Anderson, Miriam / Arroyo, Esther (U. Barcelona) / Astromskis, Paulius (U. Vytautas Magnus) (Coords.)
Es innegable que, desde la aparición de las redes de datos móviles y la generalización del uso de los smartphones a partir de principios de la pasada década, nuestra sociedad se ha visto sometida a un acelerado proceso de cambio. La velocidad y magnitud de esa transformación ha sido tal que, de hecho, tan sólo ahora empezamos a vislumbrar algunos de sus efectos negativos. La ubicuidad del acceso a Internet no solo ha variado nuestro modo de comunicarnos y nuestra concepción de las relaciones sociales, sino también la forma en que adquirimos productos y servicios; así como el modo en que participamos de los debates que se producen en la arena política. La reciente irrupción de la IA en nuestra vida cotidiana amenaza con producir una revolución aún mayor, particularmente ahora que su inclusión generalizada en la electrónica de consumo parece inminente.
Como es natural, el impacto de estas tecnologías se ha dejado sentir en todos los sectores económicos. El sector financiero, que tradicionalmente ha sido muy permeable a la adopción de nuevas tecnologías, no es una excepción. Actualmente nos encontramos inmersos en una segunda oleada de la transformación digital de los servicios financieros que conllevará, invariablemente, la necesidad de adaptar el ordenamiento jurídico a la nueva realidad digital. Precisamente a ello obedece la celebración de la jornada “Digitalización de los servicios financieros”, que tuvo lugar el pasado 7 de junio de 2024 y fue organizada en el marco del Proyecto “La reforma del crédito inmobiliario: hacia un mercado europeo sostenible, inclusivo y digital” (PID2021-127197NB-I00) (IPs: Miriam Anderson y Esther Arroyo).
La primera ponencia, a cargo de Teresa Rodríguez de las Heras Ballell (U. Carlos III) puso de relieve el impacto de las nuevas tecnologías en el sector financiero a través del análisis de una de sus novedades más destacadas: el auge del asesoramiento financiero automatizado o roboadvisors. Si bien inicialmente eran un nicho exclusivo de las plataformasfintech, su adopción entusiasta por parte de los inversores ha llevado a que las entidades financieras clásicas las hayan incorporado dentro de su catálogo de servicios. Su éxito se debe a que ofrece a los inversores minoristas un servicio rápido, accesible y a bajo coste, lo que les ha granjeado una gran popularidad entre las nuevas generaciones, más receptivas al uso de programas automatizados. La emergencia de esta figura exige un análisis sobre su encaje jurídico. La ponente apuntó que los roboadvisors que hacen recomendaciones en función de las características concretas del perfil individual del inversor quedan cubiertos por la normativa ya existente. Más dudas plantean, en cambio, aquellos servicios de asesoramiento automatizado que no ofrecen recomendaciones a medida, sinó que sitúan al inversor dentro de un grupo de características más o menos amplias y le ofrecen sugerencias genéricas dirigidas a ese perfil general. En este último caso estaríamos, según la ponente, ante meros servicios digitales de recomendación, que quedarían sujetos al régimen del Reglamento de Servicios Digitales. No obstante, Rodríguez de las Heras destacó la importancia de ponderar el potencial impacto transversal de otras normas: así, si el roboadvisor está vinculado a una plataforma en línea, habrán de tenerse en cuenta las disposiciones del Reglamento de Mercados Digitales. Asimismo, cuando el roboadvisor se alimente de los datos personales del inversor, pueden generarse problemas de cumplimiento del RGPD. Y, en cualquier caso, habrá de tenerse en consideración lo previsto por la normativa de consumo. Además, no puede ignorarse que, en muchos casos, los sistemas de inteligencia artificial (IA) forman parte integral del asesoramiento automatizado, ya sea en todas o en algunas de las etapas del mismo, lo que puede dar lugar a múltiples problemas sobre responsabilidad y cumplimiento normativo en el marco del recientísimo Reglamento de IA.
