Registro único alquiler·huelga controladores franceses·Lluís Rullan Colom·EASYJET·caos Barajas·turistas·distribución·imserso·Abono gratuito tren·hyatt·Spring hotels·INVERSIÓN HOTELEs·Pisos turísticos·millenium·Ola de calor·Huelga finlandia·oriente medio·gran hotel almería·Aeropuerto palma·destinos verano·fuerteventura·abono único cercanias·Iberia·Impuestos turísticos·AGENCIAS DE VIAJES·imserso precios caros·protestas turismo·Preferente viajes imserso·boeing·Reclamar fallo informático·Destinos buceo·BONO VERANO JOVEN·Booking.com·Parques naturales·Abono gratuito tren·VIVIENDAS TURÍSTICAS·IMSERSO VIAJES·ALQUILER TURÍSTICO·Ranking hosteltur·HUELGA FRANCIA·CIUDADES MÁS POBLADAS·PISOS TURÍSTICOS·VIAJAR BARATO·Playa surf·AGENCIAS DE VIAJES·MUNDIPLAN·MELIÁ·HUELGA RENFE·Precio imserso viajes·TURISMO SOSTENIBLE·TURISMO INTERNACIONAL·MEJORES DESTINOS DEL MUNDO PARA VIAJAR·DESTINOS EUROPA VIAJAR·DESTINOS ESPAÑA VIAJAR·TRANSACCIONES HOTELERAS·TURISMO SOCIAL·HOSTELTUR TV·BARCELONA·MARKETING TURÍSTICO·BARCELÓ·CANARIAS·APERTURA HOTEL·HOTELES MÉXICO·FESTIVOS 2025 ESPAÑA·IMSERSO·Cambio de hora·
Hemeroteca Tarifas
Hosteltur, noticias de turismo para profesionales. Actualidad sobre hoteles, economía, agencias de viajes, aerolíneas y empresas de turismo.
  • Acceso / Registro
Academy
  • Última hora noticias
  • Hoteles y Alojamientos
  • Distribución
  • Economía
  • Transportes
  • Destinos
Premium

Hazte Premium por sólo 0,17€/día y accede a todo nuestro contenido sin límites.

Por Monlex Abogados, en Economía

PSD2: la directiva europea de servicios de pago, ¿es compatible con el RGPD?

Desde el 1 de enero de 2021 todos los comercios que aplican la compraventa online por medios electrónicos están obligados a implementar la segunda Directiva Europea de Servicios de Pago PSD2 o Payment Services Directive, traspuesta a nuestro ordenamiento 6 abril, 2021 (11:24:14)
Imagen opinión Hosteltur

La evolución natural del sector bancario y la llegada del “openbanking”, consistente en la apertura por parte de las entidades financieras de la información de sus clientes a terceros proveedores de servicios de pago o TPPs (Third Party Providers), para que estos últimos puedan prestarles sus servicios, ha supuesto, lógicamente, la creación de este marco regulatorio.

Entre otras novedades introducidas por la Directiva, se encuentra precisamente la obligación de las entidades bancarias de facilitar a los TPPs el acceso a través de APIs a sus servicios de pago y a las cuentas de sus clientes (previo consentimiento del titular), imprescindible para que puedan ofrecer sus servicios.

Cabe destacar entre sus principales objetivos:

• Mejorar la seguridad de los pagos electrónicos online para proteger a los consumidores.

• Reforzar la protección frente a fraudes en operaciones bancarias realizadas a través de internet.

• Liberalizar el sector.

En definitiva, contribuye entre otras cosas, al desarrollo de un mercado único de pagos en la Unión Europea, mediando en la relación entre consumidores, productos y servicios financieros disponibles.

Convivencia del RGPD y la aplicación de la PSD2.

Si bien, como ya sabemos la PSD2 debe interpretarse conforme lo dispuesto en el RGPD, la interacción de ambas normas ha generado incertidumbre ya que tanto una como otra contienen disposiciones relativas a la protección y seguridad de datos personales, llegando incluso muchas empresas al pensamiento equivocado de que la aplicación de la PSD2 conlleva un incumplimiento del RGPD y su respectiva sanción.

Por ello, la elección entre una u otra es una idea errónea, ya que lo que se debe garantizar es que los requisitos de ambas normativas estén coordinados y complementados.

El Comité Europeo de Protección de Datos adoptó una Guía sobre la interacción de la PSD2 y el RGPD, con el objetivo precisamente de resolver tales dudas, centrada en los tratamientos realizados por los servicios de iniciación de pagos (PIS) y los servicios de información de cuenta (AIS).

