Anderson, Miriam / Arroyo, Esther (U. Barcelona) / Astromskis, Paulius (U. Vytautas Magnus) (Coords.)
És innegable que, des de l’aparició de les xarxes de dades mòbils i la generalització de l’ús dels telèfons intel·ligents a partir de principis de la passada dècada, la nostra societat s’ha vist sotmesa a un accelerat procés de canvi. La velocitat i magnitud d’aquesta transformació ha estat tal que, de fet, tan sols ara comencem a albirar alguns dels seus efectes negatius. La ubiqüitat de l’accés a Internet no només ha variat el nostre mode de comunicar-nos i la nostra concepció de les relacions socials, sinó també la forma en què adquirim productes i serveis; així com el mode en què participem dels debats que es produeixen en l’àgora política. La recent irrupció de la IA en la nostra vida quotidiana amenaça amb produir una revolució encara major, particularment ara que la seva inclusió generalitzada en l’electrònica de consum sembla imminent.
Com és natural, l’impacte d’aquestes tecnologies s’ha deixat sentir en tots els sectors econòmics. El sector financer, que tradicionalment ha estat molt permeable a l’adopció de noves tecnologies, no és una excepció. Actualment ens trobem immersos en una segona onada de la transformació digital dels serveis financers que comportarà, invariablement, la necessitat d’adaptar l’ordenament jurídic a la nova realitat digital. Precisament a això obeeix la celebració de la jornada “Digitalització dels serveis financers”, que va tenir lloc el passat 7 de juny de 2024 i va ser organitzada en el marc del Projecte “La reforma del crèdit immobiliari: cap a un mercat europeu sostenible, inclusiu i digital” (PID2021-127197NB-I00) (IPs: Miriam Anderson i Esther Arroyo).
La primera ponència, a càrrec de Teresa Rodríguez de les Heras Ballell (U. Carles III) va posar en relleu l’impacte de les noves tecnologies en el sector financer a través de l’anàlisi d’una de les seves novetats més destacades: l’auge de l’assessorament financer automatitzat o roboadvisors. Si bé inicialment eren un nínxol de les plataformes fintech, la seva adopció entusiasta per part dels inversors ha portat a que les entitats financeres clàssiques les hagin incorporat dins del seu catàleg de serveis. El seu èxit es deu al fet que ofereix als inversors minoristes un servei ràpid, accessible i a baix cost, la qual cosa els ha guanyat una gran popularitat entre les noves generacions, més receptives a l’ús de programes automatitzats. L’emergència d’aquesta figura exigeix una anàlisi sobre el seu encaix jurídic. La ponent va apuntar que els roboadvisors que fan recomanacions en funció de les característiques concretes del perfil individual de l’inversor queden coberts per la normativa ja existent. Més dubtes plantegen, en canvi, aquells serveis d’assessorament automatitzat que no ofereixen recomanacions a mesura, sinó que situen a l’inversor dins d’un grup de característiques més o menys àmplies i li ofereixen suggeriments genèrics dirigits a aquest perfil general. En aquest últim cas estaríem, segons la ponent, davant mers serveis digitals de recomanació, que quedarien subjectes al règim del Reglament de Serveis Digitals. No obstant això, Rodríguez de les Heras va destacar la importància de ponderar el potencial impacte transversal d’altres normes: així, si el roboadvisor està vinculat a una plataforma en línia, hauran de tenir-se en compte les disposicions del Reglament de Mercats Digitals. Així mateix, quan el roboadvisor s’alimenti de les dades personals de l’inversor, poden generar-se problemes de compliment del RGPD. I, en qualsevol cas, haurà de tenir-se en consideració el que preveu la normativa de consum. A més, no pot ignorar-se que, en molts casos, els sistemes d’intel·ligència artificial (IA) formen part integral de l’assessorament automatitzat, ja sigui en totes o en algunes de les etapes d’aquest, la qual cosa pot donar lloc a múltiples problemes sobre responsabilitat i compliment normatiu en el marc del recentíssim Reglament de IA.