Las fricciones entre la IA y la normativa de protección de datos son también parte central de una de las materias más candentes en la actualidad: el papel de la generación automatizada de valores de puntuación crediticia (credit scoring) en las decisiones sobre concesión de créditos. Esther Arroyo Amayuelas (U. Barcelona) analizó la cuestión a propósito de la STJUE Schufa (asunto C-634/21) de 7 de diciembre de 2023. La resolución da respuesta a la cuestión prejudicial planteada por el Tribunal Administrativo de Wiesbaden (Alemania) sobre la interpretación de los arts. 6 y 22.1 del RGPD en relación con el credit scoring elaborado por la Schutzgemeinschaft für allgemeine Kreditsicherung (SCHUFA), la mayor empresa privada alemana de información crediticia, a la que normalmente recurren los bancos y grandes empresas antes de contratar con potenciales clientes. En ella, el TJUE concluye que cuando el credit scoring elaborado por un tercero desempeña un papel «determinante» en la concesión de un crédito por parte de la entidad bancaria, la generación de dicha puntuación debe calificarse como una decisión que «produce efectos jurídicos en el interesado y que le afecta significativamente o de forma similar» a efectos del art. 22 RGPD. Se abre así la puerta a que el interesado pueda exigir las explicaciones adecuadas sobre qué factores han sido tenidos en cuenta a la hora de calcular su riesgo de impago y qué peso relativo han tenido en la puntuación final. La ponente se mostró crítica con los argumentos utilizados por el TJUE y afirmó que de la sentencia se deriva una considerable inseguridad jurídica, puesto que la doctrina por ella asentada exigirá examinar caso por caso si el credit scoring es o no «determinante». Arroyo manifestó su sorpresa ante el hecho de que el TJUE no repare en que lo normal debería ser que los contratos entre entidad bancaria y empresa de calificación prevean la cesión de aquellas informaciones que los bancos estén obligados a proporcionar a los consumidores e interesados. Observó, además, que de acuerdo con la Directiva (UE) 2023/2225 sobre crédito al consumo el responsable último de la decisión sobre el otorgamiento o la denegación del crédito basada en el uso de un tratamiento automatizado es siempre el prestamista, por lo que parece lógico concluir que la entidad bancaria debería ser siempre responsable de proporcionar al interesado la información relevante sobre el tratamiento automatizado de sus datos. Parecería también lógico que, como ya señaló el Abogado General Pikamäe, ni la entidad bancaria ni la empresa de credit scoring podrán escudarse en el secreto comercial para impedir al interesado obtener las «explicaciones adecuadas» sobre la lógica del algoritmo en la medida en que ello sea necesario para la salvaguarda de sus derechos. Más dudoso es como deba concretarse eso en la práctica, aunque Arroyo ofreció algunos ejemplos.
También Raquel Guimarães (U. Porto) se refirió a la interrelación entre el RGPD y la normativa financiera a propósito de los servicios fintech de banca abierta, que basan su modelo de negocio en la rentabilización de los datos financieros recopilados por las entidades bancarias. El crecimiento del Open Banking ha puesto en evidencia ciertos desajustes entre el RGPD y la segunda Directiva de Servicios de Pago (DSP2). Esta última regula las figuras de los servicios de iniciación de pago (SIP), que se dedican a la autentificación de la titularidad y existencia del dinero que va a ser objeto de la transacción, y de los servicios de información sobre cuentas (SIC), que proporcionan una imagen consolidada de la situación financiera de una persona. En la mayoría de casos, los SIP y las SIC son proporcionados por terceras empresas ajenas al banco: precisamente por eso una de las innovaciones que se pretende introducir mediante la propuesta de Reglamento de Servicios de Pago (COM/2023/367) es imponer la compatibilización del formato de los datos que tiene cada entidad mediante el establecimiento de una interfaz común. La ponente señaló que, si bien la DSP2 mejora considerablemente la regulación anterior, quedan en el aire múltiples cuestiones relativas al procesamiento, almacenamiento y transvase de datos entre entidades bancarias, SIP y SIC. Según Guimarães, se plantean dudas acerca del consentimiento explícito como base de legitimación del tratamiento (arts. 6.1 RGPD y 94.2 DSP2), así como con relación al tratamiento de los datos de terceros no involucrados en la concreta operación (Silent Party Data). Adicionalmente, manifestó su preocupación ante el hecho de que están en juego datos de carácter muy sensible, a través de los cuales pueden realizarse perfiles susceptibles de revelar aspectos tales como la tendencia política o la orientación sexual del usuario y, por tanto, vulnerar sus derechos fundamentales. En tal sentido, sostuvo que, entre otras cuestiones, es imprescindible poner fin a la divergencia existente entre la definición de datos sensibles contenida en el RGPD y la prevista en la DSP2.
