El artículo plantea cuestiones importantes con respecto a la protección de datos y la legislación aplicable a la prestación de los servicios complementarios a los pagos por Internet.
Hoy en día, todo se puede comprar sin moverse del sofá, únicamente necesita una pantalla, un teclado y conexión ADSL/Wifi. ¿Le apetece un viaje?, ¿ropa?, ¿comida?, puede adquirirlo en ese hipermercado llamado Internet.
Pero, ¿cómo abonar estas compras? El influjo de Internet también ha afectado, como no podía ser de otra forma, a los pagos. En los últimos años, se ha producido un gran aumento de los pagos a través de Internet, lo que ha potenciado la aparición de servicios complementarios a estos entre los que cabe destacar, por ser de los más relevantes, los servicios de iniciación de pagos, y los de información sobre cuentas.
Los servicios de iniciación, permiten al consumidor abonar el precio de un producto o servicio a través de Internet, sin necesidad de disponer en el momento del pago de una tarjeta o de acceso a su cuenta bancaria, poniendo a disposición del mismo una plataforma tecnológica que sirve de enlace entre la web del comerciante y el banco en el que el consumidor tiene su cuenta (e.j. Sofort). El proveedor de servicios de iniciación, gestiona la orden de pago tanto con el comerciante como con el banco, facilitándole así al consumidor la compra del producto o servicio. Además, ofrece al comerciante la seguridad de que el pago se ha iniciado, por lo que propiciará que este entregue el bien o preste el servicio sin dilaciones innecesarias.
Con el fin de reducir el tiempo que pasamos revisando, banco por banco, el estado de nuestras cuentas, los servicios de información sobre cuentas (e.j. Fintonic) facilitan al usuario la gestión de sus cuentas bancarias mediante la visión agregada de las mismas, así como de sus gastos (ordenados por categorías) y el aviso de los cobros (especialmente de aquellos inesperados).
Puesto que estos servicios han ido apareciendo paulatinamente desde la publicación de la actual legislación española de servicios de pago (Ley 16/2009 y Real Decreto 712/2010) no se encuentran sujetos a su aplicación. En consecuencia, las entidades que los prestan no están sometidas a la supervisión de Banco de España, como es el caso de las entidades de pago sujetas a esta normativa.
El limbo regulatorio en el que parecen estar sumidas estas entidades, plantea cuestiones importantes con respecto a sus consumidores como la efectiva protección de los mismos, el respeto a la protección de datos o la legislación aplicable a la prestación de estos servicios.
Asimismo, plantea el reto de regular estas actividades para proteger a los consumidores sin dejar de fomentar el progreso de la tecnología.
Se hace necesario, por tanto, que se cree un marco legal claro en el que se establezcan condiciones en virtud de las cuales estas entidades puedan prestar sus servicios.
¿Está preparada la legislación, normalmente a la zaga de la sociedad, para asumir este reto?
La respuesta a este interrogante viene dada, entre otros, por la publicación de la nueva Directiva Europea 2015/2366 de Servicios de pago, conocida como PSD2, el pasado 23 de diciembre, que deroga la anterior Directiva 2007/64/CE de Servicios de Pago (Directiva 2007/64). La nueva Directiva, introduce algunos cambios significativos respecto a los servicios de pago prestados a través de Internet, tal y como se detalla a continuación.
PSD2 incluye como servicios de pago sujetos a la Directiva, a los denominados como prestadores de servicios de pago externos o Third Party Payment Service Providers, en su versión original (en adelante, TPPs) compuestos precisamente por los servicios de iniciación de pagos y los servicios de información sobre cuentas mencionados anteriormente, que, tal y como se había indicado, hasta ahora podían considerarse exentos, tanto a nivel español como europeo [art. 3 j) de la Directiva 2007/64].
PSD2 define el servicio de iniciación de pagos como el “servicio que permite iniciar una orden de pago, a petición del usuario del servicio de pago, respecto de una cuenta de pago abierta con otro proveedor de servicios de pago”, donde se incluyen, por ejemplo, Sofort, Trustly o Ideal.
Adicionalmente, el servicio de información sobre cuentas queda definido como el “servicio en línea cuya finalidad consiste en facilitar información agregada sobre una o varias cuentas de pago de las que es titular el usuario del servicio de pago bien en otro proveedor de servicios de pago, bien en varios proveedores de servicios de pago”, como sucede, además de con Fintonic, por ejemplo, con Moven, Yodlee o Mint.
