Directiva PSD2 + Resolución Fashion ID = ¿Curvas peligrosas en el pago online?

La Directiva 2015/2366 o PSD2

La Directiva 2015/2366 o PSD2 sobre autenticación reforzada en materia de pagos, el último meteoro que nos ha regalado Europa, en su eterna sabiduría, (junto con su muletilla el Reglamento Delegado nº 2018/389 que desarrolla puntos clave); y que en nuestro país se aplicará gracias al Real Decreto-Ley 19/2018, creado para trasponer esta Directiva a nuestro ordenamiento jurídico, y ese Reglamento Delegado de la Directiva al que se remite en ciertas cuestiones.

En resumen, esta norma intenta reforzar el pago online que todos hacemos en cualquier página o app que tenga una tienda online o módulo de comercio electrónico, obligando al prestador del servicio de gestión y comprobación de pago (banco o no) a que garantice que el usuario es quien dice ser aplicando, principalmente, las siguientes comprobaciones:

• Análisis previo del riesgo de la operación: mecanismo de supervisión y registro en tiempo real del comportamiento del usuario durante la operación, afín detectar posibles anomalías y fraude.

 

• Triple factor de autenticación reforzada: triple nivel de verificación de la identidad del usuario que intenta hacer una transacción, siendo obligatoria para el prestador aplicar al menos dos de los siguientes tres criterios:
  • Algo que el usuario conoce, como, por ejemplo, un usuario y contraseña.
  • Algo que el usuario posee, como, por ejemplo, un dispositivo móvil.
  • Algo que el usuario es, como, por ejemplo, la recogida de datos especialmente protegidos que identifiquen al usuario sin posibilidad de error, como, su huella dactilar o su patrón facial.

Con esto, resulta que de pronto, las compras online van a requerir el tratamiento de datos biométricos, algo que complica las cosas desde el punto de vista de la protección de datos.

Perfecto, pero esto es para los bancos. Si yo soy el titular de la página/ sistema de comercio electrónico, esto me importa un comino ¿no?

 

Ojo cuidao!!

Aunque la norma obliga solamente al prestador del servicio de pago, si un tercero, ejem, malicioso, adquiere algo “cascándole el importe” a otra persona, es decir, suplantando su identidad el damnificado irá a por ti, dueño de la tienda en la que se ha adquirido, y no a la pasarela de pago que lo ha permitido.

Y ya luego están las movidas de protección de datos que surgen de la colisión entre la Directiva PSD2 y la reciente sentencia “Fashion ID”, que contamos a continuación:

Sentencia Fashion ID

La reciente Resolución del Tribunal de Justicia Europeo (TJUE) sobre el caso Fashion ID del pasado 29 de julio (del que puedes consultar un acertado y conciso análisis de Elena Gil González en el blog Secuoya) ha establecido varias cosas:

• Que el titular de un sitio web es corresponsable junto con Facebook del botón “Me gusta” incrustado en su página en relación con la recogida y cesión de datos a Facebook (no en relación con las maldades que haga la propia Facebook una vez que recibe los datos cedidos).

 

• Que el titular del sitio web debe ser el que informe al usuario en materia de protección de datos por ser el punto de acceso

Ambas novedades aplican a la tienda, cambiando el botón social, por el módulo de e-commerce que, en tu interés, capta y cede ciertos datos del comprador para que tu pasarela de pago lo valide y dé el ok, haciendo posible la venta.

 

¿En serio soy responsable yo del tratamiento de datos biométricos? ¿Pero si no trato en ningún momento esos datos personales?

Corresponsabilidad, sí.

Si, ya que la propia Resolución del TJUE nos recuerda que el concepto de responsable debe entenderse de manera amplia, es decir, que no tener acceso a esos datos tratados no te libraría de este marrón (como ya había dicho el tribunal antes, como la conocida Resolución C‑210/16 sobre corresponsabilidad en fan-pages de Facebook).

¿Por cuálo?

La tienda web es responsable porque los datos que se solicitan adicionalmente al comprador para autentificar reforzadamente su identidad, aseguran la transacción en favor del cliente, pero también del negocio.

El prestador de servicios de pago es responsable porque realiza ese tratamiento de datos en nombre propio, por imperativo legal.

Acuerdo de corresponsabilidad: ese desconocido

En consecuencia, ambas partes deben firmar un contrato o acuerdo de corresponsabilidad que plasme el reparto de responsabilidades de cada parte, y poner a disposición de los interesados (usuarios titulares de los datos) sus aspectos más relevantes.

Transparencia

En cuanto a la información, aplicando la doctrina Fashion ID, tendríamos que cumplir nuestra obligación de transparencia en relación con:

• Una elaboración de perfiles y decisiones totalmente automatizadas con efectos jurídicos relevantes del artículo 22 del RGPD, gracias a esa obligación de realizar un análisis del riesgo de la operación en tiempo real que impone la Directiva (y que determinará la necesidad o no de solicitar al cliente más datos para asegurar la transacción).
• Un posible tratamiento de datos biométricos (huella dactilar, patrón facial o cualquier otro que se les ocurra), es decir de categoría especial, gracias al tercer nivel de autenticación reforzada que recoge la Directiva.

 

Base de legitimación

Y para rizar aún más el rizo, hablemos de la doble legitimación necesaria para tratar ese bendito dato biométrico: (una base de legitimación del artículo 6 y una de las excepciones del artículo 9, simultáneamente). Circunstancia que las propias autoridades de protección de datos ya empiezan a incluir en sus Resoluciones, como por ejemplo la propia AEPD en su informe sobre nuestro querido artículo 58 bis LOREG.

• General del artículo 6: aunque puede parecer en principio que la obligación legal puede cubrir el tratamiento para ambas partes, en sentido estricto técnico, creo, sólo sería de aplicación al prestador del servicio de pago, pero más dudosamente a ti vendedor, porque la Directiva PSD2 no te menciona. El tratamiento de la parte del vendedor cabe vía ejecución del contrato/ operaciones precontractuales con el usuario al entender que esta validación del pago es necesaria para la conclusión del contrato.

 

• Excepción del artículo 9: ese dato biométrico que puede llegar a tratarse, te lleva al pantanoso reino del artículo 9 y con la única baza de poder justificarlo en atención al interés público esencial que recoge el punto g siempre que se justifique por un norma de rango legal, y que en este caso podría ser el fin del Real Decreto (Ley) que traspone la Directiva: dotar de seguridad jurídica, y mayor protección, a los consumidores y operadores en materia de pagos.

 

El consentimiento explícito no parece aplicable aquí, porque el cliente no tiene verdadera libertad para prestarlo o no: son lentejas).

¿Tienes otro enfoque? Somos todo oídos.

Conclusiones

• La Directiva PSD2 te obliga a contratar, tras elegir adecuadamente en aras de la accountability (responsabilidad proactiva) a un prestador de servicios de pago que cumpla con estas nuevas garantías.
• Te toca ser corresponsable del tratamiento en la fase de recogida y cesión de los datos al prestador de servicios de pago, y, por tanto, firmar un contrato de corresponsabilidad con el prestador del servicio de pago en los términos que marca el artículo 26 del RGPD.
• Te toca informar al usuario, en los términos que marca el artículo 13 del RGPD, del posible tratamiento de datos biométricos y de la monitorización totalmente automatizada que, ambos casos, llevará a cabo no tú, sino el prestador de servicios de pago.

 

Darío López Rincón                            Jorge García Herrero