En último lugar intervino José María Martín Faba (U. Autónoma de Madrid), cuya ponencia se centró en el estudio de las deficiencias que presenta la normativa que resulta de aplicación a las plataformas de financiación participativa de préstamos inmobiliarios (crowdlending). Estas plataformas ponen en contacto a inversores que buscan un rendimiento con empresas que precisan de financiación para realizar operaciones inmobiliarias. A diferencia de las entidades de crédito, las plataformas no asumen riesgo alguno, pues no invierten capital propio en la operación, sino que actúan como meros intermediarios. Es precisamente por eso que conviene ultimar la protección de los consumidores-inversores que operan como prestamistas, particularmente si se tiene en cuenta que el mercado de crowdlending presenta unas elevadísimas tasas de impago. Martín Faba consideró que el Reglamento (UE) 2020/1503, debería de ser modificado para impedir al inversor no experimentado realizar el préstamo cuando no haya superado las pruebas de evaluación de conocimientos y de capacidad para soportar pérdidas. Asimismo, afirmó que deben de ampliarse los supuestos en los que la plataforma es responsable por la información engañosa o inexacta que facilita, puesto que generalmente esta solo responderá de la veracidad de esa información cuando esté prestando un servicio de gestión individualizada de cartera. En esa línea, propuso una vía para incrementar la protección de los consumidores sin necesidad de modificar la normativa existente, que exigiría considerar a la plataforma intermediaria como prestamista a los efectos de la LCCI. Ello obligaría a la plataforma a proporcionar al consumidor-prestamista toda la información precontractual personalizada (arts. 10 y 14 LCCI), cumplir con las obligaciones de publicidad, cálculo y comunicación de la TAE y, entre otras cuestiones, a evaluar diligentemente la solvencia del prestatario.
Las exposiciones de los ponentes propiciaron un animado turno de preguntas que constituyó la ocasión propicia para que los académicos asistentes y los consumidores, representados por la asociación AICEC-ADICAE, pudiesen plantear sus dudas sobre las lagunas y puntos ciegos de la normativa vigente y tomasen conciencia de los derechos que les asisten frente a las nuevas herramientas digitales de las que disponen los operadores financieros. Adicionalmente, la jornada evidenció que ya no es posible analizar cuestiones relativas al Derecho de Consumo sin adoptar una perspectiva panorámica que atienda, también, a la creciente relevancia de otros sectores del ordenamiento jurídico, como la protección de datos y la IA. Se hace patente, por tanto, que la aparición de nuevas tecnologías va acompañada de una correlativa especialización y fragmentación de la normativa jurídica que ha de regularla, lo que complica su necesaria interrelación. Está por ver si los denodados esfuerzos del legislador europeo acabarán desembocando en una maraña legislativa de difícil conciliación.
Enrique Peruga Pérez
Investigador predoctoral AGAUR FI en Derecho Civil
Universitat de Barcelona
Deixa un comentari