LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 08:51:28

LegalToday

Por y para profesionales del Derecho

Blog Ecija 2.0

Interés legítimo de los Proveedores de servicios de pagos

Eduardo Martínez
abogado de ECIJA

Tras la publicación de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE (en adelante “Directiva PSD2”), surgieron distintas dudas acerca de la aplicación de las obligaciones establecidas en el Reglamento General de Protección de Datos Reglamento 2016/679 (en adelante “RGPD”), en la prestación de los servicios de estas plataformas.

billetes

Con el objetivo de disipar alguna de estas dudas, o conceptos jurídicos indeterminados, se realizó una consulta al nuevo organismo creado a través del RGPD, The European Data Protection Board (en adelante "EDPB"). En esta consulta se planteaban dos cuestiones relevantes:

  • Por un lado se planteaba la legitimación del tratamiento de datos personales de la que llaman "silent parties" o parte silenciosa.
  • Por otra parte, hacían alusión a la necesidad del consentimiento explícito del usuario para el tratamiento de sus datos al que hace referencia la propia Directiva PSD2[1]

Como resultado de esta consulta el EDPB ha emitido una carta resolviendo [2]estas dos cuestiones, con el objetivo de facilitar la actividad a dichos prestadores de servicios de pago.

Lo más relevante que encontramos en esta carta, es lo relativo a la aplicación e interpretación del interés legítimo como base legitimadora para tratar datos personales de los "Silent party data".

La parte silenciosa a la que se hace referencia, se identifica como aquel interesado del que se tratan datos personales en base al servicio que se presta a otro interesado, con el que el prestador, sí que se mantiene una relación contractual ,es decir, más bien al interesado que sí se le prestan directamente los servicios de pagos en línea.

En la propia carta, se plantea el siguiente supuesto que se presenta de manera continua en este tipo de servicios:

  • Interesado A, quiere hacer una transferencia de dinero al interesado B, a través de una plataforma de servicios de pago en línea.
  • Entre el interesado A y el B, no existe relación contractual alguna, podemos decir que dicha trasferencia se realiza por tanto en el ámbito privado y personal de los interesados.
  • El interesado A, presta su consentimiento explícito para que se traten sus datos personales con la finalidad de realizar la transferencia, esto se realiza mediante la aceptación de los términos, condiciones y política de privacidad del servicio. En cambio el proveedor de los servicios de pago, no ha podido obtener el consentimiento explícito del interesado B para acceder a sus datos personales (datos bancarios) con el objetivo de transferir a su cuenta el dinero, ya que el interesado B no ha aceptado los términos, condiciones y política de privacidad del prestador de servicios de pagos en línea.

El EDPB señala que el GDPR puede efectivamente permitir el tratamiento de datos personales en función del interés legítimo perseguido por un responsable del tratamiento o por un tercero ex artículo 6 (1) (F).

Sin embargo, debe tenerse en cuenta que dicho tratamiento solo puede tener lugar cuando el interés legítimo del responsable no está "limitado por los intereses o derechos y libertades fundamentales del interesado que requieren protección de datos personales".

Por ello, una base legal para el tratamiento de estos datos de la "parte silenciosa" por los PISP o los proveedores de servicios de información de cuenta (AISP), en el contexto de los servicios de pago y cuenta bajo la norma PSD2, puede ser el interés legítimo para cumplir con los servicios contratados por el usuario. Esto significa que el interés legítimo del responsable está limitado y determinado por las expectativas razonables del sujeto de los datos.

Con respecto a la duda que se plantea acerca del concepto de "Consentimiento Explícito" al que hace referencia el artículo 94 (2) de la PSD2, entre otros. El EDPB entiende que la provisión del artículo, debe interpretarse en el sentido de que cuando se mantiene una relación contractual entre el interesado y el proveedor de servicios de pago bajo la Directiva PSD2, el interesado debe ser plenamente consciente de los fines para los cuales se trataran sus datos personales y debe de consentir explícitamente (bajo las condiciones del RGPD) estas cláusulas. Dichas cláusulas deben ser claramente distinguibles de las demás cuestiones tratadas en el contrato, esto es, de los términos y condiciones del servicio.

Asimismo, exponen que dicho concepto bajo las provisiones de la Directivo PSD2 es por lo tanto, un requisito adicional de naturaleza contractual y por ello no es el mismo consentimiento "explicito" que el que se describe en el RGPD.

Como podemos observas, poco a poco se va desgranando aquellos conceptos jurídicos indeterminados que, como resultado de la aplicación del RGPD, han ido surgiendo en relación a la afección de esta normativa en diferentes legislaciones sectoriales.



[1] PSD2 hace alusión en múltiples ocasiones al "consentimiento" o "consentimiento explícito" ej. Artículo 4 (23), Artículo 52 (2) (c), Artículo 64, Artículo 65 (1) (b) y  (2) (a) de la Directiva PSD2.

[2] https://edpb.europa.eu/news/news/2018/letter-regarding-psd2-directive_es

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.