» en el artículo 3 de la Propuesta PSR;
(16) disponer en la propuesta PSR que todo tratamiento de datos personales a efectos del cumplimiento de las obligaciones legales en materia de prevención del fraude con arreglo al artículo 83 solo puede llevarse a cabo para este fin específico y no puede dar lugar a la terminación de la relación del cliente con el proveedor de servicios de pago ni afectar al alta del usuario de servicios de pago con otro proveedor de servicios de pago;
(17) mencionar explícitamente a las autoridades de control responsables del seguimiento y la aplicación de la legislación en materia de protección de datos contempladas en el artículo 93, apartado 3, de la propuesta de PSR.
Bruselas, 22 de agosto de 2023.
Wojciech Rafał WIEWIÓROWSKI
(1) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(2) COM(2023) 367 final.
(3) COM(2023) 366 final.
(4) Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.o 1093/2010 y se deroga la Directiva 2007/64/CE (DO L 337 de 23.12.2015, p. 35).
(5) COM(2023) 367 final, página 5-6.
(6) COM(2023) 360 final.
(7) COM(2023) 367 final, p. 4.
(8) Artículos 4 a 26 de la propuesta de PSR.
(9) Artículos 35 a 38 de la propuesta de PSR.
(10) Artículo 1 de la propuesta PSR.
(11) Artículo 1 de la propuesta PSR.
(12) Artículos 82 a 84 de la propuesta PSR.
(13) Artículos 85 a 86 de la propuesta PSR.
(14) Capítulo 8 de la propuesta PSR.
(15) Capítulo 9 de la propuesta PSR.
(16) COM(2023) 367 final, página 7.
ELI: http://data.europa.eu/eli/C/2023/1019/oj
ISSN 1977-0928 (electronic edition)
No hay comentarios:
Publicar un comentario