Comité Europeu para a Proteção de Dados lança consulta pública sobre orientações relativas à articulação entre a DSP2 e o RGPD

O Comité Europeu para a Proteção de Dados colocou em consulta pública, até 16 de setembro de 2020, uma proposta de orientações relativas à articulação entre a segunda diretiva dos serviços de pagamento (DSP2) e o regulamento geral sobre a proteção de dados (RGPD), visando, em particular, a clarificação de questões de proteção de dados pessoais no contexto daquela diretiva.

As orientações em consulta pública focam-se no processamento de dados pessoais pelos prestadores do serviço de iniciação do pagamento (PISP – Payment Initiation Service Provider) e pelos prestadores de serviços de informação sobre contas (AISP – Account Information Service Provider), incluindo requisitos e salvaguardas que devem ser observados no âmbito do processamento de dados para outros fins que não os inicialmente previstos no momento da sua recolha. É ainda proposta orientação, nomeadamente, quanto à interpretação do conceito de “consentimento explícito”, utilizado na DSP2 e no RGPD, ao processamento de categorias especiais de dados pessoais e à aplicação dos princípios gerais de proteção de dados estabelecidos pelo RGPD.

Entre outros aspetos, as orientações em consulta pública estabelecem que:

• O responsável pelo tratamento deve avaliar quais os dados pessoais objetivamente necessários para a prestação do serviço de pagamento em causa;
• O tratamento de dados pessoais para outros fins deve ser expressamente consentido pelo titular dos dados ou estar previsto pelo direito da União ou dos Estados-Membros;
• A atribuição do acesso a dados pessoais dos clientes pelo prestador de serviços de pagamento que gere a conta (ASPSP –  Account Servicing Payment Service Provider) aos PISP e AISP para a prestação dos respetivos serviços de pagamento tem por base uma obrigação legal;
• O conceito de “consentimento explícito”, nos termos da DSP2, pressupõe que o responsável pelo tratamento deve prestar ao titular dos dados informação explícita e concreta sobre as finalidades específicas do tratamento dos seus dados pessoais, as quais deverão ser expressamente aceites por aquele;
• Tendo em vista o respeito pelo princípio da minimização dos dados, é recomendada a utilização de “filtros digitais” para que, por exemplo, o ASPSP apenas recolha os dados pessoais necessários à prestação do serviço ao utilizador (em princípio, o ASPSP não necessitará, por exemplo, das caraterísticas da transação).

Enquadramento

A DSP2 foi transposta para o ordenamento jurídico nacional através do Decreto-Lei n.º 91/2018, de 12 de novembro, que aprova o regime jurídico dos serviços de pagamento e da moeda eletrónica. Tinha como objetivo atualizar o enquadramento regulamentar dos serviços de pagamento, promovendo, designadamente, uma maior integração europeia neste domínio, pagamentos mais seguros e mais eficientes, a adoção de serviços de pagamento inovadores e o reforço dos direitos dos consumidores.

A DSP2 inclui no seu âmbito os AISP e os PISP. Os primeiros disponibilizam o serviço de informação sobre contas, permitindo que os utilizadores agreguem, por exemplo, numa única aplicação, informação sobre as suas contas acessíveis online, detidas junto de um ou mais prestadores de serviços de pagamento. Os segundos prestam o serviço de iniciação do pagamento, dando aos utilizadores a possibilidade de iniciarem uma ordem de pagamento online sem necessidade de interagirem diretamente com o prestador de serviços de pagamento no qual a sua conta está domiciliada. A atuação de ambos os prestadores de serviços de pagamento está sujeita à supervisão do Banco de Portugal.