El Comité establece que la base legal para los tratamientos llevados a cabo en el ámbito de la PSD2 es la ejecución de un contrato, quedando cubiertos los tratamientos estrictamente esenciales. En el mismo sentido, si a través de un único contrato se pretenden prestar varios servicios que exigen diferentes tratamientos, cada uno debe especificarse de manera clara y separada.

Con lo cuál, las PIS y AIS sólo pueden usar, acceder y almacenar los datos personales estrictamente necesarios para la prestación de los servicios expresamente solicitados (lo que en el marco del RGPD conocemos como el principio de minimización de datos y limitación de la finalidad), pudiendo excepcionalmente, tratar datos personales para fines distintos de aquellos para los que fueron inicialmente recabados:

• Cuando lo permita el Derecho de la Unión o de un Estado miembro

• Cuando medie el consentimiento de los interesados, y siempre que el responsable sea capaz de probar que estos pueden retirarlo en cualquier momento.

Consentimiento en la PSD2 y en el RGPD

Es importante la distinción que se realiza entre la expresión “consentimiento expreso” contemplado tanto en la PSD2 como en el RGPD.

En ningún caso debe confundirse el consentimiento de la PSD2 con el del RGPD, ya que el primero, no puede ser entendido como una base adicional en el sentido del RGPD, sino como un requisito de naturaleza contractual, es decir, en el contrato que constituya la base para el tratamiento ha de recabarse el consentimiento del usuario, de modo que desde el principio este conozca su alcance y los fines perseguidos. Pero este consentimiento no será la base para realizar el tratamiento de sus datos personales.

Terceros “inactivos” o “Silent Party”

Por otro lado, debemos tener en cuenta los datos de las personas que están involucradas en el proceso de los servicios de pago pero que no son los usuarios de los mismos, como sucede en el caso de los receptores de transferencias o cuando utilizamos servicios de agregación de cuentas y un tercero realiza transferencias con nosotros como usuarios. Estos son conocidos como terceros inactivos o “Silent Party”.

Los datos de estos terceros son tratados por los AISPs y PISPs (sus datos también forman parte de los datos tratados por el proveedor del servicio), siendo la base legitimadora del tratamiento el interés legítimo del responsable del tratamiento o del intermediario financiero que corresponda, así como, en su caso, el cumplimiento de sus obligaciones legales.

No podrán utilizarse sus datos para fines distintos de aquellos para los que fueron inicialmente recogidos, salvo cuando lo permita el Derecho de la Unión o Estado Miembro, o cuando medie consentimiento del interesado.

Actividades de perfilado y datos sensibles

En muchas ocasiones, puede llegar a circular información financiera con datos especialmente sensibles, como pueden ser, a modo de ejemplo, las donaciones realizadas por titulares de cuentas bancarias a fundaciones u organizaciones religiosas.

Las actividades de perfilado (que pueden llevar a cabo los AISPs) pueden revelar este tipo de datos especialmente sensibles como son las ideologías o convicciones políticas o religiosas, así como datos sanitarios o de orientación sexual de los usuarios.

Estas actividades quedan fuera del ámbito de aplicación de la PSD2, siendo aplicable lo dispuesto en el RGPD, por lo que será necesario el consentimiento del interesado o el cumplimiento de obligaciones en favor del interés público, en tanto que la Directiva restringe el tratamiento a lo exclusivamente relacionado con el servicio que se proporciona.

Por ello, es imprescindible destacar que el tratamiento de datos sensibles está sujeto exclusivamente a razones de interés público esencial sobre la base del Derecho de la Unión o de los Estados miembros o si el interesado dio su consentimiento. En caso de no existir tales excepciones o circunstancias, el responsable o proveedores de servicios de pago deberán implementar las medidas técnicas, organizativas y de seguridad oportunas para impedir el tratamiento de datos sensibles.

Por último, en relación al artículo 5 del RGPD, la Guía concluye recordándonos que:

• La protección de los datos debe realizarse en todo caso desde el diseño.

• Se deben adoptar las medidas técnicas y organizativas que permitan garantizar la minimización de los datos.

• Deben implementarse límites a los periodos de retención de los datos personales.

• Se debe garantizar la seguridad de los datos de los interesados adoptando unas medidas adecuadas y elevadas de protección, estableciendo mecanismos de autenticación y restricción de accesos.

• En relación con el principio de transparencia, el responsable puede servirse de mecanismos adicionales, como tablones de privacidad, para informar a través de diferentes capas.

En definitiva, deben prevalecer los principios contenidos en el RGPD a la hora de cumplir con lo dispuesto en la PSD2, examinando y valorando por separado las coincidencias de ambos textos en su contexto, siendo el objetivo principal la transparencia en la relación con los usuarios y la protección de sus datos personales.

