PSD2 (Diretiva de Serviços de Pagamento 2) e RGPD (Regulamento Geral de Proteção de Dados) são duas regulamentações distintas na União Europeia (UE) que abordam diferentes aspectos da proteção de dados e da privacidade. Embora compartilhem algumas sobreposições em termos de processamento de dados pessoais, atendem a finalidades diferentes. Vamos analisar mais detalhadamente.
O que é PSD2?
A PSD2 é um quadro regulatório que visa aumentar a concorrência, a inovação e a segurança no setor de serviços de pagamento na UE. Introduz regras para prestadores de serviços de pagamento (PSPs) e rege vários aspetos dos pagamentos eletrónicos, incluindo o acesso à conta, a iniciação de pagamentos e a segurança das transações eletrónicas. A PSD2 fornece um quadro jurídico para o open banking, permitindo que prestadores de serviços terceiros acedam e utilizem os dados bancários dos clientes com os seus consentimento explícito.
O que é GDPR?
O RGPD é uma regulamentação abrangente que rege a proteção de dados pessoais e direitos de privacidade de indivíduos na UE. Estabelece regras para o processamento, armazenamento e transferência de dados pessoais por organizações. O GDPR visa empoderar os indivíduos, concedendo-lhes controle sobre seus dados pessoais e garantindo que as organizações os tratem de forma transparente, segura e legal. Aplica-se a uma ampla gama de indústrias e setores, não se limitando aos serviços de pagamento.
Descobrindo a sobreposição entre PSD2 e GDPR
A PSD2 e o GDPR se interconectam no que diz respeito ao processamento de dados pessoais no contexto de serviços de pagamento. De acordo com a PSD2, provedores terceirizados podem acessar os dados bancários dos clientes, que podem incluir informações pessoais. Ao acessar e processar esses dados, esses provedores devem cumprir os requisitos e princípios descritos no GDPR. Isso significa que eles devem obter o consentimento apropriado, garantir a segurança dos dados e aderir a princípios de minimização de dados, e respeitar os direitos dos indivíduos, como o direito de acessar e retificar seus dados.
A PSD2 reconhece a importância da proteção de dados e exige que provedores terceirizados cumpram as regras de proteção de dados relevantes, incluindo o GDPR. Ao se alinhar ao GDPR, a PSD2 garante que os direitos de privacidade e os dados pessoais dos indivíduos sejam adequadamente protegidos no contexto do Open Banking e do acesso de terceiros aos dados de pagamento.
Embora a PSD2 se concentre em aumentar a concorrência e a segurança no setor de serviços de pagamento, ela reconhece a importância da proteção de dados, exigindo o cumprimento dos princípios e requisitos do GDPR no processamento de dados pessoais. Isso garante que os direitos e a privacidade dos indivíduos sejam respeitados no âmbito do Open Banking e dos serviços de pagamento previstos na PSD2.
Penalidades da PSD2 por não conformidade
O não cumprimento da PSD2 (Diretiva de Serviços de Pagamento 2) pode resultar em diversas penalidades e consequências para as entidades envolvidas. As penalidades específicas podem variar entre os estados-membros da UE, uma vez que cada país implementa a PSD2 por meio de sua legislação nacional. Aqui estão algumas penalidades potenciais associadas ao não cumprimento:
- Multas administrativas: As autoridades competentes e os órgãos reguladores responsáveis pela aplicação da PSD2 têm o poder de impor multas administrativas às entidades que não cumpram as normas. O valor dessas multas pode variar dependendo da gravidade da violação e da regulamentação específica do país.
- Suspensão ou revogação da autorização: Entidades que não cumprirem os requisitos da PSD2 poderão ter sua autorização para operar como prestador de serviços de pagamento (PSP) suspensa ou revogada. Isso pode resultar em uma interrupção significativa nas operações comerciais e na perda da capacidade de prestação de serviços de pagamento.
- Pedidos de indenização: O não cumprimento da PSD2 pode levar a perdas ou danos financeiros para consumidores ou outras partes envolvidas. Nesses casos, indivíduos ou organizações afetados podem buscar indenização por meio de canais legais, o que pode resultar em responsabilidades financeiras adicionais para a entidade não conforme.
