PSD2 y GDPR, un antes y un después para la regulación digital
2018 ha llegado cargado de cambios regulatorios en Europa, que afectan, entre otros, al sector financiero. En primer lugar, en enero entró en vigor la segunda directiva de servicios de pago europea, PSD2. Ahora, en mayo, se hace efectivo el nuevo reglamento de protección de datos en la UE, GDPR. Aunque en un primer momento pueda parecer que no tienen conexión, estas dos iniciativas regulatorias comparten objetivos comunes: dar a los ciudadanos el control sobre sus propios datos y aumentar la seguridad.
¿Cuáles son las diferencias fundamentales entre estas dos normativas?
- PSD2 es una directiva y GDPR, un reglamento. Las directivas son actos legales vinculantes que establecen objetivos que todos los países de la UE deben cumplir. Las directivas deben ser transpuestas a la legislación nacional. Por su parte, los reglamentos son actos legislativos vinculantes que deben aplicarse íntegramente sin interpretaciones locales. Pasan a tener rango de ley en todos los estados miembros en el momento de su entrada en vigor (en algunos casos, con periodos de transición).
- Con PSD2 los bancos dan acceso a datos a entidades de pago, y con GDPR la portabilidad de los datos es de cualquier empresa al usuario, o la empresa que éste designe. Con PSD2 los bancos tendrán que dar acceso a la información de la cuentas de pago a los proveedores de servicios de pago registrados ante el Banco de España, incluidos los bancos, siempre y cuando estos clientes autoricen dicho acceso. Mientras, gracias a GDPR son los clientes quienes pueden elegir libremente compartir con cualquier empresa (es decir, portar) los datos personales que posean otras instituciones con las que están vinculados. En ambos casos es a solicitud del titular de los datos, el individuo.
- PSD2 afecta al sector financiero y GDPR, a todos los sectores. PSD2 regula el acceso a los datos de transacciones de pago en poder de los bancos por parte de terceros. GDPR afecta a los datos sobre transacciones en todas las industrias. En el sector bancario, por ejemplo, afectará a los datos sobre transacciones en todos los productos; en las telecos, a los datos sobre llamadas, SMS, tráfico de datos o geolocalización; y en el comercio, a datos sobre compras detalladas.
- PSD2 da acceso a los datos en tiempo real; GDPR, en diferido. Con GDPR, las compañías tiene un mes de plazo para entregar a los ciudadanos sus datos en un formato estructurado, de uso común y legible mecánicamente. Es el llamado derecho a la portabilidad de los datos personales, una de las novedades que introduce esta norma y que se une a los derechos de acceso y borrado.
Ambas tienen algo en común: el consentimiento del cliente (regulado por GDPR), que es imprescindible para autorizar a terceros acceder a los datos (PSD2) o solicitar portabilidad de los mismos (GDPR).