Les friccions entre la IA i la normativa de protecció de dades són també part central d’una de les matèries més candents en l’actualitat: el paper de la generació automatitzada de valors de puntuació creditícia (credit scoring) en les decisions sobre concessió de crèdits. Esther Arroyo Amayuelas (U. Barcelona) va analitzar la qüestió a propòsit de la STJUE Schufa (assumpte C-634/21) de 7 de desembre de 2023. La resolució dona resposta a la qüestió prejudicial plantejada pel Tribunal Administratiu de Wiesbaden (Alemanya) sobre la interpretació dels arts. 6 i 22.1 del RGPD en relació amb el credit scoring elaborat per la Schutzgemeinschaft für allgemeine Kreditsicherung (SCHUFA), la major empresa privada alemanya d’informació creditícia, a la que normalment recorren els bancs i grans empreses abans de contractar amb potencials clients. En ella, el TJUE conclou que quan el credit scoring elaborat per un tercer té un paper «determinant» en la concessió d’un crèdit per part de l’entitat bancària, la generació d’aquesta puntuació ha de qualificar-se com una decisió que «produeix efectes jurídics en l’interessat i que l’afecta significativament o de manera similar» a l’efecte de l’art. 22 RGPD. S’obre així la porta a que l’interessat pugui exigir les explicacions adequades sobre quins factors s’han tingut en compte a l’hora de calcular el seu risc d’impagament i quin pes relatiu han tingut en la puntuació final. La ponent es va mostrar crítica amb els arguments utilitzats pel TJUE i va afirmar que de la sentència es deriva una considerable inseguretat jurídica, ja que la doctrina per ella assentada exigirà examinar cas per cas si el credit scoring és o no «determinant». Arroyo va manifestar la seva sorpresa davant el fet que el TJUE no repari en què el normal hauria de ser que els contractes entre entitat bancària i empresa de qualificació prevegin la cessió d’aquelles informacions que els bancs estiguin obligats a proporcionar als consumidors i interessats. Va observar, a més, que d’acord amb la Directiva (UE) 2023/2225 sobre crèdit al consum, el responsable últim de la decisió sobre l’atorgament o la denegació del crèdit basada en l’ús d’un tractament automatitzat és sempre el prestador, per la qual cosa sembla lògic concloure que l’entitat bancària hauria de ser sempre responsable de proporcionar a l’interessat la informació rellevant sobre el tractament automatitzat de les seves dades. Semblaria també lògic que, com ja va assenyalar l’Advocat General Pikamäe, ni l’entitat bancària ni l’empresa de credit scoring podran escudar-se en el secret comercial per a impedir a l’interessat obtenir les «explicacions adequades» sobre la lògica de l’algorisme en la mesura en què això sigui necessari per a la salvaguarda dels seus drets. Més dubtós és com hagi de concretar-se això en la pràctica, encara que Arroyo va oferir alguns exemples.
També Raquel Guimarães (U. Porto) es va referir a la interrelació entre el RGPD i la normativa financera a propòsit dels serveis fintech de banca oberta, que basen el seu model de negoci en la rendibilització de les dades financeres recopilades per les entitats bancàries. El creixement del Open Banking ha posat en evidència certs desajustaments entre el RGPD i la segona Directiva de Serveis de Pagament (DSP2). Aquesta última regula les figures dels serveis d’iniciació de pagament (SIP), que es dediquen a l’autenticació de la titularitat i existència dels diners que seràn objecte de la transacció, i dels serveis d’informació sobre comptes (SIC), que proporcionen una imatge consolidada de la situació financera d’una persona. En la majoria de casos, els SIP i els SIC són proporcionats per terceres empreses alienes al banc: precisament per això una de les innovacions que es pretén introduir mitjançant la proposta de Reglament de Serveis de Pagament (COM/2023/367) és imposar la compatibilització del format de les dades que té cada entitat mitjançant l’establiment d’una interfície comuna. La ponent va assenyalar que, si bé la DSP2 millora considerablement la regulació anterior, queden en l’aire múltiples qüestions relatives al processament, emmagatzematge i transvasament de dades entre entitats bancàries, SIP i SIC. Segons Guimarães, es plantegen dubtes sobre el consentiment explícit com a base de legitimació del tractament (arts. 6.1 RGPD i 94.2 DSP2), així com en relació amb el tractament de les dades de tercers no involucrats en la concreta operació (Silent Party Data). Addicionalment, va manifestar la seva preocupació davant el fet que estan en joc dades de caràcter molt sensible, a través dels quals poden realitzar-se perfils susceptibles de revelar aspectes com ara la tendència política o l’orientació sexual de l’usuari i, per tant, vulnerar els seus drets fonamentals. En tal sentit, va sostenir que, entre altres qüestions, és imprescindible posar fi a la divergència existent entre la definició de dades sensibles continguda en el RGPD i la prevista en la DSP2.
