A raíz de la pandemia de la COVID-19 el comportamiento de los usuarios a través de las transacciones económicas minoristas se ha trasladado notablemente hacia el ámbito digital produciendo una reducción constante del uso del dinero efectivo y que la mayoría (55%) de los consumidores de la zona Euro prefieran realizar sus pagos en formato digital, tal y como reflejan los últimos informes estadísticos del Banco Central Europeo. En este contexto de política monetaria a nivel comunitario, surge la propuesta de Reglamento relativo a la instauración del euro digital adoptado por la Comisión este año.
A continuación, se presentan las preguntas sobre la privacidad más comunes que plantea un primer acercamiento al Reglamento que está por venir una vez finalicen los trámites legislativos comunitarios y que se espera que esté operativo a partir de 2027, siguiendo la estela de países como China que ya han puesto implantado esta tipología de sistema monetario digital. Concretamente,
¿En qué consiste el euro digital?
El euro digital es una forma digital de dinero del Banco Central Europeo (BCE) que, como complemento del dinero en efectivo que se mantendría operativo en la Zona Euro, servirá para realizar transacciones económicas minoristas a través de medios digitales. En suma, se trata de dinero público emitido por el BCE para que los consumidores puedan realizar sus pagos en tiendas y entre particulares a través de medios de pago en línea y/o sin conexión.
¿Qué marco jurídico de privacidad aplica a la regulación sobre el euro digital?
A tenor de lo dispuesto en el Considerando 71 de la propuesta de Reglamento, se establece que el derecho a la privacidad y a la protección de los datos de carácter personal son derechos fundamentales, tal y como aparecen consagrados en los arts. 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea. En esta línea, el tratamiento de datos personales con fines de cumplimiento de la normativa y en el contexto del presente Reglamento de instauración del euro digital se llevaría a cabo de conformidad con el Reglamento General de Protección de Datos, el Reglamento (UE) 2018/1725, de 23 de octubre de 2018; y la Directiva 2002/58/CE (actual Reglamento ePrivacy). A continuación, de acuerdo al Considerando 72 de la propuesta de Reglamento, “el tratamiento de datos personales ha de estar sujeto a las salvaguardias adecuadas para proteger los derechos y libertades del interesado. Dichas salvaguardias deben garantizar que se adopten medidas técnicas y organizativas especialmente para asegurar el respeto de los principios de protección de datos establecidos (…) en particular, la minimización de datos y la limitación de la finalidad”.
En línea con lo anterior, la propuesta de Reglamento incluye en su capítulo VIII (arts. 34 a 36) la regulación específica sobre privacidad y protección de datos. Cabe destacar lo siguiente:
- Art. 34: enumeración de los supuestos en los que los proveedores de servicios de pago llevan a cabo el tratamiento de datos personales en base al cumplimiento de una misión de interés público.
- Art. 35: tratamiento de datos personales por parte de BCE y los bancos centrales nacionales.
- Art. 36: tratamiento de datos personales por parte de los proveedores de servicios apoyo a los proveedores de servicios de pago.
Más concretamente ¿cómo afecta el euro digital a la privacidad?
En el preámbulo de la propuesta de Reglamento relativo a la instauración del euro digital se hace constar que “el tratamiento de datos personales debe fundamentarse en el uso de las medidas más avanzadas de seguridad y protección de la privacidad, como la seudonimización o el cifrado, a fin de que ni el BCE ni los bancos centrales nacionales puedan atribuir directamente los datos a un usuario del euro digital identificado”; esto supone que desde la propuesta de regulación comunitaria de la moneda digital se emplaza a las instituciones europeas de política monetaria a implementar aquellas medidas de seguridad para la protección de los datos personales en analogía con el principio de integridad y confidencialidad del art. 5.1.f) Reglamento General de Protección de Datos (RGPD), concretamente, cuando proceda y con el fin de reducir al mínimo el riesgo de violación de la seguridad de los datos, el recurso al almacenamiento descentralizado de datos relativo al punto de acceso único al dinero digital por parte del BCE y los bancos centrales nacionales de los Estados miembros.
En esta línea, lo que se pretende es que, tanto en servicios de pago en línea como sin conexión, se garantice la privacidad de los consumidores frente a los proveedores de servicios de pago y los organismos reguladores comunitarios, a efectos de garantizar que no se pueda asociar, directa ni indirectamente, un euro digital a un usuario persona física, y que la puesta a disposición del dinero público en formato digital a los consumidores tenga lugar al igual que la actual extracción física de dinero efectivo en los actuales servicios de pago. En esta línea, el Considerando (75) establece que los proveedores de servicios de pago no habrán de tratar ningún dato personal en relación con las operaciones de pago en euros digitales fuera de línea, sino únicamente los datos personales en relación con el depósito o la retirada de euros digitales, bien desde cuentas de pago en euros digitales a dispositivos de almacenamiento local, bien desde dispositivos de almacenamiento local a cuentas de pago en euros digitales, incluido el identificador de los dispositivos de almacenamiento local que los proveedores de servicios de pago atribuyan a los usuarios del euro digital que mantengan euros digitales fuera de línea.
En consecuencia, los proveedores de servicios de pago no estarán legitimados para realizar ningún seguimiento de los datos de operaciones en relación con las operaciones de pago en euros digitales fuera de línea más allá de las estrictamente necesarias para el depósito o retirada de euros digitales.
¿Cuál es la legitimación para el tratamiento de datos de los consumidores finales?