Guillermo Caro

Abogado, especialista en Nuevas Tecnologías

gcaro@binauramonlex.com

Avatar Monlex Abogados Monlex Abogados MONLEX
Más sobre Economía
  • Monlex

Para comentar, así como para ver ciertos contenidos de Hosteltur, inicia sesión o crea tu cuenta

Inicia sesión
Comentarios 0

Esta opinión no tiene comentarios.


Últimas notas de prensa

  • Costa Cruceros lanza una segunda vuelta al mundo en 2026
  • Vibra Hotels, nuevo patrono de Impulsa Balears
  • 524 banderas Q de Calidad y S de Sostenibilidad Turística este verano
  • Zemi Miches Punta Cana debuta en el paraíso escondido de República Dominicana

Las noticias más leídas

  • El 1 de julio arranca el plazo para solicitar los viajes del Imserso
  • Adiós a los abonos gratuitos de Renfe: estos son sus nuevos precios
  • Japón planea endurecer los requisitos de entrada de turistas al país

Noticias destacadas

  • ¿No soportas las altas temperaturas? 9 destinos frescos para el verano
  • Hoy arranca el plazo para solicitar los viajes del Imserso
  • Precios de los viajes del Imserso: ¿cuáles son los más económicos?
  • Acuerdo salarial en la hostelería de Tenerife para los próximos tres años
  • Adiós a los abonos gratuitos de Renfe: estos son sus nuevos precios

Acerca de comunidad

  • ¿Qué es Comunidad Hosteltur?
  • Términos de uso
  • Cómo publicar un artículo de opinión en Hosteltur
  • Cómo publicar notas de prensa en Hosteltur
Tarifas y productos para potenciar estrategias digitales

Hosteltur llega a más de 400.000 usuarios profesionales del sector turístico, a través de diferentes plataformas, brindando la mejor información y soluciones de marketing.

Ver tarifas y dosier

Hosteltur llega a más de 400.000 usuarios profesionales del sector turístico, a través de diferentes plataformas, brindando la mejor información y soluciones de marketing.

Conoce a nuestro equipo
Hosteltur

Noticias de turismo para profesionales.
Actualidad sobre hoteles, economía, agencias de viajes, aerolíneas y empresas de turismo

Diario 7497 03.07.2025 | 20:17

  • Quiénes somos
  • Academy
  • Wikitur
  • Webinars
  • Revistas
  • Comunidad
  • Noticias más leídas
  • Hoteles y Alojamientos
  • Distribución
  • Economía
  • Transportes
  • Innovación
  • Edición Latam
  • Tarifas
  • Contacto
  • Linkedin
  • Twitter
  • Facebook
  • Instagram
  • Youtube
  • Tiktok
  • Bluesky
  • Telegram
  • Whatsapp
  • Rss
  • Nota legal
  • Política de privacidad
  • Cláusula informativa de usuario
  • Política de cookies
  • Panel cookies

Proyecto acogido al programa de incentivos ligados al autoconsumo y almacenamiento, con fuentes de energía renovable, así como a la implantación de sistemas térmicos renovables en el sector residencial en el marco del Plan de Recuperación, Transformación y Resiliencia, financiado por la Unión Europea - NextGenerationEU #PlanDeRecuperación

Comentar Accede o Regístrate
¿Ya eres usuario? Inicia sesión

Puedes acceder a este sitio web, mediante las siguientes opciones:

Acceso Gratuito con Cookies:

Si prefieres acceder de manera gratuita, puedes hacerlo aceptando la instalación de cookies. Al pulsar "Aceptar y Continuar", consientes la instalación de cookies, incluyendo aquellas de nuestros socios, para análisis de comportamiento, personalización de contenido y publicidad. Esta opción permite financiar nuestra plataforma y mantener la gratuidad del acceso.

Navegación Personalizada (Socios Premium):

Opta por una experiencia libre de cookies mediante nuestra opción “Hacerse socio Premium”. Siendo socio, tendrás acceso completo al contenido sin comprometer tu privacidad. Solo se instalarán las cookies estrictamente necesarias para la funcionalidad del sitio, por otra parte, nuestros suscriptores tendrán la opción de gestionar el consentimiento sobre la instalación del resto de cookies iniciando sesión en su cuenta.

Si ya eres socio Premium, puedes acceder al sitio y al contenido exclusivo iniciando sesión en tu cuenta. En este escenario, puedes configurar tus preferencias de cookies a través de configuración de cookies después de iniciar sesión.

Rechazar y suscribirse

Usted permite:

Medir el rendimiento del contenido (Google Analytics, Google Tag Manager, Linkedin Insight Tag y Meta Insights API)

Medir el rendimiento de los anunciantes (ADARA Analytics)

Puedes obtener más información en nuestra política de cookies o retirar tu consentimiento, en cualquier momento haciendo clic en configuración de cookies.