En últim lloc va intervenir José María Martín Faba (U. Autònoma de Madrid), la ponència del qual es va centrar en l’estudi de les deficiències que presenta la normativa que resulta d’aplicació a les plataformes de finançament participatiu de préstecs immobiliaris (crowdlending). Aquestes plataformes posen en contacte a inversors que busquen un rendiment amb empreses que precisen de finançament per a realitzar operacions immobiliàries. A diferència de les entitats de crèdit, les plataformes no assumeixen cap risc, perquè no inverteixen capital propi en l’operació, sinó que actuen com a mers intermediaris. És precisament per això que convé ultimar la protecció dels consumidors-inversors que operen com a prestadors, particularment si es té en compte que el mercat de crowdlending presenta unes elevadíssimes taxes d’impagament. Martín Faba va considerar que el Reglament (UE) 2020/1503, hauria de ser modificat per a impedir a l’inversor no experimentat realitzar el préstec quan no hagi superat les proves d’avaluació de coneixements i de capacitat per a suportar pèrdues. Així mateix, va afirmar que han d’ampliar-se els supòsits en els quals la plataforma és responsable per la informació enganyosa o inexacta que facilita, ja que generalment aquesta només respondrà de la veracitat d’aquesta informació quan estigui prestant un servei de gestió individualitzada de cartera. En aquesta línia, va proposar una via per a incrementar la protecció dels consumidors sense necessitat de modificar la normativa existent, que exigiria considerar a la plataforma intermediària com a prestadora a l’efecte de la LCCI. Això obligaria la plataforma a proporcionar al consumidor-prestador tota la informació precontractual personalitzada (arts. 10 i 14 LCCI), a complir amb les obligacions de publicitat, càlcul i comunicació de la TAE i, entre altres qüestions, a avaluar diligentment la solvència del prestatari.Les exposicions dels ponents van propiciar un animat torn de preguntes que va constituir l’ocasió propícia perquè els acadèmics assistents i els consumidors, representats per l’associació AICEC-ADICAE, poguessin plantejar els seus dubtes sobre les llacunes i punts cecs de la normativa vigent i prenguessin consciència dels drets que els assisteixen enfront de les noves eines digitals de les quals disposen els operadors financers. Addicionalment, la jornada va evidenciar que ja no és possible analitzar qüestions relatives al Dret de Consum sense adoptar una perspectiva panoràmica que atengui, també, a la creixent rellevància d’altres sectors de l’ordenament jurídic, com la protecció de dades i la IA. Es fa patent, per tant, que l’aparició de noves tecnologies va acompanyada d’una correlativa especialització i fragmentació de la normativa jurídica que ha de regular-la, el que complica la seva necessària interrelació. Està per veure si els esforços del legislador europeu acabaran desembocant en un garbuix legislatiu de difícil conciliació.
Enrique Peruga Pérez
Investigador predoctoral AGAUR FI en Derecho Civil
Universitat de Barcelona
Deixa un comentari