Interés legítimo de los proveedores de servicios de pagos

"Interés legítimo de los proveedores de servicios de pagos", artículo de Eduardo Martínez, abogado de ECIJA, para LegalToday.

Tras la publicación de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE (en adelante “Directiva PSD2”), surgieron distintas dudas acerca de la aplicación de las obligaciones establecidas en el Reglamento General de Protección de Datos Reglamento 2016/679 (en adelante “RGPD”), en la prestación de los servicios de estas plataformas.

Con el objetivo de disipar alguna de estas dudas, o conceptos jurídicos indeterminados, se realizó una consulta al nuevo organismo creado a través del RGPD, The European Data Protection Board (en adelante "EDPB"). En esta consulta se planteaban dos cuestiones relevantes:

• Por un lado se planteaba la legitimación del tratamiento de datos personales de la que llaman "silent parties" o parte silenciosa.
• Por otra parte, hacían alusión a la necesidad del consentimiento explícito del usuario para el tratamiento de sus datos al que hace referencia la propia Directiva PSD2^[1]

Como resultado de esta consulta el EDPB ha emitido una carta resolviendo ^[2]estas dos cuestiones, con el objetivo de facilitar la actividad a dichos prestadores de servicios de pago.

Lo más relevante que encontramos en esta carta, es lo relativo a la aplicación e interpretación del interés legítimo como base legitimadora para tratar datos personales de los "Silent party data".

La parte silenciosa a la que se hace referencia, se identifica como aquel interesado del que se tratan datos personales en base al servicio que se presta a otro interesado, con el que el prestador, sí que se mantiene una relación contractual ,es decir, más bien al interesado que sí se le prestan directamente los servicios de pagos en línea.

En la propia carta, se plantea el siguiente supuesto que se presenta de manera continua en este tipo de servicios:

• Interesado A, quiere hacer una transferencia de dinero al interesado B, a través de una plataforma de servicios de pago en línea.
• Entre el interesado A y el B, no existe relación contractual alguna, podemos decir que dicha trasferencia se realiza por tanto en el ámbito privado y personal de los interesados.
• El interesado A, presta su consentimiento explícito para que se traten sus datos personales con la finalidad de realizar la transferencia, esto se realiza mediante la aceptación de los términos, condiciones y política de privacidad del servicio. En cambio el proveedor de los servicios de pago, no ha podido obtener el consentimiento explícito del interesado B para acceder a sus datos personales (datos bancarios) con el objetivo de transferir a su cuenta el dinero, ya que el interesado B no ha aceptado los términos, condiciones y política de privacidad del prestador de servicios de pagos en línea.

El EDPB señala que el GDPR puede efectivamente permitir el tratamiento de datos personales en función del interés legítimo perseguido por un responsable del tratamiento o por un tercero ex artículo 6 (1) (F).

Sin embargo, debe tenerse en cuenta que dicho tratamiento solo puede tener lugar cuando el interés legítimo del responsable no está "limitado por los intereses o derechos y libertades fundamentales del interesado que requieren protección de datos personales".

(...)

Haga click aquí para acceder a la versión completa del artículo.