viernes, 25 de agosto de 2023

Uso de datos personales debe ser proporcionado y justo

Fuente de la imagen: mvc archivo propio
Las normas de protección de datos en las instituciones de la Unión Europea (UE), así como las funciones del Supervisor Europeo de Protección de Datos (SEPD[1]), se establecen en el Reglamento (UE) 2018/1725. En relación a este tema, el SEPD ha publicado dos dictámenes: uno sobre la propuesta de Reglamento de un marco de acceso a datos financieros y otro sobre la propuesta de Reglamento y Directiva de servicios de pago en el mercado interior de la UE. Ambas propuestas tienen como objetivo fomentar el intercambio de datos para ampliar la oferta de servicios y productos financieros, al tiempo que brindan a las personas e instituciones control sobre el procesamiento de sus datos financieros[2]. En este sentido, las personas y las organizaciones gestionarían el acceso a sus datos financieros utilizando paneles proporcionados por las instituciones financieras, lo que permitiría a los interesados controlar, restringir o conceder acceso a su información. Para lograr este objetivo, las personas y organizaciones deben recibir información completa, precisa y clara sobre el proveedor del servicio financiero que solicita acceso a sus datos[3].

El SEPD intenta garantizar la coherencia de las propuestas con el Reglamento general de protección de datos (RGPD). Los dos planteamientos deberían especificar que la concesión de "permisos" para acceder a datos financieros no equivale a dar consentimiento según el RGPD. Del mismo modo, todo procesamiento de datos personales, tras una solicitud de acceso a los datos financieros de un individuo, debe tener una base legal adecuada. Además de estas observaciones generales, el SEPD formula recomendaciones específicas para cada propuesta. Dados los datos personales altamente sensibles que pueden compartirse en el contexto del Marco de Acceso a Datos Financieros propuesto, el SEPD recomienda circunscribir claramente los tipos de datos personales que pueden procesarse y excluir los datos obtenidos a través de la elaboración de perfiles de un individuo. Para garantizar que estas Directrices cumplan con la ley de protección de datos, incluido el RGPD, el SEPD recomienda que se consulte formalmente al Consejo Europeo de Protección de Datos[4], antes de su adopción[5]. Fuente de la información: SEPD. Fuente de la imagen: mvc archivo propio.
___________________________
[1] El SEPD es la autoridad supervisora independiente responsable de monitorear el procesamiento de datos personales por parte de las instituciones y organismos de la UE , asesorar sobre políticas y legislación que afectan la privacidad y cooperar con autoridades similares para garantizar una protección de datos consistente. Nuestra misión es también concienciar sobre los riesgos y proteger los derechos y libertades de las personas cuando se procesan sus datos personales.
[2] Al abordar el Reglamento y la Directiva sobre servicios de pago, el SEPD ofrece recomendaciones sobre prevención del fraude, afirmando que las categorías de datos personales que los proveedores de servicios de pago procesan en este contexto deben definirse claramente y limitarse a lo estrictamente necesario. El SEPD también recomienda que el Reglamento especifique qué tipo de servicio de pago y qué proveedores de servicios de pago podrían procesar categorías especiales de datos personales.
[3] También se debe comunicar información sobre el tipo de producto, pago o servicio para el cual se utilizarían los datos personales de una persona y los tipos de datos solicitados.
[4] Que engloba a las autoridades de protección de datos de la UE/EAA.
[5] El SEPD advierte además que las Directrices detallan los límites de combinar la información financiera de las personas con otros tipos de información personal, como datos personales obtenidos de fuentes de terceros, como las redes sociales. Esta práctica ya está explícitamente prohibida en la legislación sectorial sobre determinados servicios financieros, señala el SEPD.