Protección de Datos retrasa el ‘sandbox’ al solicitar información a los proyectos

El banco de pruebas español para la transformación del sistema financiero (sandbox, en el argot) se retrasará hasta noviembre o diciembre. La Agencia Española de Protección de Datos (AEPD) ha enviado requerimientos sobre los proyectos aprobados el pasado 14 de mayo por la Secretaría General del Tesoro y Financiación Internacional que supondrán que sus puestas en marcha se aplacen hasta finales de año, según fuentes conocedoras de la situación. La fecha máxima de arranque prevista inicialmente era el mes de agosto.

Los proyectos que recibieron luz verde hace casi cinco meses para que fueran el motor de la industria financiera y de los mercados españoles aún no se han puesto en marcha. Al menos, la mayor parte de ellos, debido a que la Agencia Española de Protección de Datos ha mandado requerimientos en los que exige manuales extremadamente detallados de las políticas de gestión de riesgos de privacidad.

La situación se produce en una herramienta creada específicamente para que las empresas más innovadoras en el ámbito de las finanzas (fintech) no tengan que verse encadenadas por una regulación que no puede evolucionar a la misma velocidad que la industria. Fuentes de la industria expresan su perplejidad ante la situación. Y más cuando la mayoría de los otros países cuentan con estas herramientas perfectamente desarrolladas y operativas. La vanguardia española en este tema, diseñada con anticipación por el Ministerio de Asuntos Económicos respecto a la mayoría de los países de la UE, está quedando atrás.

Reino Unido o Hong Kong han sido dos de los pioneros, pero también Brasil y México son la punta de lanza de distintas regulaciones y sandboxes en el mundo fintech.

En Reino Unido, el supervisor de conducta, la Autoridad de Conducta Financiera (FCA, por sus siglas en inglés), ha aunado esfuerzos con el equivalente a la AEPD –la Oficina del Comisionado de Información (ICO)– para encargarse de manera conjunta de los requisitos de privacidad. También impide que las firmas que trabajan en el Reino Unido blanqueen capital y se implica para proteger al consumidor. Así han reducido al máximo los procesos burocráticos.

La posición de la Agencia

Desde la AEPD, explican por escrito a CincoDías que la ley que regula el sandbox establece que los tratamientos de datos de carácter personal de las personas físicas se realizarán con estricta sujeción a lo dispuesto en el Reglamento General de Protección de Datos. Y añaden que la norma “exige una valoración previa del responsable acerca de los riesgos que pudiera generar ese tratamiento para que, a partir de dicha valoración, adopte las medidas que procedan”.

Los proyectos más intrépidos ya han hecho llegar a la AEPD esa información, pero faltan las respuestas. Fuentes conocedoras de la situación señalan que se dejó fuera a la institución, o que no se tuvo en cuenta su criterio en un primer momento, y que esto ha derivado en el actual retraso.

Cierto es que en la resolución del Tesoro se recuerda que “los proyectos han de acreditar el cumplimiento de la normativa vigente en el caso de que el proyecto implique el tratamiento de datos personales, en los términos que sean indicados, en su caso, por la AEPD”.

Los proyectos del sandbox también han de recibir el visto bueno del Sepblac, que asegurar el cumplimiento por parte de los sujetos obligados de sus deberes de prevención del blanqueo de capitales y de la financiación del terrorismo. Y también los relacionados con la protección del cliente de servicios financieros. Pero los que están dando problemas son los de los datos personales.

Tres meses

Cuando se publicaron los 18 elegidos de la primera edición del sandbox, el Ministerio de Asuntos Económicos afirmó en un comunicado que “el plazo máximo para la firma del protocolo es de tres meses”. “Pasado este plazo, el proyecto decaerá, salvo que se tome la decisión de prorrogar este periodo de tiempo”, apuntó. Han transcurrido ya casi dos meses de más y los proyectos siguen sin comenzar las pruebas.

A finales del año pasado, se publicó la convocatoria, y ahora tendrán que esperar hasta finales de año. Varias de las empresas con proyectos que obtuvieron el visto bueno positivo se arrepienten, apuntan las fuentes consultadas, de haber solicitado su incorporación en el banco de pruebas, en teoría un entorno en el que los supervisores pueden suavizar la regulación vigente.

El Banco de España, la CNMV y la Dirección General de Seguros y Fondos de Pensiones (DGSFP) son los supervisores encargados de tutelar y de negociar cada uno de los proyectos durante un periodo de dos años. El supervisor que dirige Pablo Hernández de Cos es el responsable de 10 productos; la DGSFP está sobre cuatro; y la CNMV, sobre otros cuatro.

Sin haber arrancado este sandbox, ya está en marcha la convocatoria del siguiente, cuyo plazo para presentar solicitudes concluye el próximo 13 de octubre.