Puede consultar las normas y reglamentos de otras jurisdicciones.
Las empresas fintech ubicadas en España o, en determinadas circunstancias, las empresas que operan en el mercado español desde territorios fuera de la UE, están sujetas a la normativa de protección de datos en la medida en que acceden y tratan datos personales, ya sea como responsables del tratamiento o como proveedores de servicios. (es decir, procesadores de datos que procesan datos en nombre de sus clientes). Desde el 25 de mayo de 2018, la principal norma de protección de datos en España es el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) (RGPD), de aplicación directa en todos los estados miembros de la UE. Este nuevo marco legal trae algunos beneficios, como la unificación de las reglas de protección de datos en toda la UE, lo que podría ayudar a las fintech locales a expandirse a otros estados miembros de la UE y podría facilitar las cosas para las fintech de territorios fuera de España que cumplen con GDPR. para lanzar sus servicios en el mercado español.1
Sin perjuicio de lo anterior, a nivel nacional y además del RGPD, en España son de aplicación determinadas normas locales de protección de datos. En concreto, en diciembre de 2018 se aprobó una nueva ley general de protección de datos: la Ley Orgánica 3/2018 de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD). LOPDGDD ha derogado formalmente la anterior normativa nacional de protección de datos que era incompatible con el RGPD y ha adaptado la normativa local para que cumpla con el RGPD. El objetivo principal de la LOPDGDD es proporcionar una regulación específica de la protección de datos en diversas materias que no están expresamente cubiertas por el RGPD o están sujetas al RGPD, pero para las cuales los Estados miembros pueden regular más. Por tanto, el tratamiento de determinados datos (por ejemplo, la inclusión de datos del deudor en ficheros generales de crédito) se encuentra regulado con detalle en la LOPDGDD. Además, la LOPDGDD ha aprobado un nuevo conjunto de derechos de los ciudadanos en relación con las nuevas tecnologías, conocidos como “derechos digitales”. Este conjunto de nuevos derechos digitales puede afectar el negocio de algunas empresas de tecnología financiera, como los derechos digitales otorgados a los empleados con respecto al uso de herramientas de TI por parte de los empleadores para monitorear el lugar de trabajo o el uso de sistemas de geolocalización.1
El Gobierno español también ha tratado de reforzar estos derechos digitales aprobando en 2021 la Carta de Derechos Digitales de España, que, si bien no tiene carácter legal ni vinculante, sienta las bases y marca los criterios para la futura regulación en esta materia. negocio en España.1
Por último, también se debe tener en cuenta el criterio de la Agencia Española de Protección de Datos, que es una de las autoridades de protección de datos más activas de la UE. Durante 2021, la Agencia Española de Protección de Datos incrementó significativamente el importe de las multas impuestas respecto a años anteriores.1
En cuanto a las posibilidades de que las empresas FinTech realicen actividades de elaboración de perfiles (es decir, el tratamiento de datos personales, incluida la elaboración de perfiles y, en algunos casos, la toma de decisiones automatizadas que afecten a personas físicas), estas actividades se rigen por el RGPD y determinadas recomendaciones de la Ley Española de Protección de Datos. agencia En general, las actividades de elaboración de perfiles en virtud del RGPD deben basarse en motivos legítimos legítimos, principalmente la existencia de una obligación legal (por ejemplo, para evaluar o prevenir el fraude), el consentimiento inequívoco o explícito de las personas, o la existencia de un interés legítimo. La interpretación de la Agencia Española de Protección de Datos del interés legítimo como base legítima para que las empresas realicen actividades de elaboración de perfiles ha sido muy restrictiva en el pasado (por ejemplo, no cubre la elaboración de perfiles realizada con datos de segundos o terceros). Además, las empresas fintech deben cumplir con las obligaciones de proporcionar información adicional y garantizar la transparencia al momento de perfilar. Además, si se utilizan tecnologías de inteligencia artificial (IA) para la elaboración de perfiles, las empresas fintech deben tener en cuenta las directrices de IA emitidas por la Agencia Española de Protección de Datos y los requisitos para auditar el tratamiento de datos personales mediante IA. Se introducen otras salvaguardas adicionales, como derechos mejorados de objeción o la necesidad de una evaluación de impacto en la privacidad.2
Finalmente, en una nota diferente, algunas de estas actividades de creación de perfiles se pueden realizar en datos anónimos o seudonimizados. Si este es el caso, las empresas fintech deben tener en cuenta que la Agencia Española de Protección de Datos ha emitido varias guías y libros blancos para los procesos de anonimización y seudonimización.3
Plataformas fintech extranjeras en el mercado español
Soporte legal para proyectos FinTech y Blockchain
Trabajamos para pequeñas y medianas empresas, start-ups y empresas de telecomunicaciones internacionales
Servicios legales integrales para empresas en derecho corporativo, fiscal, legislación de criptomonedas, actividades de inversión