Conforme a la propuesta de Reglamento, conviene distinguir la finalidad del tratamiento para determinar la legitimación conforme a las bases de legitimación del RGPD, a saber:
a) los proveedores de servicios de pago podrán tratar los datos personales en la medida en que sea necesario para el cumplimiento de una misión esencial e importante en base al Derecho de la Unión, como es la instauración y garantía del correcto funcionamiento del euro digital, por lo que la legitimación para el tratamiento de los datos personales por parte de los proveedores de servicios de pago será el art. 6.1.c) RGPD, esto es, el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
b) el tratamiento de datos personales con el fin de aplicar límites de tenencias, iniciar la financiación y la desfinanciación de las tenencias de un usuario y gestionar dispositivos de almacenamiento local para los pagos en euros digitales sin conexión tendrá como base de legitimación el art. 6.1.e) RGPD, a saber: el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable; en tanto resulta esencial para garantizar con suficiencia la protección de los ciudadanos que utilicen el euro digital y la estabilidad e integridad del sistema financiero de la Unión. A este respecto, el Banco Central Europeo y los bancos centrales nacionales deben poder tratar datos personales en la medida en que sea necesario para el cumplimiento de una misión esencial a efectos del correcto funcionamiento del euro digital.
En otro orden, los proveedores de servicios de pago podrían tratar datos personales para el cumplimiento de una misión realizada en interés público ya existente o para el cumplimiento de una obligación legal establecida en el Derecho de la Unión que se aplique a los «fondos», tal como se definen en la Directiva (UE) 2015/2366. Lo anterior atañe a la prestación de servicios de pago y la prevención y detección del fraude de conformidad con la Directiva (UE) 2015/2366, la lucha contra el blanqueo de capitales y la financiación del terrorismo de conformidad con la Directiva (UE) 2015/849, el cumplimiento de las obligaciones relacionadas con la tributación y la elusión fiscal, y la gestión de los riesgos operativos y de seguridad en consonancia con el Reglamento (UE) 2022/255.
Por último ¿qué posibilidades de mejora en materia de privacidad presenta la Propuesta de Reglamento antes de su aprobación definitiva?
Si bien las principales instituciones y los organismos comunitarios han mostrado su satisfacción por la iniciativa regulatoria, también han destacado la necesidad de actualizar la propuesta de Reglamento hacia una mayor concreción y desarrollo de determinados preceptos. Cabe destacar, a tenor de lo dispuesto en la Opinión 02/2023, adoptada el 17 de octubre de 2023, por el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos sobre la Propuesta de regulación del euro digital, siguiendo un enfoque de privacidad y protección de datos desde el diseño, remarcan las siguientes líneas de clarificación normativa del futuro Reglamento, concretamente:
- Descripción en detalle sobre las bases legales de aplicación en las operaciones de procesamiento de datos. Por ejemplo, según la Opinión 2/2023, algunos de los tratamientos de datos regulados en el art. 34.1 de la Propuesta, letras a) a d) se realizan conformen al art. 6.1.c) RGPD como base de legitimación preferente al art. 6.1.e) RGPD; al tiempo que clarificar los supuestos en que resultarían de aplicación otras bases de legitimación por parte de proveedores de servicios de pago [art. 6.1.a) y b) RGPD] conforme a lo establecido en la Directiva (UE) 2015/2366.
- Implantación de un sistema obligatorio de seudonimización en todas las transacciones con las instituciones y organismos comunitarios y nacionales de política monetaria;
- Mayor concreción en la definición de determinados términos relativos al tratamiento de datos para lograr una mayor seguridad jurídica (transacción de datos, identificador de usuario, p.e.);
- Clarificación sobre el tratamiento de datos personales de las personas que no residen o no están establecidas en un Estado miembro que utilicen el euro digital como moneda de cambio a través de los servicios de pago digital.
- Descripción detallada del sistema de registro e identificación en el punto de acceso único al euro digital a través del BCE y/o los bancos centrales de los Estados miembros;
- Regulación específica sobre el tratamiento de categorías especiales de datos por parte de los principales sujetos incluidos en el ámbito de aplicación material de la normativa;
- Completar los anexos con un listado exhaustivo de la tipología de datos personales que puedan ser objeto de tratamiento;
- Mayor concreción y claridad en cuanto a los criterios para determinar la responsabilidad y corresponsabilidad de los proveedores de servicios de pago y las instituciones y organismos de política monetaria a nivel comunitario y nacional; en particular, en relación al cumplimiento del deber de información y el ejercicio de derechos en materia de protección de datos.
El Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos recomiendan que la propuesta de Reglamento recuerde la obligación del BCE de llevar a cabo una EIPD y encomiende al BCE que proporcione un euro digital con el cumplimiento incorporado de la obligación de protección de datos desde el diseño y por defecto.
Como se aprecia, el estado actual de la Propuesta de instauración del euro digital todavía presenta la necesidad de una mayor concreción legal para alcanzar una suficiente seguridad jurídica en lo relativo al tratamiento de datos personales en las transacciones del euro digital. No obstante lo anterior, se recibe con optimismo cada uno de los pasos regulatorios dados en los últimos meses, confiando se alcance la coherencia regulatoria a nivel comunitario que permita la aprobación del texto definitivo y, en general, la puesta en práctica del euro digital como un avance que favorezca las transacciones económicas en la Zona euro al tiempo que se garantice la protección del derecho fundamental a la protección de datos personales y, en particular, sobre las bases jurídicas aplicables a estas operaciones de tratamiento, la asignación de responsabilidades, así como sobre los tipos de datos personales que debe tratar cada uno de los agentes intervinientes, de tal forma que se garantice claramente la transparencia para el público sobre las salvaguardias establecidas para lograr un euro digital que proteja eficazmente su privacidad y sus datos personales.