Uno de los objetivos de PSD2 al encuadrar a los TPPs dentro de su ámbito subjetivo es proporcionar a los consumidores una protección adecuada de sus pagos y de los datos de sus cuentas, así como seguridad jurídica en cuanto a la normativa aplicable a estos prestadores de servicios. Entre otros aspectos, PSD2 regula las disposiciones que deberán cumplir los sujetos obligados, en materia de protección y seguridad de los datos de los consumidores.
En ese sentido y de cara a reforzar la protección de los consumidores, PSD2 establece una autenticación reforzada de los clientes para aquellos casos en los que estos:
“a) acceda a su cuenta de pago en línea;
b) inicie una operación de pago electrónico;
c) realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos."
Es decir, para todos aquellos casos en los que un consumidor lleve a cabo una acción relacionada con su cuenta de pago o con operaciones de pago a través de Internet. En estos casos, los prestadores de servicios deberán aplicar medidas adicionales a las que venían aplicando hasta ahora para comprobar de manera fehaciente la identidad del consumidor e impedir que cualquier persona ajena a este pueda acceder a sus datos. Este refuerzo en la autenticación de la identidad del consumidor, se llevará a cabo mediante la comprobación de ciertos aspectos que únicamente el propio consumidor pueda conocer.
Todos aquellos TPPs que hayan comenzado su actividad antes del 12 de enero de 2016, podrán, como mínimo hasta el 13 de enero del 2018, seguir llevando a cabo sus actividades como hasta ahora, es decir, en el caso que nos ocupa (España) sin necesidad de solicitar autorización como entidades de pago ante Banco de España. A partir de esa fecha, y siempre y cuando el legislador nacional no establezca otra cosa, los TPPs deberán someterse a la supervisión de Banco de España, solicitándole su autorización y registro como Entidades de Pago. Antes de ser autorizados, Banco de España revisará que cumplan con toda la normativa aplicable a las entidades de pago y con una adecuada protección de los consumidores.
Los Estados Miembros tendrán hasta el 13 de enero de 2018 para transponer PSD2 en sus ordenamientos jurídicos. Para que esto suceda en España, tendremos que esperar a que se publique la nueva Ley de Servicios de Pago, que derogará la actual Ley 16/2009, a la que no se espera en un periodo corto de tiempo.
¿Qué ocurre entonces con estas entidades hasta que se transponga PSD2 en España?
¿Significa esto que hasta que no se transponga PSD2 en España, los TPPs se encuentran exentos de aplicar cualquier tipo de control en sus operaciones con respecto a los servicios que prestan a los consumidores españoles? Ni mucho menos.
Es cierto que, tal y como se mencionaba anteriormente, en España nos encontramos en una especie de limbo regulatorio con respecto a los TPPs, en el que no existen ni unas directrices ni unos actores claros y que, en la actualidad, no se encuentra controlado por ningún supervisor español. Hasta que no se publique la Ley que transponga la Directiva, no existirá una regulación armonizada para este tipo de prestadores de servicios.
Sin embargo, los mismos están sujetos a cierta normativa ineludible. Entre otras, estos prestadores de servicios deberán cumplir con la normativa de defensa de los consumidores (Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios) en lo que respecta a la protección de los derechos de los mismos. Asimismo, están sujetos a la normativa de protección de datos (Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal) en relación al tratamiento, la salvaguarda de los datos personales y los derechos de los consumidores sobre ellos. Con respecto a la contratación de sus servicios a través de Internet, estos prestadores de servicios de pago están sujetos a la legislación específica aplicable a la contratación electrónica (Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico). Estos son solo algunos ejemplos de normativa a la que se encuentran sometidos los TPPs que presten servicios en España, donde se establecen los requisitos y limitaciones a los que deben atenerse en la prestación de los servicios a los consumidores.
Por tanto, hasta que se publique la nueva Ley de servicios de pago que trasponga PSD2 y armonice la regulación de este tipo de servicios, debemos contentarnos con este “Frankenstein normativo” adaptado a los servicios que presta cada una de estas entidades, que si bien es diverso, asegura el respeto a los derechos de los consumidores.
Volvamos entonces a la pregunta inicial, la excesiva cautela de algunos consumidores hacia este tipo de servicios ¿razonable o infundada?
Juzguen ustedes mismos.