RGPD
¿Qué es el RGPD? Definición y concepto financiero
El RGPD (Reglamento General de Protección de Datos, Reglamento UE 2016/679) es la norma europea que regula el tratamiento de datos personales de personas físicas dentro del Espacio Económico Europeo. Entró en aplicación el 25 de mayo de 2018 y sustituyó a la Directiva 95/46/CE. En España, la Ley Orgánica 3/2018 (LOPDGDD) lo complementa y adapta al ordenamiento nacional.
Para cualquier entidad que participe en la cadena de pagos, el RGPD determina qué datos puedes recoger en el checkout, durante cuánto tiempo puedes conservarlos y bajo qué base jurídica puedes tratar la información del titular de la tarjeta.
Cómo funciona el RGPD en la cadena de adquirencia
En un modelo PayFac (facilitador de pagos), varios actores tratan datos personales de forma simultánea. El RGPD asigna responsabilidades distintas a cada uno:
- Responsable del tratamiento: la entidad que decide finalidad y medios. El PayFac actúa como responsable respecto a los datos de sus subcomercios (KYB/KYC) y como encargado en ciertos flujos transaccionales.
- Encargado del tratamiento: el adquirente regulado que procesa datos por cuenta del responsable y conecta al PayFac con los esquemas de tarjetas.
- Interesado: el titular de la tarjeta cuyos datos (nombre, PAN tokenizado, dirección IP, datos de autenticación 3DS) atraviesan toda la cadena.
Cada actor solo trata los datos estrictamente necesarios para ejecutar la operación, conforme al principio de minimización (artículo 5.1.c del RGPD).
El artículo 94 de la PSD2 y el artículo 65 del Real Decreto-ley 19/2018 exigen que todo tratamiento de datos en servicios de pago se someta al RGPD, con la excepción de los datos necesarios para la prevención del fraude, que pueden tratarse sin consentimiento del interesado.
Impacto normativo y seguridad aplicable
El RGPD no opera de forma aislada en el ecosistema de pagos. Converge con otras normas que un PayFac o entidad de pago debe cumplir de forma simultánea:
| Norma | Ámbito | Relación con el RGPD |
|---|---|---|
| PSD2 (Directiva 2015/2366) | Servicios de pago y SCA | El artículo 94 remite directamente al RGPD para el tratamiento de datos |
| PCI DSS v4.0 | Seguridad de datos de tarjeta | Complementa la protección técnica del PAN y datos sensibles |
| LOPDGDD (LO 3/2018) | Adaptación nacional | Desarrolla derechos digitales y designación del DPO en España |
| Ley 10/2010 (PBCFT) | Prevención de blanqueo | Permite tratar datos sin consentimiento para obligaciones AML, alineado con el artículo 6.1.c del RGPD |
Las sanciones por incumplimiento alcanzan hasta 20.000.000 € o el 4 % de la facturación global anual, la cifra que resulte mayor.
Ventajas y desventajas operativas
Ventajas:
- Mayor confianza del comprador. Un checkout transparente sobre el uso de datos reduce el abandono. El 87 % de los consumidores no compran si dudan de la seguridad del comercio.
- Privacidad en la pasarela. Minimizar los datos recogidos reduce el alcance de PCI DSS y la superficie de ataque.
- Base jurídica para prevención de fraude. El artículo 6.1.f del RGPD y la excepción del artículo 94 de la PSD2 permiten aplicar scoring antifraude sin consentimiento explícito.
Desventajas:
- Complejidad contractual. Cada relación PayFac-adquirente-subcomercio requiere un contrato de encargado del tratamiento con cláusulas sobre notificación de brechas y auditoría.
- Derechos del interesado. Los titulares pueden ejercer acceso, rectificación, supresión, oposición, portabilidad y limitación con un plazo de máximo 30 días.
- Notificación de brechas en 72 horas. Cualquier incidente obliga a notificar a la AEPD, lo que exige protocolos de respuesta probados.