סקירת שוק

Demo

חברות פינטק הממוקמות בספרד, או, בנסיבות מסוימות, חברות הפועלות בשוק הספרדי מטריטוריות מחוץ לאיחוד האירופי, כפופות לתקנות הגנת מידע במידה שהן ניגשות ומעבדות נתונים אישיים כבקרי נתונים או כספקי שירות. (כלומר מעבדי נתונים המעבדים נתונים בשם לקוחותיהם). מאז 25 במאי 2018, כלל הגנת הנתונים העיקרי בספרד הוא תקנת הגנת המידע הכללית (תקנה (EU) 2016/679) (GDPR), אשר ישימה ישירות בכל המדינות החברות באיחוד האירופי. מסגרת משפטית חדשה זו מביאה כמה יתרונות, כמו איחוד כללי הגנת מידע ברחבי האיחוד האירופי, מה שיכול לעזור לפינטק מקומיים להתרחב למדינות אחרות באיחוד האירופי, ויכול להקל על פינטק מטריטוריות מחוץ לספרד התואמות ל-GDPR. להשיק את השירותים שלהם בשוק הספרדי.¹

על אף האמור לעיל, ברמה הלאומית ובנוסף ל-GDPR, תקנות מסוימות להגנת מידע מקומיות חלות בספרד. במיוחד, בדצמבר 2018, אומץ חוק כללי חדש להגנת מידע: חוק היסוד הספרדי 3/2018 בנושא הגנת מידע וזכויות דיגיטליות (LOPDGDD). LOPDGDD ביטלה רשמית תקנות לאומיות קודמות להגנת מידע שלא היו תואמות את ה-GDPR והתאימה את התקנות המקומיות כדי להתאים אותן ל-GDPR. המטרה העיקרית של ה- LOPDGDD היא לספק רגולציה ספציפית של הגנת מידע בנושאים שונים שאינם מכוסים במפורש על ידי ה-GDPR או כפופים ל-GDPR, אך עבורם מדינות החברות רשאיות רגולציה נוספת. לכן, עיבוד נתונים מסוימים (לדוגמה, הכללת נתוני חייבים בקבצי אשראי כלליים) מוסדר בפירוט ב-LOPDGDD. בנוסף, ה-LOPDGDD אישר מערך חדש של זכויות אזרחים בנוגע לטכנולוגיות חדשות, המכונה "זכויות דיגיטליות". קבוצה זו של זכויות דיגיטליות חדשות עשויות להשפיע על העסקים של חברות פינטק מסוימות, כגון הזכויות הדיגיטליות המוענקות לעובדים בנוגע לשימוש בכלי IT על ידי מעסיקים למטרות ניטור במקום העבודה או שימוש במערכות מיקום גיאוגרפי.¹

ממשלת ספרד גם ניסתה לחזק את הזכויות הדיגיטליות הללו על ידי אישור בשנת 2021 את אמנת הזכויות הדיגיטליות של ספרד, שלמרות שאינה בעלת אופי משפטי או מחייב, היא מהווה את הבסיס וקובעת את הקריטריונים לתקנות עתידיות בתחום זה. עסקים בספרד.¹

לבסוף, יש לקחת בחשבון גם את הקריטריונים של הסוכנות הספרדית להגנת מידע, שהיא אחת מרשויות הגנת המידע הפעילות ביותר באיחוד האירופי. במהלך שנת 2021, הסוכנות הספרדית להגנת מידע הגדילה משמעותית את סכום הקנסות שהוטלו בהשוואה לשנים קודמות.¹

בהתייחס לאפשרויות של חברות פינטק לבצע פעילויות פרופיל (כלומר עיבוד נתונים אישיים, כולל פרופילים ובמקרים מסוימים, קבלת החלטות אוטומטיות המשפיעות על אנשים), פעילויות אלו כפופות ל-GDPR והמלצות מסוימות של הגנת המידע הספרדית סוכנות . באופן כללי, פעילויות פרופיל תחת ה-GDPR חייבות להתבסס על סיבות לגיטימיות לגיטימיות, בעיקר קיומה של חובה משפטית (לדוגמה, להעריך או למנוע הונאה), הסכמה חד משמעית או מפורשת של יחידים, או קיומו של אינטרס לגיטימי. הפרשנות של הסוכנות הספרדית להגנת מידע לגבי אינטרס לגיטימי כבסיס לגיטימי לחברות המבצעות פעילות פרופיל הייתה מגבילה מאוד בעבר (לדוגמה, היא אינה מכסה פרופיל המבוצע באמצעות נתוני צד שני או שלישי). בנוסף, חברות פינטק חייבות לעמוד בהתחייבויות לספק מידע נוסף ולהבטיח שקיפות בעת יצירת פרופילים. בנוסף, אם נעשה שימוש בטכנולוגיות של בינה מלאכותית (AI) ליצירת פרופילים, חברות פינטק צריכות לקחת בחשבון את הנחיות הבינה המלאכותית שהונפקו על ידי הסוכנות הספרדית להגנת המידע ואת הדרישות לביקורת עיבוד נתונים אישיים באמצעות AI. אמצעי הגנה נוספים הוכנסו, כגון זכויות התנגדות משופרות או הצורך בהערכת השפעה על הפרטיות.²

לבסוף, בנימה אחרת, חלק מפעילויות הפרופיל הללו יכולות להתבצע על נתונים אנונימיים או בדויים. אם זה המקרה, חברות פינטק צריכות לקחת בחשבון את העובדה שהסוכנות הספרדית להגנת מידע פרסמה מספר הנחיות וניירות לבנים לתהליכי אנונימיזציה ופסבדונימיזציה.³

פלטפורמות פינטק זרות בשוק הספרדי

פינטק בספרד

פינטק במדינות אחרות

הערות

1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/spain
2. http://www.aepd.es/sites/default/files/2021-01/requisitos-auditorias-tratamientos-incluyan-ia.pdf
3. http://www.aepd.es/media/guias/guia-orientaciones-procedimientos-anonimizacion.pdf