Puede consultar las normas y reglamentos de otras jurisdicciones.
Las empresas fintech recopilan, controlan y procesan grandes cantidades de datos personales (incluidos los datos KYC) y, como resultado, están sujetas a las normas de privacidad de datos en virtud del Reglamento general de protección de datos (GDPR), que no se aplica solo a las empresas fintech establecidas. en la UE, sino también a empresas establecidas fuera de la UE si tienen clientes en la UE y el procesamiento de datos personales de los clientes se lleva a cabo en el contexto de la oferta de servicios a estos interesados, independientemente de si se requiere el pago de los datos tema. El Consejo Europeo de Protección de Datos (EDPB) aclaró en su Guía 3/2018 sobre el ámbito territorial del RGPD, adoptada el 16 de noviembre de 2018, que la intención de dirigirse a clientes en la UE es clave para evaluar si las entidades establecidas fuera del territorio de la UE están sujetas al RGPD.1
En algunos casos, el tratamiento de datos personales puede requerir el consentimiento del cliente. Ya no se permitirán los campos de consentimiento o exclusión premarcados, ya que el consentimiento debe ser en forma de una declaración o una acción afirmativa clara. El RGPD impone obligaciones onerosas de responsabilidad a los controladores de datos en relación con la evidencia de cumplimiento, lo que representa un cambio de paradigma importante en el régimen de protección de datos. Esto incluye realizar evaluaciones de impacto de la protección de datos para operaciones de procesamiento de mayor riesgo (como aquellas que involucran el procesamiento de datos personales que podrían usarse para cometer fraude financiero) e implementar la protección de datos desde el diseño y por defecto.1
Estas normas generales de protección de datos se complementan con las normas de secreto bancario y AML que las fintech deberán cumplir a la hora de prestar servicios a sus clientes.1
Las reglas de secreto bancario establecen que la divulgación de datos personales de clientes protegidos por el secreto bancario (incluidas las transferencias transfronterizas) solo está permitida con el permiso previo del cliente o si la divulgación es necesaria para lograr una de las siguientes acciones:
En el pasado, la Autoridad de Protección de Datos de Portugal (CNPD) dictaminó en un caso específico que todos los datos personales procesados por un banco estaban sujetos al secreto bancario.1
Con respecto al procesamiento de datos de clientes para fines de informes AML, la divulgación de datos personales relevantes específicos se basa en el cumplimiento de una obligación legal y, por lo tanto, no es necesario obtener el consentimiento del interesado. Dado que el concepto de “permiso del cliente” según el PSEMLF y el marco legal de las instituciones financieras difiere del concepto de “consentimiento” según el RGPD, muchos bancos y otras instituciones financieras optan por recopilar los permisos de los clientes para la divulgación de información del secreto bancario en el contexto de sus términos y condiciones generales del cliente.1
Otro aspecto importante del procesamiento de datos en el contexto del negocio fintech es la elaboración de perfiles de clientes y la segmentación comercial, así como la toma de decisiones automatizada basada en la creación de perfiles. No se permiten decisiones automatizadas que afecten o afecten significativamente al interesado, basadas únicamente en tratamientos automatizados de datos destinados a evaluar determinados aspectos personales que le conciernen.1
El RGPD introdujo nuevas disposiciones para abordar los riesgos asociados con la elaboración de perfiles y la toma de decisiones automatizada. Básicamente, de acuerdo con el RGPD, este tipo de toma de decisiones solo puede tener lugar si la decisión es necesaria para la celebración o ejecución del contrato, o si está autorizada por la legislación de la UE o de los Estados miembros aplicable al responsable del tratamiento, o si finalmente se basa en caras de consentimiento. Si se aplica uno de estos motivos, se deben implementar medidas de seguridad adicionales, así como la divulgación de información específica sobre la toma de decisiones individual automatizada a los interesados afectados con respecto a la lógica, el significado y las consecuencias previstas. En enero de 2020, en respuesta a una carta de la eurodiputada Sophie in 't Veld sobre algoritmos injustos sobre si el RGPD es suficiente para proteger a los interesados de la toma de decisiones automatizada injusta, el EDPB enfatizó que "los controladores tienen la obligación de considerar todos los posibles riesgos que el uso o la creación de un algoritmo específico podría potencialmente crear para los derechos y libertades de las personas y, si es necesario, tomar medidas para eliminar estos riesgos”.1
También existen restricciones adicionales sobre el uso de categorías especiales de datos (como datos de salud o datos biométricos) para cualquier procesamiento de datos personales, lo que en última instancia puede afectar la forma en que las empresas fintech implementan mecanismos sólidos de autenticación de clientes de acuerdo con los estándares técnicos regulatorios PSD II. , ya que las normas técnicas reglamentarias exigen el uso de datos biométricos de los usuarios de servicios de pago en este contexto. La CNPD siempre ha dictaminado que los datos financieros son datos confidenciales en el sentido de que revelan aspectos de la vida privada de una persona y, por lo tanto, deben estar protegidos por la Constitución portuguesa. Dado que el EDPB también trata los datos financieros como datos muy personales, esto puede afectar en última instancia al rigor de las medidas técnicas y organizativas que toman los controladores y procesadores de datos para proteger los datos, así como a la necesidad de someterse a verificación de datos. evaluación de impacto de protección (DPIA) antes del procesamiento de datos. Así, el tratamiento de datos financieros puede dar lugar a la necesidad de una EIPD de acuerdo con el Reglamento CNPD 1/2018, que enumera las actividades de tratamiento que entran dentro de la EIPD obligatoria, ya que el Reglamento se refiere al tratamiento de datos de carácter puramente naturaleza personal. en cuatro de nueve casos.1
Sin perjuicio de lo anterior, la legislación portuguesa que implementa el RGPD entró en vigor el 8 de agosto de 2019. La Ley 58/2019 introduce algunos ajustes y restricciones adicionales a las normas establecidas en el RGPD, en particular con respecto al procesamiento de datos personales de personas fallecidas. , plazos de conservación de datos aplicables y consentimiento de los menores al tratamiento de datos. En particular, y sin perjuicio del principio de limitación de la finalidad del RGPD, la Ley n.º 58/2019 permite a los responsables o encargados del tratamiento conservar los datos personales hasta la expiración de los plazos de prescripción legales durante los cuales puedan necesitar utilizar los datos para demostrar el cumplimiento de las obligaciones legales o contractuales.1
Plataformas fintech extranjeras en el mercado portugués
Trabajamos para pequeñas y medianas empresas, start-ups y empresas de telecomunicaciones internacionales
Participación como abogado en fondos de inversión de riesgo, realización de acuerdos de riesgo de M&A en el campo de TI, soporte para iGaming y activos comerciales
Servicios legales integrales para empresas en derecho corporativo, fiscal, legislación de criptomonedas, actividades de inversión