- Danos à reputação: O não cumprimento da PSD2 pode prejudicar a reputação de uma entidade e minar a confiança entre clientes e parceiros. A publicidade negativa associada ao não cumprimento pode ter consequências duradouras, levando à perda de oportunidades de negócios e de potenciais clientes.
- Intervenções regulatórias e medidas de remediação: As autoridades reguladoras podem impor medidas corretivas ou intervenções adicionais às entidades não conformes para retificar a situação. Isso pode envolver a implementação de ações corretivas específicas, monitoramento aprimorado ou auditorias de conformidade, o que pode gerar custos e encargos operacionais adicionais.
É importante que as entidades sujeitas à PSD2, como os prestadores de serviços de pagamento (PSPs), compreendam e cumpram os requisitos definidos na regulamentação para evitar essas penalidades. A conformidade ajuda a garantir a segurança, a transparência e a eficiência dos serviços de pagamento, ao mesmo tempo que protege os direitos e interesses dos consumidores.
Autenticação Forte do Cliente PSD2
Autenticação Forte do Cliente (SCA) da PSD2 refere-se a um requisito regulatório sob a Diretiva Revisada de Serviços de Pagamento (PSD2) na União Europeia. Ela exige que os clientes forneçam múltiplas formas de autenticação para validar sua identidade ao efetuar pagamentos eletrônicos ou acessar suas contas de pagamento. A SCA visa aumentar a segurança das transações online, adicionando uma camada extra de proteção contra atividades fraudulentas, garantindo que somente indivíduos autorizados possam acessar e realizar transações financeiras.
Regras para dados de residentes fora da UE no âmbito da PSD2
A PSD2 (Diretiva de Serviços de Pagamento 2) concentra-se principalmente na regulamentação de serviços de pagamento na União Europeia (UE) e no Espaço Econômico Europeu (EEE). Como tal, suas disposições se aplicam principalmente a entidades que operam nessas regiões. No entanto, existem certas considerações para dados de residentes fora da UE no âmbito da PSD2:
- Transações transfronteiriças: A PSD2 abrange serviços de pagamento que envolvem transações transfronteiriças, incluindo transações entre estados-membros da UE/EEE e países fora da UE/EEE. Nesses casos, os dados envolvidos na transação de pagamento podem estar sujeitos aos regulamentos e requisitos tanto da UE/EEE quanto da jurisdição onde o residente não pertencente à UE reside.
- Proteção de dados: Embora a PSD2 não aborde especificamente os dados de residentes fora da UE separadamente, ela se alinha aos princípios mais amplos de proteção de dados descritos no Regulamento Geral sobre a Proteção de Dados (GDPR) da UE. Ao processar dados pessoais, incluindo os de residentes fora da UE, as entidades devem aderir às regras de proteção de dados relevantes, garantindo o processamento legal, os requisitos de consentimento, a segurança dos dados e os direitos dos indivíduos.
- Transferências internacionais de dados: Caso os prestadores de serviços de pagamento (PSPs) transfiram dados pessoais de residentes fora da UE para fora da UE/EEE, deverão cumprir os requisitos para transferências internacionais de dados previstos no RGPD. Isso pode envolver o uso de salvaguardas adequadas, como cláusulas contratuais padrão ou regras corporativas vinculativas, para garantir um nível adequado de proteção dos dados transferidos.
A abordagem do BigID para conformidade com PSD2
BigID é o fornecedor líder do setor em solução de inteligência de dados para privacidade, segurançae governança. O BigID oferece uma ampla gama de ferramentas poderosas em seu Suíte de Privacidade que pode ajudar organizações a atingir a conformidade com a PSD2 ao lidar com dados pessoais financeiros de residentes da UE.
Usando IA avançada e aprendizado de máquina, o BigID traz automação robusta descoberta e classificação de dados em escala — para dados não estruturados, estruturados e obscuros, tanto no local quanto na multinuvemCom o BigID, as organizações podem identificar e compreender os dados pessoais que possuem, incluindo dados sujeitos à regulamentação PSD2. Rastreie e gerencie com precisão e facilidade. transferências transfronteiriças de dados, garantindo a conformidade com as leis de proteção de dados relevantes.
Para obter maior visibilidade e controle sobre todos os seus dados mais sensíveis e atingir a conformidade com a PSD2— Agende uma demonstração individual com a BigID hoje mesmo.
Autor
