Aunque no son, en principio, normativas directamente vinculadas, sí confluyen. Si bien es verdad que para tener que observar la GDPR no es necesario pertenecer al sector financiero ni FinTech (la regulación es de obligado cumplimiento para toda empresa que almacene, procese, tenga acceso, transfiera o divulgue los registros de datos de una persona de la Unión Europea), también es cierto que en ese ámbito la implementación casi simultánea de ambas normas va a tener consecuencias relevantes en la operativa que deberán aplicar las empresas.
GDPR: ¿qué debemos saber?
GDPR es como se conoce al Reglamento Europeo 679/2016 de Protección de Datos que, tras una moratoria de dos años en su aplicación, pasa a ser de obligado cumplimiento el próximo 25 de mayo (por eso hablamos de la casi simultaneidad de ambas normas, ya que el plazo de transposición de la directiva de pagos revisada por parte de los diferentes países finalizó el pasado enero).
¿Cuál es el origen –y la intención –de la nueva normativa de protección de datos? Hasta ahora, no existía un reglamento homogéneo en lo que hacía referencia a la protección de datos en toda la UE. Así que, como ya hicieron la PSD 1 y 2 con los pagos, la GDPR pretende homogeneizar la legislación en toda la Unión (lo que beneficiará a los negocios del ámbito UE, que podrán operar en todo el territorio cumpliendo una normativa común).
No sólo eso. Las actuales legislativas de protección de datos son, en general, previas a la revolución digital que estamos viviendo, y que ha hecho crecer de forma exponencial los datos que multitud de empresas (como, por ejemplo, los gigantes de Internet y las redes sociales, como Google o Facebook, pero también muchas otras, incluyendo pymes) tienen de sus usuarios. Datos que no siempre se ceden con suficiente conocimiento de las implicaciones que tiene dicha cesión; y que, a menudo no se gestionan ni protegen de forma adecuada). Por este motivo, el Reglamento va a obligar a extremar las medidas de protección de los datos de terceros. Buscando la seguridad de los clientes, pero también la confianza de estos en las transacciones digitales, como una forma de apoyar las nuevas formas y vías de negocio.
PSD2 y GDPR: ¿fines comunes o contrarios?
Si habíamos dicho que la PSD2 nació para generar mayor apertura, transparencia y competitividad, impulsando el Open Banking y dando acceso a terceros a los datos de clientes de entidades financieras; y, por otra parte, decimos que el Reglamento Europeo de Protección de Datos quiere acotar el uso que los negocios (también esos terceros que mencionábamos) dan a los datos de sus clientes y consumidores, ¿es la GDPR un tiro en el pie para la PSD2? No tiene por qué, aunque la aplicación práctica de ambas normativas no va a estar exenta de algunas dificultades y ajustes en el futuro.
Como comentábamos, en el fondo, uno de los objetivos principales de ambas regulaciones es idéntico: reconocer al consumidor como único dueño de sus datos personales y, en virtud de este reconocimiento, lograr que sea él quien decida cómo pueden usarse esos datos y con quién pueden compartirse. En este punto, quienes estén familiarizados con los primeros pasos de la PSD2 ya saben que el acceso por parte de terceros (los conocidos como TPPs) a la cuenta de un cliente bancario debe permitirse únicamente si media la autorización de dicho cliente. Tampoco la PSD2 se olvida de la seguridad de los datos, con la previsión de medidas como la Autenticación Reforzada de Clientes (SCA). Pero, como ya mencionábamos, el reto para las empresas en un futuro próximo será conciliar ambas normativas y sus legítimas aspiraciones. Y algunas firmas, como es el caso de Unnax, hace tiempo que trabajamos para superar este reto y facilitar que nuestros clientes puedan lograrlo.
